Cyberrésilience : point de vue d’ici et d’ailleurs

Dans cet article, je vous invite à explorer différentes approches de la cyberrésilience, basées sur son expérience acquise sur d’autres continents, en Amérique et dans le Pacifique.

Découvrez comment certaines leçons apprises ailleurs peuvent être bénéfiques ici!

La résilience des processus d’affaires

consiste à redémarrer les opérations de production

rapidement en mode dégradé,

pendant que les équipes informatiques

rétablissent les systèmes

et effectuent les vérifications nécessaires.

La cyberrésilience est une priorité pour les entreprises, qui sont confrontées à une augmentation des risques naturels et des risques en matière de cybersécurité.

Cependant, la perception du danger et les stratégies de préparation diffèrent selon les régions, façonnées par des contextes culturels et environnementaux. C’est avec enthousiasme que je vous fais part de mon expérience, naviguant entre Amérique et Pacifique.

Perception du risque de catastrophe

Au Québec, il existe un sentiment de sécurité et de protection à l’égard des cyberattaques. Beaucoup de gestionnaires croient que la province est moins susceptible d’être touchée par des

catastrophes informatiques.

C’est une perception souvent alimentée par une sous-estimation du risque. Cette attitude peut s’avérer dangereuse, car elle peut mener à un manque de préparation face à des attaques potentiellement dévastatrices.

Le Québec n’est pas situé en zone de conflit; toutefois, les cyberattaques ne connaissent pas de frontières, ni géographiques ni linguistiques.

La cyberrésilience vue d’ailleurs

De mon expérience récente dans le Pacifique, notamment en Nouvelle-Zélande, j’ai observé une plus grande préoccupation pour les risques naturels (séismes, inondations et tsunamis), en raison du contexte géologique et insulaire.

Cette conscience du risque engendre une culture de préparation et d’adaptation, qui se reflète dans le domaine de l’informatique.

Un exemple intéressant de collaboration et de préparation est celui de la communauté de Christchurch sur l’île du Sud, qui, à la suite des séismes de 2010 et de 2011, a développé une

infrastructure robuste incluant désormais la résilience.

Concrètement, la résistance est le fait de ne pas s’effondrer en cas de séisme, alors que la résilience est la capacité des personnes à retourner utiliser les infrastructures le plus rapidement possible, après que les ingénieurs ont effectué les vérifications nécessaires.

Cet exemple s’applique très bien aux incidents informatiques.

La résilience des processus d’affaires consiste à redémarrer les opérations de production rapidement en mode dégradé, pendant que les équipes informatiques rétablissent les systèmes et

effectuent les vérifications nécessaires. Notamment, en cas de cyberattaque, l’adversaire peut persister dans l’environnement.

Il est donc impératif de contenir et d’éradiquer la menace avant de restaurer les systèmes, ce qui n’est pas vraiment le cas lors d’un désastre naturel.

Se préparer et s’entraider

Dans le Pacifique, j’ai échangé avec des entreprises qui ont développé des stratégies uniques pour assurer la continuité de leurs opérations.

Par exemple, elles utilisent des serveurs montés sur des systèmes antisismiques ou ont mis en place des accords avec des exploitations agricoles pour la fourniture de diesel en cas de coupures de courant prolongées.

J’ai rencontré des gestionnaires qui, face aux risques, ont une compréhension profonde de leurs opérations critiques. Ils privilégient des solutions simples et une collaboration étroite avec leurs clients et partenaires pour fonctionner en mode dégradé.

Lors d’une cyberattaque, j’ai vu des personnes de secteurs d’affaires se porter volontaires pour réinstaller des ordinateurs à l’aide de clés USB et d’une procédure simple. Ce sont aussi des PME qui ont le réflexe d’appeler leur compétiteur pour obtenir de l’assistance.

À l’aide de systèmes de plan de continuité et de relève informatiques conjoints ou réciproques, les entreprises peuvent faire face ensemble à des risques qui sont hors de leur contrôle. Ce fut le cas lors du cyclone Gabrielle, qui a affecté l’île du Nord et la région d’Auckland en février 2023.

Ce sont parfois des solutions évidentes, comme le déploiement de liens de secours Internet par satellite grand public, qui a été un facteur clé de succès. Dans l’urgence, j’ai vu des professionnels en cybersécurité apporter leur assistance pour garantir un bon niveau de confidentialité et d’intégrité lors des interventions visant à rétablir la disponibilité des systèmes et des moyens de communication.

Le déploiement d’ordinateurs, de médias amovibles ou de liaisons Internet de secours ne doit pas négliger les processus de sécurité (correctifs de sécurité, endurcissement, chiffrement, etc.). Ce principe est d’ailleurs très bien décrit dans la clause 5.29 de la norme ISO 27002:2022, qui exige le maintien de la sécurité de l’information lors de la continuité et de la relève.

Partager les leçons apprises

Ces cas concrets sont des enseignements précieux pour les autres régions du monde, où une augmentation de la résilience et de la préparation pourrait grandement bénéficier aux organisations.

Adopter une approche proactive, axée sur la compréhension des opérations essentielles et des vulnérabilités et sur le développement de partenariats solides, pourrait améliorer la capacité des entreprises à résister, mais surtout à se rétablir face aux cyberattaques et aux désastres naturels.

Les entreprises de taille moyenne (environ 50 employés pour la Nouvelle-Zélande et 100 pour le Québec) peuvent compter sur un plus grand niveau d’agilité. De plus, certaines façons de faire, apprises dans les plus petites structures, peuvent s’appliquer facilement, surtout en contexte d’urgence, où il est essentiel d’aller... à l’essentiel!

La cyberrésilience ne se limite pas à la mise en place de technologies avancées. Elle exige également une compréhension claire des risques spécifiques à chaque environnement et une préparation adaptée.

Les exemples que j’ai donnés de mon expérience dans le Pacifique démontrent l’importance d’une approche pragmatique, intégrant la préparation aux désastres naturels et aux risques en matière de cybersécurité et basée sur la collaboration.

Les entreprises auraient tout à gagner à s’inspirer de ces modèles pour développer leur propre résilience face à un paysage de menaces en constante évolution.

Article rédigé par Dimitri Souleliac

Dimitri Souleliac, directeur et consultation en cybersécurité Gouvernance, audit et gestion des risques en matière de cybersécurité.

Pour en savoir plus : https://www.linkedin.com/in/dimitrisouleliac/

COMPLÉMENT : 3 CONSEILS POUR AUGMENTER VOTRE CYBERRÉSILIENCE

• Ayez une trousse d’urgence avec des solutions simples : votre kit (trousse) de survie informatique devrait contenir l’essentiel pour reconstruire votre système informatique à partir de zéro (documentation papier, clés USB, ordinateurs portables de secours, logiciels de base, clés d’authentification forte, clés de chiffrement, téléphones avec accès Internet 4G/5G ou satellite).
  

• Collaborez et entraidez-vous : la collaboration entre entreprises montre l’importance de la solidarité en cas de crise. Réfléchissez à un partenariat d’assistance et d’échange de ressources, à l’utilisation de plans de continuité et de relève informatique conjoints ou réciproques, et même, dans certains cas précis, au volontariat interne pour rétablir vos systèmes. Ce sont des pratiques qui renforcent la résilience des entreprises et de la communauté.
  

• Adoptez une culture axée sur la préparation et l’adaptation : inspirée par les stratégies de réponse aux catastrophes naturelles, cette culture vous permet de vous préparer à faire face à un incident et à vous rétablir rapidement à la suite de ce dernier. En cas de cyberattaque, apprenez à vous adapter à la situation, car les scénarios sont bien plus incertains qu’un cas de feu ou d’inondation. L’objectif est d’accélérer la relève de vos opérations les plus critiques