La cyberrésilience dans la pratique: stratégies et bonnes pratiques

La résilience face aux cyberattaques est essentielle pour maintenir le fonctionnement d’une entreprise en cas d’attaque. Cet article présente des approches axées sur la pratique destinées à renforcer la cyberrésilience et résume les principales étapes et mesures dans une check-list.

Septembre 2024, Texte Andreas Heer 4 Min.

Il est facile de se poser des questions concernant la capacité de résistance à une cyberattaque: Comment puis-je garantir le fonctionnement après une attaque de ransomware ou en cas d’attaque DDoS? Suis-je concerné par de nouvelles failles de sécurité et de nouvelles formes d’attaque, et quel est leur impact? En revanche, il est un peu plus difficile de trouver des réponses à de telles questions sur la cyberrésilience d’une entreprise. Elles consistent à connaître son propre dispositif en matière de cybersécurité (cybersecurity posture), l’état actuel de la protection.

Cet article met en lumière des approches axées sur la pratique destinées à renforcer la cyberrésilience. Les principales étapes sont résumées dans une check-list à la fin du texte.

La préparation: définir la cybersecurity posture

L’analyse de la situation réelle est essentielle pour identifier et corriger les points faibles de votre propre cyberdéfense. «Nous surveillons l’état général des menaces, effectuons en permanence des analyses de risques et validons nos mesures de sécurité», résume Marco Wyrsch, Chief Security Officer (CSO) de Swisscom, à propos de cette étape.

Il s’agit d’un ensemble complet de dispositifs qui englobent la technologie, les procédures et les personnes, tels que les tests de pénétration, l’analyse des vulnérabilités ou le red teaming, afin de détecter les faiblesses de l’infrastructure. La collaboration avec des personnes et des organisations extérieures à l’entreprise joue un rôle important à cet égard, souligne Marco Wyrsch: «Notre programme Bug Bounty nous fournit de précieuses informations sur les faiblesses de nos propres offres, tandis que l’échange d’informations avec nos partenaires nous fournit des indications que nous pouvons intégrer à notre cyberdéfense.»

En combinaison, cette surveillance permanente de la situation et de l’infrastructure fournit une multitude de signaux. «C’est un défi», admet Marco Wyrsch. «C’est pourquoi nous adoptons une approche axée sur les risques et misons sur des outils qui nous aident à fixer les bonnes priorités.»

La mise en œuvre: renforcer la cyberrésilience

Ces priorités débouchent sur des mesures qui sont classées et mises en œuvre selon les phases du Cybersecurity Framework (CSF) du NIST. «Il s’agit de mesures organisationnelles, procédurales et techniques, mais aussi de mesures qui s’adressent au potentiel des collaborateurs», explique Marco Wyrsch. L’humain occupe une place centrale, souligne le CSO de Swisscom: «Nous voulons donner aux collaborateurs les moyens d’effectuer leur travail en toute sécurité. Nous apportons ainsi à notre tour une certaine sécurité aux collaborateurs et donc aussi une résilience qui ne se limite pas seulement à la technique, mais dont bénéficie aussi chaque collaborateur.»

En matière de protection technique, Marco Wyrsch mise sur des approches modernes telles que Security by Design ou la défense en profondeur multicouche. «Les approches zero trust sont également de plus en plus utilisées», ajoute-t-il.

La cyberrésilience permet aux entreprises de résister aux cyberattaques. L’étude de tendances PAC vous apprendra comment rendre votre organisation résiliente.

«Nous voulons donner aux collaborateurs les moyens d’effectuer leur travail en toute sécurité. Nous créons ainsi une résilience qui ne se limite pas seulement à la technique»

Marco Wyrsch, CSO Swisscom

Les approches de détection et de réaction aux incidents, la Threat Detection and Response, ont également une dimension multicouche. «Nous apportons en permanence des optimisations en la matière», explique Marco Wyrsch. «D’une part, pour être toujours à la pointe de la technique et connaitre l’état des menaces. D’autre part, pour pouvoir offrir aux collaborateurs chargés de la cybersécurité un environnement de travail attrayant dans lequel les incidents triviaux occupent une place moindre.» Si possible, leur traitement est automatisé et au moins trié en amont et préparé au moyen de l’apprentissage automatique ou de l’IA générative.

La recette du succès: la collaboration entre les divisions

Tout comme les mesures de cybersécurité ont lieu à différents niveaux, leur mise en œuvre et leur développement ont lieu également dans différentes divisions informatiques et opérationnelles. Cette collaboration interdisciplinaire est nécessaire pour qu’une culture de la sécurité soit ancrée dans toute l’entreprise, souligne Marco Wyrsch: «La collaboration est la clé du succès des mesures de sécurité et de l’instauration d’une organisation résiliente. Sans les personnes qui mettent en œuvre, développent et exploitent au quotidien les mesures adéquates, la généralisation nécessaire ne serait pas possible.»

En raison d’un nombre croissant de réglementations, la cybersécurité devient également de plus en plus importante sur le plan de la conformité et donc d’un point de vue juridique. Marco Wyrsch décrit la tâche comme suit: «Souvent, la sécurité fait le lien entre les unités opérationnelles telles que l’informatique et les différentes divisions juridiques afin de répondre aux exigences de conformité et d’établir une cyberdéfense efficace et résiliente à l’aide de mesures basées sur les risques.»

Le facteur humain joue non seulement un rôle en tant que «first line of defence», mais aussi dans le renforcement de la cyberrésilience. «Grâce à une collaboration étroite, nous pouvons garantir que notre cyberstratégie est complète et ancrée à tous les niveaux de l’entreprise», déclare Marco Wyrsch. Cela suppose également l’implication de la direction et l’établissement de priorités en matière de sécurité.

Le test de résistance: examen des mesures

Toutefois, les meilleures mesures ne sont d’aucune utilité si elles ne sont pas régulièrement testées et, lorsque cela se révèle nécessaire, adaptées. Les cyberattaques réelles servent également de pierre de touche, explique Marco Wyrsch: «Nos Incident Response Plans sont donc régulièrement employés et font l’objet d’exercices et de tests.»

Cela vaut du moins pour les formes d’attaques fréquentes telles que les ransomwares, le phishing ou le DDoS. Toutefois, il est nécessaire que les entreprises soient également préparées à faire face à des scénarios moins fréquents. «Nous testons ces derniers par exemple dans le cadre du Red Teaming ou avec d’autres méthodes telles que les Tabletop Exercises», explique Marco Wyrsch. «Toutefois, toujours devoir être prêt dans les scénarios plus rares et avoir à disposition à tout moment les plans dans une version relativement actuelle constitue un véritable défi.»

Les obstacles: les faiblesses de la cyberrésilience

Le contrôle et l’adaptation répétés des mesures sont essentiels pour une cyberrésilience efficace. En effet, la progression du côté des assaillants est forte. Les cybercriminels sont ingénieux lorsqu’il s’agit de développer de nouvelles formes d’attaque et de neutraliser les mesures de protection existantes. À cela s’ajoutent de nouvelles faiblesses auxquelles la cyberdéfense doit réagir. En outre, l’utilisation accrue des services cloud et du SaaS augmente la complexité et le risque d’erreurs de configuration.

En la matière, il n’est pas facile d’être toujours prêt, selon Marco Wyrsch: «Il est souvent difficile de mettre à disposition des ressources financières et humaines suffisantes pour mettre en œuvre et maintenir toutes les mesures de sécurité nécessaires.» Et comme même la meilleure protection peut être compromise par un comportement humain inapproprié, la sensibilisation à la sécurité est également un thème récurrent. «Nous devons constamment promouvoir ce sujet et aider activement les collaborateurs à effectuer leur travail en toute sécurité», explique Marco Wyrsch.

Maintenir à jour la cyberrésilience est une tâche permanente. Marco Wyrsch résume la méthode comme suit: «Nous vivons un développement continu, remettons en question ce qui existe et essayons d’adapter au mieux nos ressources en fonction de l’état des menaces afin de rendre l’entreprise résiliente aux cyberattaques.»

Check-list: renforcer la cyberrésilience

1. Définir la Cybersecurity Posture actuelle

Un Security Assessment permet d’évaluer et de vérifier les mesures existantes.

L’analyse des mesures de sécurité du cloud recherche les faiblesses des environnements de cloud (public).

Les Vulnerability Assessments permettent d’identifier les lacunes et les faiblesses dans les environnements locaux et cloud. Les approches sont les suivantes: tests de pénétration, Red Teaming, Tabletop Exercises (TTX).

Une analyse des incidents de sécurité antérieurs révèle où se situent les menaces et les risques.

2. Comparer les performances en matière de cybersécurité avec les normes industrielles

Un benchmark avec des normes industrielles et des bonnes pratiques aide à évaluer l’efficacité des mesures:

Cybersecurity Framework (CSF) du NIST

ISO 27001 (directives sur la sécurité de l’information), 27032 (directives sur la cybersécurité)

CIS Controls (bonnes pratiques en matière de cybersécurité)

Référentiel Mitre ATT&CK

Directive NIS2, si applicable

3. Impliquer les différentes parties prenantes

Recueillir les besoins dans les divisions opérationnelles et les unités telles que IT, Droit, Compliance et RH.

Interroger les collaborateurs sur leur compréhension des consignes de sécurité et développer des mesures de sensibilisation à la sécurité.

Intégrer des mesures de cybersécurité telles que l’Incident Response dans le Business Continuity Management et la gestion des risques.

Planification basée sur les risques des ressources humaines et financières et des mesures de cybersécurité.

4. Procéder à une évaluation des risques de fournisseurs tiers (chaîne d’approvisionnement)

Évaluer et auditer les mesures de sécurité et les risques des fournisseurs.

Si possible, monitoring des risques de sécurité liés à la chaîne d’approvisionnement.

5. Documenter et analyser les résultats

Rassembler les résultats des évaluations, des benchmarks et des besoins des parties prenantes dans un rapport.

Identifier les lacunes et les possibilités d’amélioration dans la Cybersecurity Posture.

6. Développer une stratégie pour la protection de base

Sur la base des conclusions du point 5, développer une stratégie de cybersécurité qui couvre les exigences et les attentes de base.

Harmoniser la stratégie avec les exigences réglementaires, les normes industrielles et les objectifs de l’entreprise.

Hiérarchiser les risques et les possibilités d’amélioration.

7. Prendre des mesures pour améliorer la cyberrésilience

Améliorer la protection contre les menaces grâce à des mesures telles que Threat Intelligence et Threat Detection and Response (TDR).

Surveillance continue des infrastructures et des configurations cloud avec desapproches CNAPP telles que le Cloud Security Posture Management (CSPM) et la Cloud Workload Protection (CWP).

Formation de sensibilisation à la sécurité pour les collaborateurs.

Définir les rôles et les responsabilités de l’équipe de cybersécurité.

Garantir la conformité aux exigences réglementaires et légales telles que la LPD, les ordonnances de la FINMA, le RGPD ou la NIS2.