Pour faire face à l’explosion de la cybercriminalité et à son impact sur les opérations commerciales, de nombreuses organisations mettent à jour leurs plans de reprise après sinistre pour inclure la réponse aux cyberincidents.
De nombreux processus et directives des plans de reprise après sinistre traditionnels ont peu changé au cours des années, parfois même en plus d’une décennie, ce qui les rend mal adaptés pour faire face aux cybercatastrophes. Plus important encore, au niveau de l’entreprise, la reprise après sinistre n’est qu’un aspect d’une discipline plus large : la résilience opérationnelle.
Les organisations doivent considérer la reprise après sinistre dans le contexte de la viabilité globale de l’entreprise, y compris la prévention, la détection et la réponse aux cyberattaques.
La reprise après sinistre est assez étroite dans sa définition et généralement considérée dans un court laps de temps. La résilience opérationnelle est beaucoup plus large, y compris des aspects comme le type de gouvernance que vous avez mis en place ; comment vous gérez la gestion du risque opérationnel ; vos plans de continuité d’activité ; et la gestion des risques liés à la cybersécurité, à l’information et aux fournisseurs tiers.
En d’autres termes, les plans de reprise après sinistre concernent principalement la récupération. La résilience opérationnelle examine la situation dans son ensemble : l’ensemble de votre écosystème et ce qui peut être fait pour maintenir votre entreprise opérationnelle lors d’événements perturbateurs.
Réparer une chaîne brisée
L’orientation plus large de la résilience opérationnelle nécessite une participation à l’échelle de l’organisation. Vous ne pouvez pas simplement le laisser à un seul département ou à une seule équipe. Au lieu de cela, tout le monde doit être impliqué, des cadres et du conseil d’administration aux employés individuels dans plusieurs départements.
Dans le climat actuel, ce n’est pas seulement votre propre organisation qui est menacée. Vos fournisseurs, partenaires et vendeurs sont également des cibles. Si un fournisseur majeur est compromis ou supprimé, votre entreprise pourrait tomber avec lui.
La direction doit comprendre le risque et connaître la tolérance au risque et l’appétit pour le risque de l’entreprise. Cela inclut même des éléments tels que les fonctions d’approvisionnement et les accords avec des fournisseurs tiers. La résilience doit être intégrée à tout, jusqu’aux flux de travail quotidiens, et si un seul fournisseur est insuffisant pour gérer les risques, la diversité de l’offre est indispensable.
Il existe de nombreux cas où un cyberévénement chez un fournisseur a rendu plusieurs organisations incapables d’atteindre leurs résultats commerciaux. Par exemple, considérez une organisation de vente au détail qui utilise un prestataire logistique pour acheminer les produits vers ses magasins et que ce prestataire logistique subit des perturbations causées par un cyberincident, ce qui entraîne des ruptures de stock dans les magasins des organisations de vente au détail. Éviter de tels scénarios nécessite une perspective plus large. Dans le contexte de la résilience opérationnelle, chaque scénario et processus de gestion des risques doit tenir compte de la chaîne d’approvisionnement.
Placer « l’opération » dans la résilience opérationnelle
Le département américain des Transports a proposé une amende de 1 million de dollars contre Colonial Pipeline pour “défaillances de la gestion de la salle de contrôle” lors de la cyberattaque de 2021 qui a interrompu la livraison de gaz dans l’est des États-Unis, ajoutant aux pertes de revenus de l’entreprise dues à l’attaque elle-même. L’opinion du gouvernement est que l’entreprise a ignoré la résilience opérationnelle : au lieu de planifier comment gérer et limiter la portée d’un incident, l’organisation a simplement fermé ses réseaux de contrôle de processus dès que le logiciel malveillant a atteint ses systèmes.
Malheureusement, c’est un scénario qui n’est pas unique ; de nombreuses organisations ne comprennent pas pleinement l’impact de la technologie opérationnelle sur un cyberincident.
Idéalement, les organisations gérant une infrastructure nationale ou un approvisionnement critique devraient penser beaucoup plus à la gestion de la continuité des activités et à l’atténuation des contrôles. Une telle réflexion commence par la connaissance de leur profil de risque et la planification appropriée pour le gérer. Les organisations doivent également tester ce qu’elles peuvent faire en termes de fermeture de leurs réseaux, en s’assurant qu’elles ont la capacité de rompre la connexion entre la technologie de l’information et la technologie opérationnelle, afin que les logiciels malveillants n’arrêtent pas tout.
Combler le fossé entre l’informatique et l’OT
La technologie qui gère les systèmes tels que les pipelines et les raffineries est nettement différente de celle que l’on trouve dans un environnement de bureau typique. Il existe différents protocoles réseau, une approche différente de la pile de sécurité et une plus grande préoccupation pour les problèmes de sécurité critiques. L’une des plus grandes sources de friction pour les entreprises industrielles – et la raison pour laquelle les efforts de résilience opérationnelle échouent si souvent – implique une déconnexion entre la technologie de l’information (IT) et la technologie opérationnelle (OT).
Aucun des deux départements ne comprend parfaitement les flux de travail et les défis de l’autre. Cette déconnexion doit changer. Et cela commence par un changement de perception.
Une partie du problème est que le cyber est toujours considéré comme spécial. La discussion semble toujours se conclure sur l’hypothèse que l’équipe de sécurité ou le service informatique gère un risque particulier, de sorte que personne d’autre n’a à s’en soucier. Il faut démystifier la cybersécurité. Ce n’est qu’avec une bonne compréhension de l’entreprise et une bonne maîtrise des risques que vous pouvez mettre en place des mécanismes de résilience appropriés.
Ce qui a bien fonctionné chez bp a été d’intégrer l’ingénierie dans le cyber et le cyber dans l’ingénierie, donnant à chaque équipe une expertise et une perspective qui lui manquaient auparavant.
La vérité est que différentes équipes ont des priorités différentes. L’équipe d’ingénierie peut être consciente de l’importance de la cybersécurité, mais doit donner la priorité aux éléments procéduraux et aux questions critiques pour la sécurité. En encourageant la collaboration interdépartementale, les entreprises peuvent déterminer comment faciliter le déploiement des contrôles et des stratégies dans chaque environnement.
C’est finalement une question de contexte; qu’est-ce que l’entreprise essaie d’atteindre et quels résultats essaie-t-elle d’atteindre ? Comment soutient-il ces résultats ? Quelle technologie utilise-t-il ? Qu’est-ce qui lui importe en termes de confidentialité, d’intégrité et de disponibilité ?
Le rôle d’Active Directory dans le renforcement de la résilience opérationnelle
Active Directory (et Azure AD, dans les environnements d’identité hybrides) occupe une place centrale dans la quête de la résilience opérationnelle.
L’application la plus importante à travers les dimensions est Active Directory. Sans cela, vous ne pouvez atteindre aucun de vos résultats commerciaux. Active Directory est au cœur même de votre capacité à fonctionner et à fournir des résultats commerciaux, et il doit faire partie de votre stratégie de résilience opérationnelle au lieu d’être traité comme une île.=
Participer activement à la résilience opérationnelle
Les plans de reprise après sinistre axés sur les catastrophes naturelles sont insuffisants pour faire face aux menaces modernes pesant sur la résilience opérationnelle. Parce que le système d’identité de l’organisation est essentiel au bon fonctionnement des opérations et qu’il est la cible principale des cyberattaques, sa protection est primordiale. En accordant la priorité à la résilience du système d’identité, les organisations peuvent faire face à l’une des menaces les plus graves à la résilience opérationnelle.
A propos de l’auteur
Sean Deuby est directeur des services chez Toujours et Simon Hodgkinson est ancien directeur de la sécurité de l’information chez bp et conseiller stratégique pour Toujours. Pour les équipes de sécurité chargées de défendre les environnements hybrides et multi-cloud, Semperis garantit l’intégrité et la disponibilité des services d’annuaire d’entreprise critiques à chaque étape de la chaîne de cyber-attaque et réduit le temps de récupération de 90 %. Spécialement conçue pour sécuriser les environnements Active Directory hybrides, la technologie brevetée de Semperis protège plus de 50 millions d’identités contre les cyberattaques, les violations de données et les erreurs opérationnelles. Les principales organisations mondiales font confiance à Semperis pour détecter les vulnérabilités des répertoires, intercepter les cyberattaques en cours et se remettre rapidement des ransomwares et autres urgences liées à l’intégrité des données.
Image en vedette : ©Production Perig
