Gérer les risques
Aujourd'hui et demain

Cyberprévention

Yves Reding (EBRC) : « La cyber-résilience exige une approche globale »

Interview de Yves Reding, PDG du European Business Reliance Centre (EBRC), un spécialiste de la gestion de la continuité d'activité et de la cybersécurité. Il nous explique comment il faudrait passer d’une démarche de cybersécurité à celle de cyber-résilience. Cette approche proactive consiste à appliquer les dernières normes mais aussi à déployer une protection des systèmes “by design”. Objectif : garantir la continuité économique des entreprises, à l’abri du danger.

Les entreprises s’engagent dans la transformation numérique. Mais cette démarche ne les a-t-elle pas également rendues plus vulnérables à la cybercriminalité ?
En effet ces derniers mois, des attaques massives en déni de service distribué (DDoS) et plusieurs épidémies de ransomware sont venues perturber les activités d’organisations internationales. Beaucoup ont subi des prises d’otage ou ont été paralysées par des attaques malveillantes. Des processus électoraux au sein de pays démocratiques ont même été perturbés par des cyberactivistes aux intentions douteuses. 2017 a été marqué par une nouvelle ère numérique.

Quelles leçons faut-il en tirer ?
La multiplication des attaques a mis en évidence les fragilités de nos organisations et les failles de nos sociétés de plus en plus digitales. Par la même occasion, on a découvert les limites d’une approche traditionnelle en cybersécurité qui vise essentiellement à protéger les systèmes. La cybersécurité est dépassée car elle est trop restrictive. Il faut une approche globale totalement intégrée impliquant à la fois les individus, les processus et la technologie. C’est ce que l’on appelle la cyber-résilience.

Quels sont selon vous les mots d’ordre de cette approche ?
La gestion des données sensibles requiert une approche plus holistique (globale) de la sécurité digitale, mieux intégrée aux enjeux organisationnels et commerciaux. Dans le contexte actuel, il faut changer de paradigme. La question n’est plus de savoir si l’on va être attaqué mais bien quand ! À partir de là, nous devons pouvoir mieux nous préparer à absorber le choc, réagir à toute éventualité et rebondir.

Cette démarche ne pourrait-elle pas presque s’apparenter à une philosophie ?
Chacun évolue dans un environnement, le cyberespace, incertain, instable, potentiellement hostile. À la manière d’un kayakiste qui descend un torrent et doit jouer avec le courant, éviter les rochers, l’organisation au cœur du cyberespace doit gagner en agilité et en flexibilité. Il faut pouvoir évoluer en tenant compte des éléments présents dans son environnement. Face à l’éventualité d’un incident de sécurité ou de continuité, il faut opter pour une approche proactive, dynamique, composer en permanence avec les éléments, anticiper et contourner les obstacles, surfer, accélérer, rester la tête hors de l’eau. Pour certains, moins bien préparés, l’objectif premier sera de survivre. Pour les plus résilients, il s’agira au contraire de rebondir, d’avancer et de profiter de la vitesse du torrent.

En termes plus concrets, en quoi cette démarche consiste-t-elle ?
Identifier, protéger, détecter, répondre, récupérer sont les cinq piliers de la cyber-résilience, à savoir une approche globale qui intègre cybersécurité, continuité d’activité, gestion de crise, stratégie de réponse et organisation de la résilience. En permanence, il faut pouvoir identifier, protéger, détecter, répondre à l’incident et récupérer les systèmes pour garantir la continuité de l’activité afin de rebondir. C’est l’approche suggérée par la directive européenne NIS [Network and Information Security] qui vise à sécuriser les réseaux et les systèmes d’information contre tout risque et incident au niveau des infrastructures critiques européennes. Finalement, la cyber-sécurité n’est qu’un sous-ensemble de la cyber-résilience. On parle de développer pour chaque activité dépendante du numérique un système immunitaire performant. Pour qu’il soit efficient, il faut que les différentes composantes de l’organisation interagissent de manière coordonnée, selon une approche systémique.

Côté réglementation, quelles normes tendent à évoluer dans ce sens ?
Pour inviter les acteurs à mieux évoluer et se protéger dans cet univers incertain, les organisations internationales et autorités publiques prônent le développement et le respect de normes toujours plus poussées – ISO 27001 (gestion de la sécurité de l’information), ISO 20000 (gestion des services informatiques), ISO 27018 (protection des données à caractère personnel) ou ISO 22301 (gestion de la continuité d’activité). Ainsi, la nouvelle norme française d’Hébergeur de données de santé à caractère personnel qui entrera en application cette année, exige-t-elle les normes ISO 27001, ISO 20000 et ISO 27018. De même, pour construire le marché unique digital européen, l’Union européenne se dote de nouveaux outils : la directive NIS et l’agence de la cybersécurité (rôle confié à l’Agence européenne chargée de la sécurité des réseaux et de l’information (AESRI) [European Network and Information Security Agency (Enisa), en anglais, NDLR]).

Comment les acteurs de la sécurité numérique pourraient-ils concrètement appliquer les valeurs de la cyber-résilience ?
Pour les opérateurs de service numérique, il est fondamental de développer une proposition de valeur de bout en bout dans le domaine de la gestion des données sensibles. Cela permet de garantir la continuité, la sécurité, la protection des activités des clients face à l’ensemble des risques. En apportant toutes les garanties de confiance, les opérateurs de service numérique créent de la valeur dans ce monde digital de plus en plus incontournable, mais également de plus en plus complexe et incertain. Choisir une approche intégrée suivant une stratégie d’amélioration continue garantit la protection des clients face aux risques de plus en plus menaçants. Faire évoluer son Security Operations Center (SOC) en intégrant des solutions d’investigation en sécurité est également fondamental. Grâce à des algorithmes sophistiqués, celles-ci conduisent à une détection prédictive des menaces au départ de l’analyse des comportements déviants au sein des systèmes d’information. En sus, elles constituent un composant clé dans l’investigation et la remédiation. Autre vecteur de succès, l’intégration d’équipes de conseil et d’équipes opérationnelles renforce considérablement les centres de compétences « cyber-résilience ».

Qu’en concluez-vous ?
On ne peut plus séparer les enjeux économiques des problématiques de continuité, de sécurité et de résilience. Les divers éléments entrant en ligne de compte pour garantir le fonctionnement économique des entreprises doivent être totalement intégrés comme les cinq doigts d’une même main. Il nous faut mettre en œuvre des approches de cyber-résilience « by design » renforcées et de bout en bout. La résilience de toute activité, et donc de l’économie digitale, se joue de plus en plus à l’échelle européenne. Seul, dans son pays, on ne peut pas y arriver. Nous devons favoriser l’émergence de mécanismes de lutte plus efficients à l’échelle du marché numérique unique, notamment en matière de gestion de l’information la plus sensible.

Propos recueillis par Ségolène Kahn

Commentez

Participez à la discussion


La période de vérification reCAPTCHA a expiré. Veuillez recharger la page.