Souvent considérée comme un angle mort, la cybersécurité des PME-PMI est pourtant un enjeu crucial. Si en France plusieurs initiatives autour de la plateforme Cybermalveillance, à l’étranger d’autres projets voient le jour. En l’occurrence, le guide nommé Business Continuity in a Box et publié  par le Centre australien de la cybersécurité (Australian Cyber Security Centre, ACSC) et l'Agence américaine de cybersécurité et de sécurité des infrastructures (Cybersecurity and Infrastructure Security Agency, CISA). Le guide accompagne les entreprises pas-à-pas dans la mise en place de fonctionnalités de communication de base, la conception et le déploiement d’une solution provisoire d'hébergement d'applications dans le cloud.

Les conseils s'adressent aux entreprises qui n'ont pas encore mis en place de plan de continuité des activités. Le guide sert à identifier et implémenter étape par étape une solution provisoire qui convient le mieux à une entreprise. Cette solution peut servir pour une société ou un fournisseur de services managés (MSP) après évaluation, afin de déterminer si l'outil est adéquat.

Entreprises ciblées

Les recommandations conviennent mieux aux petites et moyennes entreprises de 10 à 300 personnes qui ont besoin d'une solution IT provisoire pour fournir des services minimaux. Les grandes entreprises et les administrations peuvent également utiliser ces conseils, mais devront probablement appliquer des étapes de configuration supplémentaires. Les grandes entreprises doivent consulter un fournisseur de services IT et procéder à des évaluations indépendantes des risques et de l'impact sur leur activité. Une personne ayant des connaissances de base en informatique a les compétences suffisantes pour mettre en œuvre le volet communication. Par contre, pour celui relatif aux applications, une personne ayant une connaissance moyenne des services cloud est nécessaire.

Contenu du guide

Les conseils doivent être suivies immédiatement après l'identification d'un incident et ont été élaborées en prenant pour base la pile technologique Microsoft 365, en raison de sa forte présence dans les entreprises et les organisations gouvernementales. Pour établir des communications minimales, le document contient des conseils sur la façon de mettre en place une boîte aux lettres électronique fourre-tout et éviter la perte des communications critiques envoyées à l’entreprise pendant l’indisponibilité des systèmes de messagerie habituels. Le volet Continuity of Communications, axé sur la continuité des communications, contient des informations pour vérifier les conditions préalables, des conseils écrits sur l’allocation d’une instance Microsoft 365 Business Standard et une solution de configuration automatisée.

Pour maintenir la continuité des applications critiques telles que les suites bureautiques, la comptabilité, la gestion des ressources humaines et les systèmes de paie, les recommandations comprennent des conseils pour déterminer les fonctions et exigences critiques afin d'assurer la poursuite des opérations métiers, déterminer quelle est la plateforme la plus appropriée pour chaque application provisoire requise, et déployer une solution cloud, sécurisée pour chaque fournisseur majeur. L’idée est que chaque entreprise puisse tirer parti des licences logicielles existantes. Les instructions portent principalement sur l'IaaS, mais elles couvrent également le PaaS et le SaaS. Enfin, les entreprises qui utilisent les instructions relatives à la continuité des applications pour déployer une solution cloud provisoire doivent évaluer les risques que peut représenter le stockage de leurs données sur une solution cloud provisoire et s’interroger sur la nécessité d’instaurer des contrôles de sécurité supplémentaires.