Avec la continuité des activités, les CISO doivent naviguer dans un mélange complexe de sécurité, de priorités commerciales et de résilience opérationnelle – souvent sans propriété claire du processus.
Les cyber-incidents, en particulier les ransomwares, modifient la façon dont les entreprises évaluent les risques et la résilience. En conséquence, ce qui était autrefois en grande partie une fonction du CIO devient celui d’un CISO, avec lesquels il assumait davantage de responsabilités de risque commerciale, notamment la continuité des activités et la gestion des risques tiers, selon le rapport IANS State of the CISO 2025.
Du point de vue du CISO, la continuité des activités a trois croisements principaux. Le premier est la contribution à la gestion des risques dans les contrôles de sécurité. «Il recueille toutes les informations par une bonne continuité des affaires et la reprise après sinistre et l’alimentation dans d’autres composantes de sécurité», explique Wolfgang Goerlich, CISO dans le comté d’Oakland, gouvernement du Michigan.
Les chefs de cybersécurité doivent assurer une récupération rapide des systèmes sans réinfection
Le défi pour les CISO est d’assurer la sécurité tout en garantissant que l’entreprise se remonte rapidement sans réinfecter les systèmes ou prendre des décisions précipitées qui pourraient conduire à des incidents répétés.
La nouvelle réalité de la continuité des affaires traite des perturbations menées par les cyber-dirigés. Les organisations ont pris note, 46% des organisations nomment des incidents de cybersécurité comme la principale priorité de continuité des activités, selon le rapport de la continuité de l’état des activités de Forrester.
En outre, près des deux tiers augmentent leurs budgets de continuité des activités (Colombie-Britannique, montrant l’importance que les organisations consacrent à développer des programmes matures et à atténuer le risque d’incidents critiques tels qu’une cyberattaque.
«Avec la continuité traditionnelle des activités, nous avions une poignée de scénarios – perte de puissance, défaillance de l’équipement, incendie, erreur de configuration – et nous avions la même approche, qui devait récupérer votre dernière image soutenue», explique James Blake, vice-président de la stratégie de cyber-résilience à la cohésité.
Avec les cyber-incidents, cependant, il est nécessaire de comprendre comment l’incident s’est manifesté pour s’assurer que les systèmes ne sont pas récupérés d’une manière qui ramène les problèmes et les risques réattaqués ou réinfectés, ce qui a conduit à plus de temps, note Blake.
La complexité et la prévalence des cyberattaques entraînent le CISO dans la planification et la responsabilité de la Colombie-Britannique et Blake suggère une réponse à trois volets: assister à la vulnérabilité, car c’est la principale façon dont les ransomwares entrent, adaptez continuellement des règles préventives pour arrêter les ransomwares et, d’une importance cruciale, supprimer les artefacts de l’attaque. «Les artefacts incluent les comptes créés, les politiques de sécurité, les autres configurations modifiées et les façons dont ils ont utilisé pour maintenir la persistance parce que si nous ne les sortons pas, nous réinitialisons simplement l’horloge du jour du jour à 23h59», explique Blake.
Cio-Ciso Divide: qui possède la continuité des affaires?
Bien que les CISO puissent constater que leur mandat se développe pour couvrir la continuité des activités, un manque de délimitation claire des rôles et des responsabilités peut exprimer des problèmes.
Pour gérer efficacement la continuité des entreprises, les leaders de la cybersécurité ont besoin d’un cadre pour collaborer avec le leadership informatique.
Répondre aux événements nécessite un équilibre délicat entre la minutie de l’enquête et la vitesse de reprise que les approches traditionnelles du plan de continuité des activités peuvent ne pas convenir.
Sur le papier, le CISO possède la protection de la confidentialité, de l’intégrité et de la disponibilité, mais la disponibilité a été externalisée il y a longtemps au CIO ou aux installations, selon Blake. « BCDR appartient généralement au CIO ou aux installations, mais dans un cyber-incident, le CISO tiendra la chaîne de toilettes pour l’attaque, tandis que toute la plomberie est fournie par le CIO », dit-il
À tout le moins, le CISO a besoin d’un siège à la table pendant la réponse des incidents, mais idéalement, les deux équipes doivent travailler en collaboration avant, pendant et après. D’après l’expérience de Blake, c’est la caractéristique déterminante des organisations qui souffrent du moins de temps d’arrêt. «Ils ont ce modèle de responsabilité partagé entre les deux équipes. Ils ont fait de la façon dont ils remettent de l’un à l’autre et ils ont une bonne gestion des cas entre les deux, donc rien n’est pas manqué», dit-il.
Il devient de plus en plus courant de faire partie de la boîte à outils Ciso, mais il y a encore beaucoup de va-et-vient autour de qui devrait posséder BCDR et à quel point il devrait être déployé, selon Goerlich. «J’ai été dans des organisations où BCDR a été fait séparément, où nous étions partenaires, mais pas directement impliqués. J’ai été dans d’autres organisations où j’étais le principal moteur du programme», explique Goerlich.
Que le CISO définit ou non les mesures de temps d’arrêt dépend de qui a la responsabilité du programme, explique Goerlich. Quoi qu’il en soit, il est motivé par la douleur que l’organisation ressent selon l’analyse de l’impact commercial. Par exemple, l’objectif de temps de récupération (RTO) variera en fonction de l’industrie et des considérations pertinentes telles que la sécurité dans la fabrication et les taux de santé et d’intégrité ou les taux d’achèvement des processus commerciaux dans les services financiers.
«En ce qui concerne la gestion des risques et de la chaîne d’approvisionnement des tiers, si c’est la responsabilité du CISO, il prend tout le travail que le CISO fait et y ajoute des exigences BCDR, puis de réadorer», explique Goerlich.
Dans un cas, il a aidé une banque à auditer son SLA, en commençant par faire correspondre ses SLA internes aux SLA des fournisseurs de services, puis en effectuant des visites ponctuelles avec certains de ces prestataires de services pour voir s’ils pouvaient livrer ces SLA. «Beaucoup d’entre eux n’étaient pas aussi préparés qu’ils l’ont dit, beaucoup avaient des stratégies inefficaces, et beaucoup avaient des choses que l’équipe de vente promettent, que l’équipe technique n’était pas au courant ou incapable de répondre», dit-il.
La confusion quant à qui possède la responsabilité ultime de la continuité des entreprises et de la reprise après sinistre fait partie de la lutte en cours sur la CISO pour devenir un véritable partenaire commercial.
Quantification de l’efficacité de la continuité des activités
Les programmes de la Colombie-Britannique sont fondamentaux non seulement pour aider l’organisation à maintenir leur vision et sa promesse de marque, quelle que soit la crise, mais atténue les risques financiers et opérationnels et se conforme aux réglementations.
Cependant, certaines données de l’industrie montrent une différence entre l’auto-évaluation et les performances réelles, ce qui suggère qu’il existe un écart critique entre la perception et la réalité dans les programmes de continuité. Selon le Ransomware, 95% des organisations surestiment leurs capacités de cyber-résilience et conduisent à des perturbations de continuité des activités ainsi qu’à des paiements de ransomwares, selon le Cohesity Global Cyber Resilience Report 2024.
Le temps pris pour récupérer les données et restaurer les processus métier après une cyberattaque était en dehors de l’objectif de temps de récupération optimal ciblé dans presque tous les cas, tandis que la moitié avait simulé un cyber-événement ou une violation de données au cours des six derniers mois.
Cela montre qu’il y a un besoin d’une mesure objective et d’une évaluation réaliste. Pour les CISO, ils doivent avoir des commentaires sur le temps qui est alloué à l’enquête et à l’assainissement pour se remettre en toute sécurité d’un cyber-incident. «Si votre RTO est de deux jours, avec un cyber-incident, vous n’allez pas y parvenir sans un énorme investissement parce que vous avez ces étapes supplémentaires», explique Blake.
En raison du temps nécessaire pour enquêter et de la nécessité de se référer aux sources et configurations de confiance, la reconstruction plutôt que la récupération et le nettoyage peut gagner du temps et assurer une récupération sûre, selon Blake. Néanmoins, cela nécessite un niveau de maturité que toutes les organisations et les CISO n’ont pas atteints. «Les organisations peuvent généralement faire des éléments de reconstruction pour pas beaucoup plus d’efforts qu’une récupération et un nettoyage de volume traditionnels», dit-il.
Les organisations ayant des programmes matures de la Colombie-Britannique ont connu moins d’événements de risque critiques, selon le rapport Forrester. Cependant, les programmes BCDR matures nécessitent des améliorations progressives. Les CISO peuvent développer leur approche et approfondir leur implication à mesure que l’organisation se déplace le long de l’échelle de maturité.
À un faible niveau de maturité, les CISO voudront commencer par s’assurer que les systèmes et le travail BCDR sont unifiés entre l’informatique et la sécurité, explique Goerlich. Son conseil est d’adopter un état d’esprit à l’échelle de l’échéance, de prendre une approche basée sur les risques et de démarrer petit. «Rencontrez l’entreprise où elle se trouve et améliorez lentement la posture de sécurité et les capacités de continuité et de récupération», dit-il. « Ne sautez pas pour essayer de tout faire parce que vous vous épuiserez. »
Gardez à l’esprit que les scénarios et les stratégies dépendent beaucoup de la technologie et de la menace. Déplacez ensuite pour cartographier les fonctions, les menaces et les stratégies pour récupérer. «Vous pouvez réduire ce qui semble être un grand nombre de choses que vous devez faire à un portefeuille beaucoup plus gérable de réponses de continuité et de récupération», explique Goerlich.
Enfin, il est de comprendre que la Colombie-Britannique est plus qu’un simple exercice de conformité à déléguer. La continuité et le rétablissement peuvent être très stratégiques car il donne un aperçu de ce qui compte pour l’entreprise et qui compte pour l’entreprise. Visez à avoir une certaine propriété et une responsabilité. «Sinon, les CISO manquant vraiment l’entrée stratégique et la possibilité d’utiliser cette fonction pour élever votre voix au sein de l’organisation», dit-il.
La résilience est plus qu’une simple récupération
L’enquête Forrester a révélé que le développement d’une approche plus intégrée de la résilience opérationnelle est une priorité élevée pour les organisations, en particulier en Amérique du Nord à 46%. La résilience pense au-delà des modèles de récupération traditionnels vers une stratégie de sécurité basée sur la minimisation des vulnérabilités, l’adaptation en temps réel et le maintien des opérations malgré les menaces permanentes.
Goerlich dit que la résilience est une combinaison de reprise après sinistre, de continuité des activités, de haute disponibilité et de réponse aux incidents. «La résilience est le terme parapluie global pour toutes ces capacités pour offrir cet objectif supérieur de protéger la capacité de l’organisation à réaliser sa mission», dit-il.
Pour les CISO, il y a une opportunité de fléchir leurs cyber muscles en ce qui concerne la cyber-risque, la continuité des activités et aller plus loin pour adopter l’objectif de la résilience organisationnelle.
En tant qu’organisation des services financiers, Bread Financial opère dans l’une des industries les plus réglementées et Ciso Gaurav Kapil affirme que sa posture de cybersécurité s’aligne avec le CSF NIST. La fonction de récupération fournit l’élément de continuité et de résilience. Dans la pratique, cela comprend des exercices de table, des opérations de récupération ciblées axées sur les opérations commerciales critiques et se présenter les bonnes fonctionnalités pour absorber et se défendre contre les attaques.
«Aujourd’hui, beaucoup de mauvais trafic proviennent du trafic bot, donc avoir des capacités pour détecter et atténuer cela de manière autonome est l’une des fonctions clés dont un programme de cyber a besoin pour fournir ce niveau de cyber-résilience et de continuité de la fonction», explique Kapil.
Ces capacités sont essentielles pour assurer la résilience, qui doit être l’objectif global dans la conception d’une cyber stratégie. Kapil pense que la notion de continuité est un peu datée car elle suppose que lorsque quelque chose ne va pas, certains services doivent être fermés puis ramenés en ligne pour continuer à fonctionner. Au lieu de cela, avec la résilience, l’objectif est de développer des systèmes qui ont la capacité d’absorber et de détourner toutes les activités anormales dans leur environnement.
«Dans mon esprit, il ne s’agit plus de reprise après sinistre et de planification de la continuité des activités conventionnelles, il s’agit davantage de la résilience des affaires et de la technologie où vous vous attendez à ce que certaines choses se trompent et vous concevez votre résilience à la conception elle-même.»
