En mai 2021, lorsque le gestionnaire d'oléoduc Colonial Pipeline a été pris pour cible par les pirates informatiques de DarkSide, son Pdg Joseph Blount a pris la décision très controversée de payer la rançon de 4,4 millions de dollars réclamée par les criminels. L'attaque a mis en péril une infrastructure critique pour les États-Unis, ce qui a donné lieu à des briefings quotidiens avec le président Joe Biden, et Joseph Blount a justifié le paiement de la rançon comme étant nécessaire pour le pays, décrivant cette décision comme l'une des plus difficiles de sa carrière.

« Nous nous sommes retrouvés dans une situation pénible et avons dû faire des choix difficiles auxquels aucune entreprise ne souhaite être confrontée », a ainsi expliqué le dirigeant devant la commission de la sécurité intérieure et des affaires gouvernementales du Sénat américain. Les paiements liés aux ransomwares atteignant le chiffre record de 1,1 Md$ en 2023, ces choix difficiles sont devenus finalement assez fréquents pour les dirigeants d'entreprise.

Dépasser l'exercice à valider auprès des régulateurs

De plus en plus de RSSI et de Pdg comprennent désormais que la question n'est pas de savoir si une attaque va se produire, mais plutôt quand elle va se produire. « Le plus grand changement pour moi est que j'accepte désormais totalement que cela puisse arriver, dit ainsi le Pdg d'une entreprise européenne réalisant 4 Md$ de chiffre d'affaires dans un rapport publié par la société de cybersécurité Istari et l'Université d'Oxford. Croyez-moi, il y a une différence fondamentale d'approche entre les organisations qui acceptent cette perspective et celles qui pensent qu'elles peuvent la repousser. »

Cet état d'esprit - accepter le caractère inévitable d'une violation de données - pourrait aider les entreprises à devenir plus résilientes qu'elles ne le sont aujourd'hui. Trop souvent, les entreprises considèrent la résilience comme un exercice à cocher vis-à-vis des régulateurs, et n'équipent pas leurs RSSI de tout ce dont ils ont besoin pour véritablement rebondir après une attaque.

Restaurer rapidement... ou en deux semaines ?

Comme l'explique Mehran Farimani, Pdg de la société spécialisée dans la gestion des vulnérabilités RapidFort, la capacité à résister et à se remettre d'un incident de cybersécurité exige un changement de mentalité qui va au-delà de la conformité. « Oui, vous avez toujours coché la case indiquant que vous avez sauvegardé tous vos logiciels et données critiques, mais pouvez-vous restaurer rapidement en réponse à un événement indésirable, ou cela vous prendra-t-il deux semaines ? Vous assurez-vous en permanence que tous ces systèmes sont en bon état ? » explique le dirigeant.

Selon un rapport de la société de cybersécurité Barracuda sur la résilience, publié en avril, lorsqu'on leur demande d'évaluer leur confiance dans la gestion des risques cyber sur une échelle de 1 à 10, la plupart des responsables de la sécurité informatique se montrent pessimistes. Les entreprises de services financiers semblent être les mieux préparées, 55 % d'entre elles estimant leur dispositif de sécurité très efficace. En comparaison, seuls 32 % des entreprises opérant dans les secteurs de l'industrie et du manufacturing se sont montrées optimistes, contre 39 % dans le secteur de la vente au détail. D'une manière générale, les petites entreprises se montrent moins confiantes dans leur capacité à résister aux cybermenaces que les grands groupes.

Avec la montée de l'instabilité géopolitique, les inégalités croissantes de richesses et les risques amenés par l'IA, les RSSI doivent non seulement renforcer les cyberdéfenses de leur organisation, mais aussi les aider à se préparer aux pires scénarios, afin de s'assurer qu'elles peuvent rebondir rapidement en cas d'événement cyber non anticipé.

La cyberrésilience sur le devant de la scène

Le concept de cyberrésilience a évolué pour devenir aujourd'hui une composante de la stratégie globale de l'entreprise. En fait, comme l'explique Kory Daniels, RSSI de la société spécialisée en détection et réponse aux incidents Trustwave, « les conseils d'administration ont commencé à poser la question : est-il important de nommer un responsable de la résilience ? »

À la lumière des récentes cyberattaques, comme celle dont Colonial Pipeline a été victime, l'accent porté à la composante disponibilité du tryptique confidentialité, intégrité et disponibilité a augmenté. En effet, les perturbations n'affectent pas seulement la continuité opérationnelle, mais aussi la confiance des clients et la perception globale d'une entreprise par le marché.

Selon Kory Daniels, il est essentiel d'adopter une « approche holistique » de la cyberrésilience, en tenant compte de tous les aspects de l'entreprise et de toutes les équipes, depuis les employés et les partenaires jusqu'au conseil d'administration. Souvent, les organisations disposent de davantage de capacités qu'elles ne le pensent, mais ces ressources peuvent être dispersées dans différents services. Et chaque entité responsable de la cyberrésilience peut n'avoir qu'une visibilité partielle des capacités existantes au sein de l'organisation. « Les opérations réseau et sécurité disposent d'une incroyable richesse de données dont les autres bénéficieraient », reprend le RSSI de Trustwave.

S'étendre aux fournisseurs et partenaires

De nombreuses entreprises intègrent la cyberrésilience dans leurs processus de gestion des risques. Elles ont commencé à prendre des mesures proactives pour identifier les vulnérabilités, évaluer les risques et mettre en oeuvre les contrôles appropriés. « Cela inclut l'évaluation de l'exposition aux menaces, la validation régulière du niveau de cette exposition, par exemple via des tests de pénétration, et la surveillance continue pour détecter et répondre aux menaces en temps réel », explique Angela Zhao, analyste en chef au sein du cabinet Gartner.

Ces mesures proactives dépassent souvent les frontières immédiates de l'organisation pour s'étendre aux fournisseurs et aux partenaires, ajoute Cameron Dicker, directeur de la résilience globale des entreprises au FS-ISAC, une association centrée sur la gestion des risques cyber pour la sphère financière. « Les entreprises devraient procéder à une analyse approfondie de leurs fournisseurs de services et de leurs chaînes d'approvisionnement en logiciels, identifier les risques de sécurité et élaborer des plans de réponse aux incidents en conséquence », dit-il.

Supply chain logicielle : un terme central de l'équation

Malheureusement, comme le souligne Kory Daniels de Trustwave, l'analyse de supply chain logicielle reste un aspect peu discuté de la cyberrésilience. « Les organisations devraient effectuer des tests de pénétration et des évaluations de risques approfondies de leur chaîne d'approvisionnement, mettre en oeuvre des exigences de cybersécurité pour les fournisseurs concernés et établir des plans d'urgence pour atténuer l'impact des perturbations que pourrait engendre cette supply chain sur leurs opérations », observe-t-il.

Lorsqu'ils recherchent un fournisseur potentiel, en particulier un fournisseur qui se connectera au réseau privé de l'entreprise, les responsables de la sécurité doivent s'assurer que les contrats ou les accords-cadres de services comportent des clauses très spécifiques en ce qui concerne la résilience globale, à la fois cyber et métiers, souligne Bobby Williams, responsable de l'équipe de continuité des activités chez GuidePoint Security, une société de conseils en cybersécurité.

« Un fournisseur doit être contractuellement responsable de la définition des programmes de continuité des activités, de reprise après sinistre et de sécurité de l'information, ajoute Bobby Williams. Un programme de test précis servant à démontrer la résilience du fournisseur doit figurer au contrat, et les résultats de ces tests doivent être mis à la disposition de l'entreprise pour qu'elle puisse les examiner. »

Le mirroring n'est pas une sauvegarde

Si le fournisseur propose des services logiciels ou des applications, le contrat doit spécifier des objectifs de temps de reprise (RTO) et de point de reprise (RPO). « Le fournisseur doit être en mesure de démontrer le RTO et le RPO au moyen de tests, souligne Bobby Williams. Le fournisseur doit également être contractuellement tenu de démontrer comment il sauvegarde les données de son client et fournir un calendrier de conservation des données. » Et de préciser que le mirroring des données ne doit jamais être accepté comme un substitut à la sauvegarde des données du client.

Les risques associés à la supply chain logicielle ne doivent donc pas être pris à la légère. D'autant qu'ils sont désormais identifiés par des cybercriminels comme un moyen d'atteindre des cibles de plus grande valeur. « Il y a eu récemment plusieurs cas de cyberattaques contre les éditeurs de logiciels, note Aaron Shaha, RSSI chez la société de cybersécurité CyberMaxx. C'est un domaine qui continue de nécessiter une surveillance active. »

L'IA, une complexité supplémentaire

La montée en puissance de l'IA générative, en tant qu'outil pour les pirates informatiques, complique encore les stratégies de résilience des organisations. En effet, l'IA générative donne à des individus même peu qualifiés les moyens d'exécuter des cyberattaques complexes. Par conséquent, la fréquence et la gravité des attaques pourraient augmenter, obligeant alors les entreprises à redoubler d'efforts.

En revanche, les outils d'IA générative ne sont pas très efficaces à des fins défensives. Même si la technologie peut endosser un rôle d'assistant pour les équipes cyber. La détection et l'analyse des menaces, la détection des anomalies, la surveillance des comportements et les systèmes de réponse automatisés sont quelques-uns des domaines dans lesquels l'intelligence artificielle a montré son potentiel. L'IA est également utilisée dans la gestion des risques et l'examen du code. « Les algorithmes d'IA peuvent rapidement analyser de grandes quantités de données, identifier des modèles et détecter des menaces ou des vulnérabilités potentielles qui pourraient passer inaperçues aux yeux des opérateurs humains », analyse Valerie Abend, responsable de la stratégie chez Accenture Security. L'utilisation de l'IA dans l'élaboration et le maintien des programmes de cyberrésilience présente également quelques bénéfices.

Pour l'instant toutefois, dans la cyber, l'IA reste une aide plutôt qu'un substitut à la surveillance humaine. « Si l'IA peut contribuer à certains aspects instrumentaux, sa contribution à la gestion des risques reste limitée à ce stade », souligne Anastasiia Voitova, responsable de l'ingénierie chez Cossack Labs (spécialisé dans la protection des données sensibles). « C'est un outil pour les professionnels de la sécurité, pas un professionnel de la sécurité en soi. »

Une analyse que rejoint Mehran Farimani de RapidFort, ajoutant que les outils d'IA peuvent certainement aider à formuler et à communiquer des plans de résilience, mais sont loin d'être suffisamment fiables pour être mis en pilote automatique et protéger un système de façon autonome. Le rôle de l'IA dans la résilience devrait toutefois s'étendre dans les années à venir, car les outils alimentés par l'IA deviendront plus performants dans la détection et la réponse aux menaces en temps réel. En outre, l'IA sera probablement utilisée pour améliorer l'authentification des utilisateurs et les mécanismes de contrôle d'accès, ainsi que la résilience globale des systèmes critiques, selon Valerie Abend.

Comment les réglementations compliquent la cyberrésilience

L'évolution du paysage réglementaire à travers le monde complique également la tâche des responsables de la sécurité, qui doivent se tenir au courant de toutes les contraintes auxquelles ils doivent se conformer. Même si le respect de ces exigences peut contribuer à atténuer les risques et à préserver la réputation de l'organisation.

Pour Trevin Edgeworth, directeur de l'équipe Red team (tests de pénétration) chez Bishop Fox, « les réglementations peuvent notamment aider les organisations à se concentrer davantage sur les efforts de gestion des risques et les rendre plus responsables de leurs stratégies de résilience ». Le respect de ces règles contribuera à accroître la transparence sur les attaques subies et sur les pratiques de sécurité, ajoute-t-il.

Les réglementations liées au Digital Operational Resilience Act (Dora), dans l'Union européenne, et celles émises par la Security and Exchange Commission (SEC), aux États-Unis, modifient la façon dont les entreprises abordent la résilience cyber. Dora, qui entrera en vigueur le 17 janvier 2025, vise à renforcer la sécurité des entités financières telles que les banques, les compagnies d'assurance et les sociétés d'investissement. Les entités financières et les fournisseurs de services de technologies et de communication situés en dehors de l'UE doivent également se conformer à Dora s'ils fournissent des services critiques à des institutions financières basées dans l'Union.

Ne pas se contenter de cocher des cases

« Compte tenu de cette nouvelle réglementation et des préoccupations concernant les cyberattaques, les sociétés de conseil consacrent moins de temps à la planification de la résilience tous risques confondus et plus de temps à la résilience informatique - en particulier aux questions de connexion entre les processus d'entreprise et les applications et infrastructures supportant ces processus », souligne Tamara Nolan, responsable de la cyberrésilience et de la résilience opérationnelle chez MorganFranklin Consulting.

Et de conseiller aux entreprises de ne pas se contenter de cocher les cases exigées par les réglementations telles que Dora, mais de s'efforcer de couvrir tous les aspects de la résilience, car « la réglementation suppose que les éléments fondamentaux de la résilience opérationnelle sont déjà en place avant d'essayer de répondre aux exigences propres».
Les entreprises opérant sur le marché américain doivent également se conformer à l'évolution de la réglementation. Car, en juillet 2023, la Securities and Exchange Commission (SEC) a introduit de nouvelles exigences en matière de rapports pour les entreprises cotées en bourse. Ces règles prévoient une divulgation des incidents de cybersécurité importants et exigent des entreprises qu'elles fournissent chaque année des informations concernant leur gestion des risques de cybersécurité, leur stratégie et leur gouvernance.

Pour répondre à ces exigences, la plupart des entreprises cotées prennent des mesures pour s'assurer qu'elles disposent de systèmes permettant d'évaluer les incidents et d'y répondre. « Malheureusement, dans de nombreux cas, ces processus sont établis en dehors du cadre de résilience opérationnelle et ne sont donc pas intégrés au programme de gestion de crise de l'entreprise », souligne Tamara Nolan, qui recommande aux organisations de s'engager de manière proactive dans les cadres juridiques et réglementaires et de les intégrer dans leurs stratégies de cyberrésilience. Cette approche peut contribuer à minimiser les sanctions et à renforcer leur position globale en matière de cyberrésilience.

Contagion des réglementations

Selon Angela Zhao (Gartner), Dora et les réglementations émises par la SEC ont tendance à avoir des répercussions dans le monde entier. « Les changements de réglementation dans une juridiction ont souvent des implications transfrontalières, car les entreprises multinationales opérant à l'échelle du globe doivent se conformer à de multiples cadres réglementaires, souligne-t-elle. Les entreprises doivent donc harmoniser leurs stratégies de cyberrésilience sur les différents marchés, afin de garantir des pratiques de sécurité cohérentes et la conformité aux diverses réglementations. »

Les réglementations ont également joué un rôle clé dans la sensibilisation à l'importance de la cyberrésilience. Elles encouragent les entreprises à évaluer leur niveau de sécurité et renforcent l'attention des conseils d'administration sur ces sujets, selon Valerie Abend d'Accenture Security. « Nous assistons à une prise de conscience grandissante des Pdg, des cadres dirigeants et des conseils d'administration concernant ces risques, non seulement en raison des réglementations, mais aussi en raison d'une véritable préoccupation business », ajoute-t-elle.

Les réglementations sont utiles, mais la conformité à elle seule n'est pas nécessairement synonyme de résilience. Les organisations pourraient « courir le risque de tomber dans un faux sentiment de sécurité en pensant que leur conformité équivaut à une forte sécurité renforcée », rappelle Trevin Edgeworth de Bishop Fox.

En complément :
Cyberrésilience : comment Veolia et la Dinum anticipent les crises
L'IA s'infiltre progressivement parmi les risques les plus redoutés des entreprises
Le baromètre Cesin pointe une amélioration de la cyberrésilience des entreprises