Cyber-résilience, la nouvelle cyber-sécurité ?

Cybersécurité

La cyber-résilience, le nouveau mot à la mode ?

 

Cyber-résilience. Ces derniers temps, vous avez sans doute entendu ou lu certains articles faisant état de la « cyber-résilience », terminologie qui revient régulièrement dans les médias, présentée comme l’avenir de la Cybersécurité. Selon Accenture, la cyber-résilience est « La capacité d’une entreprise à identifier, prévenir, détecter et répondre aux défaillances technologiques ou de process et à se rétablir en réduisant au minimum les impacts négatifs pour ses clients, les préjudices en matière de réputation et les pertes financières. »

 

Cette notion n’est pourtant pas nouvelle, puisqu’elle a été définie notamment par le CDSE dès 2014 et est remise en avant régulièrement depuis dès que des attaques massives d’organisations internationales ont lieu.

 

En somme, la nouveauté pour les entreprises réside dans l’objectif de passer d’un mode réactif à un mode préventif face aux risques de sécurité qui se multiplient, car d’un côté l’entreprise change, évolue, se réorganise continuellement et de l’autre la digitalisation explose, avec de plus en plus d’applications et données nécessaires à la croissance de l’entreprise. Et de plus en plus, on assiste à une prise de pouvoir par les métiers sur le SI en souscrivant directement à de nouveaux services sans passer par la DSI et parfois même sans les prévenir.

On constate également, avec les nouveaux comportements de type BYOD (Bring Your Own Device) des accès aux actifs de l’entreprise via des terminaux dont la DSI n’a pas toujours connaissance.

 

 

Comment garder le contrôle grâce à la cyber-résilience ?

 

Dans ce contexte, une approche globale et transverse dans l’entreprise est nécessaire, impliquant à la fois « les individus, les processus et les technologies » de l’entreprise comme le précise le CDSE. C’est ce que prône la cyber-résilience et là est la nouveauté. Les entreprises se réorganisent pour apprivoiser ce nouveau concept avec une approche par le risque. Les sujets de cybersécurité autrefois cantonnés au seul RSSI sont en train avec le concept de cyber-résilience de gagner d’autres équipes dans l’entreprise et notamment les fonctions de gestion du risque.

 

 

Comment mettre en pratique la cyber-résilience dans l’entreprise ?

 

Pour le CDSE, la mise en pratique de ce concept dans l’entreprise passe par la mise en place de plusieurs piliers essentiels, piliers décrits également dans la directive NIS : identifier, protéger, détecter, répondre à l’incident, récupérer les systèmes pour garantir la continuité de service. Si les systèmes et processus sont souvent déjà en place sur les quatre derniers piliers, le premier, « identifier », est un vrai challenge pour les entreprises.

 

En effet, il nécessite de mieux connaître son SI, cartographier tous les actifs, identifier les plus sensibles pour mieux les protéger, travailler les risques. Sur ce premier point, la nouvelle réglementation RGPD, avec son registre des traitements et l’obligation de mener des analyses d’impact relatives à la protection des données (PIA), permet aux entreprises de mettre un pied à l’étrier.

 

 

Les accès aux actifs de l’entreprise : un axe d’analyse à ne pas négliger

 

Ensuite toujours au sein du pilier « identifier », un axe est à ne pas négliger : les accès au SI. En effet la mise en place d’une gouvernance des identités et des accès est indispensable, pour identifier qui en tant que personne ou système peut accéder à ces actifs et vérifier la légitimité de ces accès. Ces contrôles doivent être réalisés de manière continue pour prendre en compte les mouvements de l’entreprise et des personnes, ainsi que les changements du SI. Brainwave GRC permet également la mise en place de cette gouvernance en cartographiant les accès à vos actifs critiques en quelques semaines et de passer ainsi en mode analyse pro-active des accès.

 

D’autre part, l’automatisation des processus de revue, en impliquant de manière transverse les différentes équipes de l’entreprise est un important facilitateur. En le mettant en place au sein de votre organisation, vous obtenez par exemple une validation par les managers des accès des personnes dont ils ont la responsabilité, ou encore la validation des accès des comptes à privilèges par les responsables d’applications etc… et vous détectez ainsi avec l’aide des métiers les anomalies en amont, avant qu’elles ne soient exploitées par des personnes malveillantes. Pour être réellement efficaces, ces revues doivent être planifiées fréquemment (une fois par trimestre voir par mois en fonction des contextes) . Elles doivent être aussi peu que possible consommatrices de temps pour gagner plus facilement l’adhésion des métiers, d’où la nécessité de s’outiller afin de les optimiser et automatiser.

 

Cela vous permet d’autre part de répondre plus efficacement et facilement aux auditeurs et de respecter ainsi les nombreuses normes et réglementations en vigueur (ISO27001, RGPD, SOC etc.).

3 avril 2019

Dans les mêmes catégories