Plan de Reprise d’Activité spécial TPE/PME :​ simple, efficace et accessible

Les TPE/PME n’ont pas le temps ni les moyens de sécuriser leur entreprise.​

Pourtant, l’adage dit bien :​

la cybersécurité avant, c’est trop cher;

après, c’est trop tard. ​

​Changeons les règles en leur proposant un Plan de Reprise d’Activité (PRA) simple et efficace, synonyme de résilience face aux cybermenaces.

Il est difficile de catégoriser toutes les TPE/PME de manière uniforme. En effet, une start-up composée de cinq personnes travaillant dans le domaine nucléaire n’aura pas les mêmes priorités en matière de PRA qu’une PME agroalimentaire comptant 200 employés.​

Nous allons voir comment mettre en place un PRA sur mesure qui puisse correspondre à un grand nombre d’entre elles.​

Revenons-en aux fondements de la norme ISO 22301, qui assure la continuité d’activité en cas d’incidents. À l’instar des autres normes de sécurité connues, une bonne définition du contexte est primordiale.​

Le contexte​

Le marché SMB possède un avantage significatif par rapport aux grosses entreprises sur ce plan. Les rapports humains y sont plus faciles, les différents services moins cloisonnés et le taux de turn-over généralement moins élevé. Il est alors plus aisé pour un certain nombre de collaborateurs d’avoir une vision exhaustive et globale du contexte de leur entreprise. ​

Comprendre en profondeur l’organisation, ses processus, ses activités critiques, les parties prenantes et l’environnement concurrentiel et réglementaire constitue les fondements de la reprise d’activité. Il s’agit d’identifier l’essence même de cette dernière pour pouvoir la reprendre au plus vite après un incident.​

Il est nécessaire d’envisager comment un incident pourrait survenir. À défaut d’une analyse de risques complète, nous pouvons ici nous poser quelques questions de base :​

• Quels sont les biens dits « essentiels » de mon entreprise? Ces éléments peuvent être définis comme des actifs, des processus, une fonction critique, des données... Ils jouent un rôle crucial dans le fonctionnement de l’organisation, et leur préservation est indispensable pour assurer la continuité des activités.​
  

• Sur quels supports reposent ces biens essentiels? Il s’agit ici des supports physiques ou humains, tels qu’un serveur, un pare-feu, un coffre-fort ou un employé. Ce n’est pas le coffre en soi que vise le cambrioleur, mais l’argent à l’intérieur. Mais pour l’obtenir, notre voleur devra concentrer toute son énergie sur le contenant et non le contenu. ​

Pour minimiser le risque de cessation d’activité, il est nécessaire de redonder les biens supports contenant des données critiques pour l’entreprise. N’oublions pas les collaborateurs, en particulier dans le contexte des PME, où souvent un seul employé a accès à certaines ressources. ​

Une bonne compréhension du contexte permet donc de déterminer les données essentielles pour l’entreprise. Une fois qu’elles sont collectées, il convient de les sauvegarder régulièrement.​

La sauvegarde​

Une pratique bien connue dans ce domaine est celle du 3-2-1 :​

• 3 copies des données;​
  

• 2 sur un support différent (un disque dur chiffré dans un coffre-fort et un serveur de stockage, par exemple);​
  

• 1 sauvegarde hors site.​
  

Le stockage des données peut malheureusement être coûteux. Ces données sont en effet ce que vous avez de plus sensible et il convient de ne pas les laisser à n’importe qui. Vous aurez alors tendance à vouloir choisir un hébergeur souverain, ultrasécurisé et bardé de certifications. Mais alors le prix sera vite rédhibitoire. ​

Une solution de rechange sera de stocker les données dans une archive chiffrée. Une méthode de chiffrement robuste telle que l’AES 256 et un mot de passe fort seront les garants de votre confidentialité. ​

Vous pourrez alors en toute quiétude mettre votre archive chez un hébergeur plus abordable financièrement.​

Une deuxième copie des données peut être stockée sur un disque dur chiffré, tandis qu’une troisième peut être conservée sur un serveur de fichiers. Il est essentiel de gérer de manière sécurisée les mots de passe et les clés de chiffrement, en les conservant dans un lieu sûr, comme un coffre-fort numérique.​

Une fois ces données mises en sûreté, il faut déterminer nos métriques. ​

Le recovery point objective (RPO) correspond à la perte de données maximale admissible. Par exemple, si mes sauvegardes sont effectuées toutes les 24 h, j’accepte, au pire, de perdre 23 h 59 min de données.​

Il est ensuite nécessaire de définir la durée d’interruption maximale admissible, appelée return time objective (RTO). Il faudra alors faire en sorte de pouvoir restaurer les sauvegardes durant le laps de temps défini, même si cela signifie fonctionner temporairement en mode dégradé.​

Voir schéma de synthèse ci-dessous​

La reprise de l’activité​

Que l’interruption de l’activité soit intentionnelle ou non, tous les efforts sont déployés pour éviter qu’elle ne se produise. Un incident peut malgré tout survenir. Il sera certes traité différemment selon sa nature. Cependant, certaines étapes sont communes : identifier la cause, évaluer les conséquences et, en fonction de celles-ci, restaurer les sauvegardes.​

En cas de cyberattaque, il sera nécessaire d’investiguer pour s’assurer que cette dernière a bien été endiguée. Pour ce faire, il est essentiel d’isoler le réseau de l’entreprise d’Internet et de mener des analyses pour neutraliser la menace. Il est probable que, dans ce cas, les sauvegardes locales, voire en mode logiciel-service SaaS, soient compromises. Dans ce cas, celles du disque dur prennent le relais.​

La nécessité d’une reprise d’activité découle de cette réalité implacable : ​

Personne n’est à l’abri d’une cyberattaque. ​

C’est un peu comme un motard qui roule tous les jours pendant 40 ans. À un moment donné, le risque de chute devient presque inévitable. Dans ce contexte, la reprise d’activité joue le rôle d’équipement de protection et de tampons antichute pour atténuer les conséquences d’une chute et permettre au motard de reprendre la route rapidement.​

Ainsi, mettre en place un PRA efficace et isoler correctement ses sauvegardes permettra à une entreprise de reprendre ses activités le plus rapidement possible. ​

Article rédigé par Pierre-Alban Maurin​

Pierre-Alban Maurim, est responsable de BU Cybersécurité​ qui propose des offres cyber spécifiquement​ conçues pour les TPE/PME (SOC humain 24/7,​ audits, mise en conformité…).​

Pour en savoir plus : https://www.tmgcybersecurity.eu​

COMPLÉMENT : 10 CLÉS POUR METTRE EN OEUVRE SON PRA SIMPLIFIÉ

• Lister toutes les données cruciales à mon entreprise pour la reprise d’activité.​
  

• Mettre toutes ces données dans une archive chiffrée et cette dernière dans le cloud.​
  

• Les mettre également dans un disque dur chiffré, ce dernier étant à mettre en lieu sûr.​
  

• Les mettre enfin dans un serveur de fichier ou autre stockage en local.​
  

• Définir sa perte de données maximale admissible (recovery point objective en anglais). Effectuer les sauvegardes en conséquence, et ce, régulièrement. Par exemple, je ne peux pas me permettre de perdre plus de trois jours de travail pour la survie de mon entreprise. Je vais donc définir mon RPO à 72 h et mettre à jour mes sauvegardes tous les trois jours.​
  

• Définir ma durée d’interruption maximale autorisée (return time objective en anglais). S’entrainer régulièrement à restaurer les sauvegardes durant ce laps de temps. Définir également, si besoin, un délai d’intervention du prestataire en cybersécurité en adéquation avec le RTO pour les besoins des investigations numériques.​
  

• En cas d’incident, trouver la cause et évaluer les conséquences.​
  

• Si l’incident est dû à une cyberattaque, commencer par isoler le réseau d’Internet.​
  

• Mener ou faire mener les investigations numériques pour neutraliser la menace.​
  

• Restaurer les sauvegardes une fois l’attaque endiguée.