Face à l'explosion des cyberattaques, l'heure n'est plus à la prévention et à la détection mais à la continuité des activités

Il n'est aujourd'hui plus possible de se prémunir totalement des cyberattaques. Il faut donc privilégier la continuité des activités, même en mode dégradé, pour assurer la survie des organisations.

Face à l’explosion de la cybercriminalité,  il n’est aujourd’hui plus possible de se prémunir totalement : une PME française sur deux déclare ainsi avoir déjà été touchée (sondage Watchguard, septembre 2024). Il faut donc privilégier la continuité des services, même en mode dégradé, pour assurer la survie des organisations, à travers des projets de haute résilience.

Une vague massive qu’il est désormais difficile de contenir

Difficile aujourd’hui, pour les entreprises et les acteurs public de faire face à des cyberattaques de plus en plus massives : en 2023, 94% des responsables informatiques et de la sécurité déclaraient avoir subi une attaque majeure, avec une moyenne de 30 tentatives annuelles (Source : Rubrik Zero Labs) ; entre février et mars 2024, les mairies subissaient une augmentation de 95% de ces tentatives (source : Mailinblack).

Un SI “ceinture et bretelles” qui permet d’assurer la continuité des activités

Dans un monde idéal, pour absorber complètement une attaque, une organisation devrait être dotée de trois outils essentiels : 

  1. Un plan de continuité des activités (BCP), document stratégique qui permet d’analyser les risques et impacts auxquels la structure est confrontée. Cette dernière doit analyser les systèmes critiques et définir les applications à rétablir en priorité en cas d’interruption, en fonction de la nature de son activité. Pour chacune, elle doit calculer un RTO (Recovery Time Objective) qui représente la durée maximale d’interruption admissible. Celui-ci peut varier en fonction de l’activité et de la période : la remise en route du CRM est critique pour une entreprise du e-commerce tandis que le logiciel de gestion de la paie pourra être rétabli avec un peu de délai si l’attaque survient en milieu de mois.

    Le BCP fixe aussi des procédures de crise qui permettent d’organiser, sous stress, les tâches à réaliser dans un ordre précis ainsi que des règles de communication interne et externe.
     
  2. Un plan de récupération des process et données. Celui-ci doit être anticipé grâce à des sauvegardes régulières et immuables. Elles doivent être à la fois locales et en cloud afin de faire face aux attaques directes mais également à des incidents qui se dérouleraient au sein du datacenter. En cas de sinistre, il est alors possible d’utiliser ces sauvegardes pour restaurer ses données et applications. A condition qu’elles soient chiffrées pour éviter les cryptolockages.

    Mais c’est loin d’être suffisant. Le process de sauvegarde doit être doublé d’un process de réplication des données pour maintenir une copie en temps réel des informations les plus sensibles dans le cloud et sur plusieurs emplacements (en temps réel, de manière asynchrone ou, pour une sécurité maximale, de manière synchrone.)
     
  3. Un plan de reprise d’activité. Pour les organisations les plus matures, il est également possible d’envisager plusieurs options de DR sites (Disaster Recovery site) qui feront office de sites de secours pour assurer la continuité des opérations sur le site principal. Trois options sont envisageables : à chaud (un site secondaire toujours prêt à prendre le relai), à froid (après un certain temps de configuration), à tiède (une solution intermédiaire en partie pré-configurée). Ces sites doivent être enrichis grâce à des plans de Disaster Recovery, par le biais d’outils d'orchestration qui permettent d’automatiser les processus de basculement et de récupération.

Ces trois outils peuvent être complétés par la mise en place de réseaux redondants et de services Cloud élastiques

L’IA, une opportunité pour des organisations freinées par le manque de moyens ?

Les responsables des systèmes informatiques sont conscients des enjeux de la continuité des services (aussi bien pour les organisations elles-mêmes que pour les usagers, notamment dans les collectivités et des secteurs tels que la santé). Ils sont cependant freinés par l’investissement financier indispensable à la mise en place d’une double infrastructure (opérationnelle et back-up). Ces structures doivent alors prioriser la sauvegarde des données qui permet de sécuriser l’essentiel et d’assurer une activité a minima, sans délai.

Les outils basés sur l’IA pourraient constituer une opportunité : s’ils ne réduisent pas drastiquement les coûts, ils pourraient limiter l’impact des cyberattaques en offrant davantage de réactivité et en favorisant des reprises plus rapides.