Pour faire face à l'explosion de la cybercriminalité et à son impact sur les opérations commerciales, de nombreuses organisations mettent à jour leurs plans de reprise après sinistre pour y inclure la réponse aux cyberincidents. De nombreux processus et directives des plans de reprise après sinistre traditionnels ont peu changé depuis des années, parfois même depuis plus d'une décennie, ce qui les rend peu adaptés à la gestion des cyberdésastres.
Plus important encore, au niveau de l'entreprise, la reprise après sinistre n'est qu'un aspect d'une discipline plus vaste : la résilience opérationnelle.
Il est nécessaire que les organisations considèrent la reprise après sinistre dans le contexte de la viabilité globale de l'entreprise – y compris la prévention, la détection et la réponse aux cyberattaques.
La reprise après sinistre est assez étroite dans sa définition et généralement envisagée sur une petite période de temps. La résilience opérationnelle est beaucoup plus large et comprend des aspects tels que le type de gouvernance que tu as mis en place, la façon dont tu gères la gestion des risques opérationnels, tes plans de continuité des activités et la gestion des risques liés à la cybernétique, aux informations et aux fournisseurs tiers.
En d'autres termes, les plans de reprise après sinistre s'intéressent principalement à la récupération. La résilience opérationnelle examine la situation dans son ensemble : tout ton écosystème et ce qui peut être fait pour que ton entreprise reste opérationnelle pendant les événements perturbateurs.
Réparer une chaîne brisée
L'objectif plus large de la résilience opérationnelle nécessite la participation de toute l'organisation. Tu ne peux pas simplement laisser cette tâche à un seul département ou une seule équipe. Au contraire, tout le monde doit être impliqué, des cadres et du conseil d'administration aux employés individuels de plusieurs départements.
Dans le climat actuel, ce n'est pas seulement ta propre organisation qui est menacée. Tes fournisseurs, partenaires et vendeurs sont également des cibles. Si un fournisseur important est compromis ou mis hors service, ton entreprise pourrait sombrer avec lui.
La direction doit comprendre le risque et connaître la tolérance et l'appétit pour le risque de l'entreprise. Cela inclut même des choses comme les fonctions d'approvisionnement et les accords avec les fournisseurs tiers. La résilience doit être intégrée dans tout, jusqu'aux flux de travail quotidiens, et si un seul fournisseur ne suffit pas à gérer le risque, la diversité de l'offre est indispensable.
Il existe de nombreux cas où un cyber-incident chez un fournisseur a rendu plusieurs organisations incapables de remplir leurs objectifs commerciaux. Prenons l'exemple d'une organisation de vente au détail qui fait appel à un prestataire logistique pour acheminer des produits vers ses magasins et qui subit des perturbations causées par un cyberincident, ce qui a entraîné des ruptures de stock dans les magasins de l'organisation de vente au détail. Pour éviter de tels scénarios, il faut adopter une perspective plus large. Dans le contexte de la résilience opérationnelle, chaque scénario et processus de gestion des risques doit prendre en compte la chaîne d'approvisionnement.
Mettre l'”opération” dans la résilience opérationnelle
Le Département des Transports des États-Unis a proposé une amende d'un million de dollars contre Colonial Pipeline pour des “défaillances dans la gestion de la salle de contrôle” dans la 2021 cyberattaque qui a perturbé la livraison de gaz dans l'est des États-Unis., s'ajoutant aux pertes de revenus de l'entreprise dues à l'attaque elle-même. Selon le gouvernement, l'entreprise a ignoré la résilience opérationnelle: Au lieu de planifier la façon de gérer et de limiter la portée d'un incident, l'organisation a simplement fermé ses réseaux de contrôle des processus à l'instant où le logiciel malveillant a touché ses systèmes.
Malheureusement, c'est un scénario qui n'est pas unique ; de nombreuses organisations ne comprennent pas pleinement l'impact de la technologie opérationnelle lors d'un cyberincident.
Idéalement, les organisations qui gèrent l'infrastructure nationale ou l'approvisionnement critique penseraient beaucoup plus à la gestion de la continuité des activités et aux contrôles d'atténuation. Cette réflexion commence par la connaissance de leur profil de risque et une planification appropriée pour le gérer. Les organisations doivent également tester ce qu'elles peuvent faire en termes d'arrêt de leurs réseaux, en s'assurant qu'elles ont la capacité de couper la connexion entre la technologie de l'information et la technologie opérationnelle, afin que les logiciels malveillants ne mettent pas tout à l'arrêt.
Combler le fossé entre l'informatique et l'OT
La technologie qui fait fonctionner des systèmes tels que les pipelines et les raffineries est nettement différente de celle que l'on trouve dans un environnement de bureau typique. Il existe des protocoles de réseau différents, une approche différente de la pile de sécurité et une plus grande préoccupation pour les questions de sécurité critiques. L'une des plus grandes sources de friction pour les entreprises industrielles – et la raison pour laquelle les efforts de résilience opérationnelle échouent si souvent – implique une déconnexion entre la technologie de l'information (IT) et la technologie opérationnelle (OT).
Aucun des deux départements ne comprend pleinement les flux de travail et les défis de l'autre. Cette déconnexion doit changer. Et cela commence par un changement de perception.
Une partie du problème est que la cybernétique est encore considérée comme spéciale. La discussion semble toujours se conclure sur l'hypothèse que l'équipe de sécurité ou le département informatique gère un risque particulier, donc personne d'autre ne doit s'en préoccuper. Il est nécessaire de démystifier la cybersécurité. Ce n'est qu'avec la bonne compréhension de l'entreprise et l'appropriation des risques que tu peux mettre en place des mécanismes de résilience appropriés.
Ce qui a bien fonctionné chez BP, c'est d'amener l'ingénierie dans la cybernétique et la cybernétique dans l'ingénierie, en donnant à chaque équipe une expertise et une perspective qui lui manquait auparavant.
La vérité est que les différentes équipes ont des priorités différentes. L'équipe d'ingénierie peut être consciente de l'importance de la cybersécurité, mais doit donner la priorité aux éléments de procédure et aux questions critiques pour la sécurité. En encourageant la collaboration interdépartementale, les entreprises peuvent déterminer comment faciliter le déploiement des contrôles et des stratégies dans chaque environnement.
En fin de compte, tout est une question de contexte ; qu'est-ce que l'entreprise essaie d'atteindre, et quels résultats essaie-t-elle de réaliser ? Comment soutient-elle ces résultats ? Quelle technologie utilise-t-elle ? Qu'est-ce qui compte pour elle en termes de confidentialité, d'intégrité et de disponibilité ?
Le rôle d'Active Directory dans le développement de la résilience opérationnelle
Active Directory (et Azure AD, dans les environnements d'identité hybrides) occupe une place centrale dans la quête de la résilience opérationnelle.
L'application la plus importante dans toutes les dimensions est Active Directory. Sans elle, tu ne peux atteindre aucun de tes objectifs commerciaux. Active Directory est au cœur même de ta capacité à fonctionner et à fournir des résultats commerciaux, et il doit faire partie de ta stratégie de résilience opérationnelle au lieu d'être traité comme une île.
Joue un rôle actif dans la résilience opérationnelle
Les plans de reprise après sinistre qui se concentrent sur les catastrophes naturelles sont insuffisants pour faire face aux menaces modernes qui pèsent sur la résilience opérationnelle. Comme le système d'identité de l'organisation est essentiel au maintien des opérations – et qu'il est la cible principale des cyberattaques – il est primordial de le protéger.
En donnant la priorité à la résilience du système d'identité, les organisations peuvent s'attaquer à l'une des menaces les plus graves pour la résilience opérationnelle.
Sean Deuby est Directeur des services et Simon Hodgkinson est l'ancien responsable de la sécurité informatique chez BP et conseiller stratégique pour Semperis
Tu pourrais aussi lire :
Sécurisation de l'identité hybride:
___________________________________________________________________________________________
Si tu aimes ce site Web et que tu utilises l'annuaire complet des fournisseurs de services (plus de 6 500), tu peux obtenir un accès illimité, y compris la série exclusive de rapports détaillés sur les directeurs, en t'inscrivant à l'abonnement. Abonnement Premium.
- Individuel 5 £ par mois ou 50 £ par an. S'inscrire
- Multi-utilisateur, entreprise & ; Comptes de bibliothèque disponibles sur demande
Renseignements sur la cybersécurité : Capturé Organisé & Accessible
