Lors de son dîner-débat de fin d’année consacrée aux enjeux cyber, organisé en partenariat avec Cohesity, Alliancy a invité les directeurs cybersécurité d’une quinzaine d’organisations à se projeter sur l’évolution de leur rôle en matière de cyber-résilience. Un focus majeur de 2023.

Le terme résilience a bonne presse, notamment depuis le choc organisationnel, social et économique qu’ont connu toutes les organisations au moment de la crise pandémique, et en particulier lors du premier confinement. Le printemps 2020 a ainsi vu le mot s’imposer dans les réunions mais aussi les plans stratégiques. Dans ce contexte, ce concept de résilience s’est notamment appliqué au système d’informations au cœur de l’activité des organisations, avec la nécessité de penser la forme et la nature d’une résilience numérique, parfois précisée autour de l’idée de « cyber-résilience ». Mais que recouvre vraiment ce terme ?

Réunis pour discuter de la façon dont leurs rôles pouvaient évoluer en 2023, des directeurs cybersécurité ont fait part à Alliancy de la variété de leurs enjeux en matière de résilience. Si les grands principes sont partagés, le périmètre de l’implication exacte du chief information security officer (CISO) est, elle, moins évidente. Pour un certain nombre de responsables, la compréhension transversale des risques et le caractère systémique du numérique force, qu’ils le veuillent ou non, les CISO à s’impliquer sur la résilience de l’entreprise bien au-delà du périmètre traditionnel de la cybersécurité dont ils ont la charge. A l’autre bout du spectre, certains directeurs cybersécurité estiment justement que leur rôle est celui de la « cyber » stricto-sensu et qu’ils ne peuvent pallier les responsabilités d’autres décideurs sur la question globale de la résilience. Au contraire, ils voient plutôt un risque dans la tentation de certains dirigeants de vouloir faire reposer la responsabilité du sujet sur les seules épaules d’un CISO – un moyen simple de « cocher une case » sans assumer les impacts métiers et opérationnels qui pourraient en découler.

Une vision plus mature sur la sauvegarde

Entre les deux extrêmes, la réalité de nombreuses organisations est évidemment faite de nuances de gris variées. « Définir ce que chaque acteur dans l’entreprise entend par résilience est déjà un enjeu en soi » a notamment souligné durant le dîner-débat Antoine Ancel, directeur sécurité opérationnel de la SNCF. Et Véronique Bardet, RSSI du groupe Pierre Fabre va même plus loin et épingle : « Il est difficile de mobiliser les acteurs de l’entreprise pour travailler sur la résilience, car c’est un sujet qu’ils ne considèrent par urgent ».

Ce qui est certain, c’est que la maturité des directeurs cybersécurité est aujourd’hui beaucoup plus forte sur les sujets liés à la sécurité des données et à son impact sur la cyber-résilience. Les expériences cumulées face aux ransomwares notamment, ont amené ces cinq dernières années à de nombreuses adaptations. Les basiques comme la sauvegarde sont d’ailleurs vu dorénavant comme ce qu’ils sont réellement : une première pierre importante, mais qui ne doit pas être prise comme un « sanctuaire » derrière lequel l’entreprise peut se retrancher quoiqu’il arrive en cas de crise cyber.

« La cyber-résilience, ce n’est pas seulement un plan de reprise d’activité ou un plan de continuité d’activité » ont ainsi exposé plusieurs CISO. La capacité à fonctionner en mode dégradé, en cohérence, a été régulièrement mise en avant dans les échanges. Mais aussi le fait pour les entreprises d’apprendre à mieux accompagner tout leur écosystème sur le sujet : les tiers, prestataires notamment, sont aujourd’hui au cœur des enjeux de résilience. Et bien souvent, la question de la gouvernance de la donnée dans un tel environnement complexe n’est pas prise suffisamment au sérieux.

L’aide précieuse d’un « Data Management moderne »

Selon François-Christophe Jean, Field Technology Director de Cohesity, qui a participé au débat, l’enjeu dépasse en effet de loin les questions traditionnelles autour de la sauvegarde et des PRA/PCA. C’est une transformation du data management dans sa globalité qui est attendu des organisations et pour lequel le CISO doit monter au créneau. « Dans un contexte de profonde mutation des cybermenaces, le Data Management moderne aide les organisations à se défendre et à se remettre en fournissant protections et contrôles robustes pour, avant l’attaque, protéger les données et la plate-forme de récupération, pendant l’attaque, détecter les menaces dans les données et les activités et, après l’attaque, récupérer données saines et les processus, rapidement et à grande échelle. » expose-t-il.

Il marque d’ailleurs le lien entre ce sujet et celui de la résilience, d’un point de vue technique : « La protection repose sur la résilience des données (intégrité via l’immuabilité, confidentialité via le cryptage) et les principes du « Zéro Trust » pour l’accès et le contrôle. La détection d’anomalies dans les données et de comportements anormaux, couplée à l’intégration aux SIEM et autres SOAR, permet la prise en charge appropriée de la réponse. Enfin, la certitude de récupération passe par la modernisation de la règle du 3-2-1 (air gap, isolation en mode SaaS) et dans la confiance d’avoir identifié au préalable la dernière bonne copie connue qui permettra la restauration immédiate, garante de la réduction du RTO. »

Surtout, l’expert appelle à anticiper la forme que doit prendre un dispositif de résilience, vis-à-vis du caractère confus et difficilement maitrisable d’une crise cyber. « Pour que ce Data Management soit efficace dans le chaos représenté par une cyberattaque réussie, il est indispensable qu’il ne soit pas segmenté mais unifié, que les silos soient abolis et qu’il ne soit plus nécessaire de déplacer les données pour les classifier, les analyser, les protéger. » conclut-il.