Prévenir toutes les menaces et tous les incidents est tout simplement impossible - aussi décevant que cela puisse paraître.
Comme chaque organisation doit faire face au fait que la menace est constante et que nous devons vivre avec elle, la cyber résilience est essentielle, afin de se concentrer sur le renforcement de la capacité d'une organisation à se protéger contre les attaques, à y répondre et à s'en remettre, tout en maintenant les fonctions et les services essentiels.
Gouvernance et leadership
La mise en place de structures et de politiques de gouvernance solides, et l'engagement des dirigeants en faveur de la cybersécurité passent par des rôles et des responsabilités clairs, des processus de gestion des risques et le soutien de la direction générale.
Il est important de rappeler que la culture cyber doit venir d'en haut ! Les décideurs doivent montrer leur volonté de prendre le sujet en main, ou de le confier à des experts, mais dans tous les cas, il faut en faire une priorité. En effet, ce n'est pas au moment d'une crise que la sécurité doit être abordée, mais plutôt de manière continue, en impliquant toutes les équipes.
En ce sens, le respect des obligations légales et réglementaires a également un rôle à jouer pour garantir un niveau optimal de sécurité en amont et en aval (NIS2, conformité RGPD...).
Dans cette optique, il est important de réaliser régulièrement des audits de sécurité afin d'évaluer les risques et d'identifier les vulnérabilités que des attaquants pourraient tenter d'exploiter, en vue de prioriser les chantiers pour les équipes techniques et de sécurité.
Collaboration et communication
La mise en place de canaux de communication et de mécanismes de collaboration efficaces, autant en interne qu'en externe, est indispensable pour la cyber résilience. Cela implique une coordination entre les différents services et équipes, ainsi qu'un partage des informations sur les menaces et les meilleures pratiques avec les partenaires et les pairs.
Cet effort collectif permet de rester informé des menaces émergentes et de la manière d'y faire face. En outre, l'élimination des silos internes, pour faciliter la communication entre les équipes de sécurité et les autres départements, garantit une meilleure réponse en cas d'incident de sécurité.
En termes de communication externe, la collaboration et la communication sont également essentielles pour garantir une réponse rapide, cohérente et transparente aux clients, à la presse, aux investisseurs.... en cas d'attaque ou d'incident de sécurité.
Toute partie prenante en interne doit être en mesure d'identifier les personnes ressources à contacter, les circuits de validation que l'information doit suivre, les canaux sur lesquels elle doit être partagée...
Sensibilisation et préparation des équipes
Le facteur humain est essentiel pour prévenir les attaques vie de l’ingénierie sociale, et maintenir une cyber résilience globale. C'est la raison pour laquelle il faut former les membres d’une organisation aux meilleures pratiques en matière de cybersécurité, et plus largement installer une culture de la sécurité. En effet, l'erreur humaine reste la principale cause des violations de données, 31 % des entreprises la désignant comme la cause principale, selon une étude réalisée par Thales en 2023.
La formation continue et les programmes de certification sont essentiels pour s'assurer que les équipes de sécurité sont préparées à faire face à l'évolution du paysage des menaces : techniques, tactiques, groupes d'attaquants, mais aussi outils et solutions requises pour y faire face.
Pour maintenir le niveau de sensibilisation et de vigilance, prévoyez des sessions régulières de formation à la cybersécurité, sur le paysage des menaces, des simulations de phishing... La cybersécurité est un sujet riche et passionnant que l'on peut corréler à de très nombreux domaines, des hautes technologies à la géopolitique - vous trouverez forcément des angles qui parleront à vos équipes, quelles que soient leur expertise et leur sensibilité.
Adaptabilité et apprentissage
Les organisations doivent se préparer aux incidents et en tirer des enseignements, mettre à jour les politiques et les procédures, et renforcer leur posture de sécurité au fil du temps. En d'autres termes : évaluer et adapter en permanence les mesures de sécurité en fonction de l'évolution du paysage cyber - ce qui implique une surveillance continue du contexte et des nouvelles menaces.
Pour ce faire, vous devez être prêt à déployer un plan de réponse aux incidents en cas d'attaque. Pour être prêt, des exercices organisés régulièrement garantissent la pertinence des processus, et aussi que chaque partie prenante impliquée dans la gestion de la crise est informée de son rôle et de ses responsabilités. Cette agilité est essentielle pour faire face à une attaque en prenant les bonnes décisions au bon moment pour un rétablissement aussi rapide que possible, tout en tirant les leçons de l'incident pour renforcer la protection.
Restauration et continuité
Planifier et mettre en œuvre des stratégies de récupération et de maintien de la continuité des activités est aussi indispensable. Il s'agit notamment de prévoir des processus de sauvegarde et de récupération solides, ainsi que des plans de restauration des systèmes et des données critiques - données qui doivent être stockées dans un environnement isolé et sécurisé.
Bien sûr, élaborer des plans est une bonne chose, mais il faut aussi les tester régulièrement, afin d'identifier les services et outils clés qui doivent être redémarrés en premier en cas d'incident, ceux qui peuvent être coupés, anticiper les interactions qui peuvent être interrompues et les conséquences sur la capacité à communiquer pour gérer efficacement une crise (ce que nous verrons un peu plus loin).
Cette approche est essentielle pour que votre Système d'Information - et donc votre organisation - reprennent leur activité le plus rapidement possible en cas d'attaque. Cette démarche est facilitée par les fonctionnalités de monitoring IT, et la capacité d'outils tels que les EDR à collecter et agréger les données relatives à l'activité d'un parc informatique.
Prévention et protection
Renforcer la protection de votre infrastructure es crucial pour réduire les risques d'intrusion, d'espionnage, de vol de données ou de demande de rançon. Mettez en place des outils de prévention et de protection contre les cybermenaces, tels qu’un EDR, antivirus nouvelle génération, outils de surveillance informatique, pare-feu... mais aussi des mesures telles que l'authentification multifactorielle (MFA), l'approche Zero-trust...
Vous devez également maintenir toutes vos solutions (logiciels, applications, systèmes d'exploitation...) à jour pour éviter les vulnérabilités. Cela ressemble à une vieille rengaine, mais ces vulnérabilités restent un point d'entrée pour les attaquants, qui n'hésiteront pas à les exploiter à leur avantage. Utilisez des scanners de vulnérabilité et des pentests pour les détecter, et pensez à l'automatisation des mises à jour pour gagner du temps et limiter les brèches.
Toutes ces actions de prévention et de protection doivent également être appliquées par les fournisseurs et les prestataires tiers : vérifiez qu'ils respectent les bonnes pratiques et les règles de sécurité, afin qu'ils ne représentent pas un point d'entrée dans votre Système d'Information.
De même, pour pouvoir vous remettre d’une attaque le plus rapidement possible, vous devez avoir une parfaite connaissance du Système d'Information (ça aussi un air de déjà vu, n'est-ce pas ?) et segmenter correctement votre parc informatique en fonction de la criticité de vos actifs. La segmentation permet de limiter l'impact d'un incident de sécurité car les attaquants ne pourront pas se déplacer latéralement ; et la cartographie du Système d'Information aide à identifier plus facilement où l'incident a commencé et s'est propagé, et d'isoler certaines parties si nécessaire.
Détection et réponse
Comme indiqué plus haut, investir dans les ressources et les technologies de pointe fait partie des conditions préalables à une protection optimale de vos actifs informatiques contre des menaces en constante évolution.
Vous serez alors en mesure de détecter rapidement les incidents de cybersécurité et d'y répondre. Cela implique des outils de surveillance et d'analyse, ainsi que des équipes de réponse aux incidents (internes ou externes) chargées d'investiguer sur les menaces et de les contenir rapidement.
Il convient de noter que les outils de détection et de réponse sont essentiels, et qu'ils sont encore plus efficaces lorsqu'ils sont déployés dans le cadre d'une approche holistique de la cybersécurité. Cela signifie qu'il est dans votre intérêt de vous appuyer sur des solutions ouvertes, dotées d'API, qui vous permettent de collecter, de consulter et de corréler des données sur les événements de sécurité ; et de vous appuyer également sur des solutions qui permettent de détecter les menaces connues et inconnues - ce qui est possible avec l'aide de l'IA - en vue de les bloquer automatiquement.
Gardez à l'esprit que la connaissance des menaces auxquelles l'organisation doit faire face est également centrale pour savoir contre quels risques elle doit se prémunir, et pour pouvoir réagir avec les ressources appropriées lorsque cela se révèle nécessaire. À cet égard, l'approche TDIR offre un cadre intéressant.
Qu'est-ce que l'approche TDIR ? Pourquoi les organisations devraient-elles s'y intéresser
pour favoriser la cyber résilience ?