Si vos sauvegardes ne sont pas sécurisées, votre entreprise ne l’est pas non plus. Cybersécurité et continuité doivent désormais aller de pair pour que vous puissiez continuer à fonctionner.
Ayant passé plus de six ans dans les opérations informatiques d’Amazon, à gérer des infrastructures critiques qui ne peuvent pas se permettre de temps d’arrêt, j’ai pu constater par moi-même à quel point la convergence des cybermenaces et de la continuité des activités a fondamentalement changé la donne pour les dirigeants.
L’appel de 3 heures du matin que redoutent tous les RSSI et CIO ne concerne plus seulement une panne de serveur. Il s’agit d’acteurs malveillants sophistiqués qui comprennent que perturber vos opérations peut être plus rentable que voler vos données. Après avoir géré l’infrastructure informatique de l’une des plus grandes entreprises au monde et répondu à d’innombrables incidents, je peux vous dire que l’approche traditionnelle de la planification de la continuité des activités est dangereusement dépassée.
La question à 5,4 millions de dollars à laquelle chaque dirigeant doit répondre
Selon le rapport 2024 d’IBM sur le coût d’une violation de données, le coût moyen d’une violation de données a atteint 4,88 millions de dollars dans le monde, les interruptions d’activité représentant la plus grande partie de ces coûts. Mais voici ce qui m’empêche de dormir la nuit : ces chiffres ne donnent pas une idée complète de ce qui se passe lorsque les cybercriminels ciblent spécifiquement votre infrastructure de continuité d’activité.
Au cours de mon mandat en tant qu’ingénieur de support informatique chez Amazon, j’ai pu constater à quelle vitesse les perturbations opérationnelles se répercutent sur les systèmes interconnectés. Lorsque des attaquants ciblent vos sites de reprise après sinistre, vos systèmes de sauvegarde et les outils sur lesquels vous comptez pour restaurer vos opérations, l’impact financier se multiplie de façon exponentielle. La question n’est pas de savoir si votre organisation sera confrontée à une perturbation de ses activités induite par la cybersécurité ; il s’agit de savoir si vous y survivrez avec votre réputation et votre position sur le marché intactes.
Pourquoi les plans de continuité d’activité traditionnels échouent face aux menaces modernes
J’ai mis en œuvre des processus de gestion du changement dans des environnements nécessitant une disponibilité de 99,99 % et je peux vous dire que la plupart des plans de continuité d’activité ont été conçus pour une autre époque. Ils supposent que vos systèmes de sauvegarde, vos canaux de communication et vos procédures de récupération seront disponibles lorsque vous en aurez besoin. Les acteurs de la menace d’aujourd’hui ciblent spécifiquement ces hypothèses.
Le rapport Veeam Ransomware Trends 2023 révèle que 93 % des attaques de ransomware ciblent les référentiels de sauvegarde. Ce n’est pas une coïncidence. Les cybercriminels comprennent qu’en compromettant votre infrastructure de récupération, ils maximisent leur influence et votre désespoir.
De mon expérience dans la gestion des actifs informatiques et la coordination des réponses aux incidents, j’ai appris que l’hypothèse la plus dangereuse formulée par les dirigeants est que la cybersécurité et la continuité des activités sont des disciplines distinctes. Ce n’est pas le cas. Ce sont les deux faces d’une même médaille opérationnelle et les traiter séparément crée des vulnérabilités exploitées par des attaquants sophistiqués.
Le facteur humain : votre plus grand atout et votre plus grand risque
Ayant formé de nombreux ingénieurs et servi de point d’escalade pour des défis techniques complexes, j’ai observé un schéma critique : le comportement humain sous pression sape systématiquement même les contrôles techniques les plus sophistiqués. Lorsque vos systèmes principaux sont en panne et que les dirigeants exigent une restauration immédiate, votre équipe prendra des raccourcis.
Ils utiliseront des appareils personnels pour accéder aux systèmes de l’entreprise. Ils partageront leurs informations d’identification pour accélérer les processus de récupération. Ils contourneront les protocoles de sécurité pour rétablir rapidement les opérations. Ce n’est pas un problème de formation ; c’est un problème de nature humaine qui nécessite des solutions systématiques.
Le rapport Verizon Data Breach Investigations Report 2024 confirme que 68 % des violations impliquent un élément humain. Durant les situations de crise, ce pourcentage augmente considérablement à mesure que le stress et l’urgence l’emportent sur la conscience de la sécurité.
Construire une infrastructure résiliente : leçons tirées des environnements à haute disponibilité
La mise en œuvre de protocoles de sécurité réseau et de solutions de sauvegarde dans l’environnement exigeant d’Amazon m’a appris que la résilience nécessite un changement fondamental de mentalité. Vous ne pouvez pas simplement ajouter des mesures de cybersécurité aux plans de continuité des activités existants.
Vous devez concevoir l’ensemble de votre stratégie de continuité en partant du principe que vos systèmes principaux seront compromis.
Cela signifie mettre en œuvre une segmentation du réseau qui isole les fonctions commerciales critiques des réseaux généraux de l’entreprise. Lorsque des attaquants accèdent aux systèmes de messagerie ou aux partages de fichiers, ils ne devraient pas automatiquement accéder aux contrôles de fabrication ou aux systèmes financiers. Les directives de l’architecture Zero Trust du NIST fournissent un cadre, mais la mise en œuvre nécessite une compréhension approfondie de vos dépendances opérationnelles.
Vos systèmes de sauvegarde et de restauration nécessitent leurs propres considérations de sécurité. J’ai vu des organisations investir des millions dans une infrastructure de sauvegarde pour découvrir que les attaquants avaient un accès persistant à leurs environnements de récupération pendant des mois. Cela nécessite la mise en œuvre de stratégies de sauvegarde hors ligne, le maintien d’environnements de récupération isolés et le test régulier des procédures de restauration dans des conditions d’attaque simulées.
Le paradoxe du cloud : opportunités et vulnérabilités
Les services cloud présentent à la fois des opportunités et des défis pour la planification de la continuité des activités. Si les plateformes comme AWS, Azure et Google Cloud offrent une redondance géographique et une gestion professionnelle de la sécurité, elles créent également des dépendances vis-à-vis des fournisseurs externes et de la connectivité Internet.
L’enquête mondiale sur les centres de données 2023 de l’Uptime Institute a révélé que 80 % des pannes des centres de données auraient pu être évitées grâce à de meilleurs processus et à une meilleure formation. Dans les environnements cloud, vous dépendez des processus et de la formation de votre fournisseur, ce qui crée un profil de risque différent que de nombreux dirigeants sous-estiment.
Intégration : là où la plupart des organisations échouent
Une planification efficace de la continuité des activités doit intégrer dès le début la réponse aux incidents de cybersécurité. Cela signifie disposer de protocoles de communication qui fonctionnent même lorsque les réseaux principaux sont compromis, de processus de prise de décision qui tiennent compte des menaces de sécurité continues et de procédures de récupération qui ne réintroduisent pas de vulnérabilités par inadvertance.
L’approche traditionnelle consistant à se concentrer d’abord sur la restauration des opérations et à enquêter ensuite sur les problèmes de sécurité n’est plus viable. Les organisations doivent être en mesure de mener des analyses médico-légales tout en travaillant simultanément à la restauration des services. Cela nécessite des outils spécialisés, du personnel formé et des procédures qui concilient l’urgence de la reprise des activités avec la nécessité de préserver les preuves et d’éviter de nouvelles compromission.
Tests : la vérification de la réalité que la plupart des dirigeants évitent
Des tests réguliers deviennent encore plus critiques lorsque les menaces de cybersécurité sont prises en compte dans l’équation. Les organisations doivent mener des exercices qui simulent non seulement des pannes techniques, mais aussi des attaques actives contre leur infrastructure de récupération. Ces tests doivent inclure des scénarios dans lesquels les principaux canaux de communication sont compromis, le personnel clé n’est pas disponible et les systèmes de récupération eux-mêmes sont attaqués.
L’enquête SANS 2024 sur la détection et la réponse a révélé que les organisations qui effectuent régulièrement des exercices de simulation récupèrent 50 % plus rapidement des incidents réels. Mais les exercices sur table ne suffisent pas. Vous avez besoin d’exercices d’équipe rouge au cours desquels les professionnels de la sécurité tentent de perturber les procédures de continuité des activités en utilisant les mêmes tactiques que celles que de vrais attaquants pourraient employer.
L’impératif exécutif : agir avant la crise
L’intégration de la cybersécurité et de la planification de la continuité des activités ne fera que gagner en importance à mesure que les organisations deviendront de plus en plus dépendantes de l’infrastructure numérique. Les technologies émergentes telles que l’intelligence artificielle et les appareils Internet des objets créent de nouvelles surfaces d’attaque qui doivent être prises en compte dans la planification de la continuité.
La clé du succès réside dans la reconnaissance du fait que la cybersécurité et la continuité des activités ne sont pas des disciplines distinctes qui se chevauchent parfois. Ce sont des aspects fondamentalement interconnectés de la résilience organisationnelle qui doivent être planifiés, mis en œuvre et gérés comme une stratégie unifiée.
En tant que dirigeants, vous avez le choix : investir dès maintenant dans une continuité d’activité intégrée et résiliente aux cyberattaques ou expliquer à votre conseil d’administration, à vos clients et à vos actionnaires pourquoi votre organisation n’a pas pu maintenir ses opérations au moment où cela comptait le plus. Les acteurs de la menace font déjà leur choix. La question est : quel est le vôtre ?
Cet article est publié dans le cadre du Foundry Expert Contributor Network.
Voulez-vous nous rejoindre ?
