Résilience rime forcément avec capacité de récupération après un incident cyber ou une panne du SI. Mais pour récupérer plus efficacement, une entreprise a bien évidemment tout intérêt à anticiper, évaluer et se préparer à l'impact. C'est ce thème que nous avons abordé avec les intervenants de notre seconde émission : Oliver Wild, directeur risques et assurances de Veolia et président de l'Amrae (Association du management des risques et des assurances de l'entreprise), et Guy Duplaquet, responsable de département au sein de la Direction interministérielle du numérique (Dinum).
Ainsi, qui mieux qu'une direction des risques pour accompagner DSI, RSSI et métiers dans l'anticipation des menaces cyber et la préparation d'une parade adaptée ? Elle dispose, par nature, de l'expertise et de méthodes d'approche éprouvées. On parle ici bien entendu de grandes entreprises. Mais de plus petites structures peuvent néanmoins y accéder, via des templates ou des formations au sein de l'Amrae, par exemple. « Il est d'ailleurs intéressant de constater que de plus en plus de fonctions autres que les risk managers, mais plutôt des risk owners en quelque sorte, dont des DSI et RSSI, s'inscrivent à ces ateliers », explique Oliver Wild.
« De plus en plus de fonctions autres que les risk managers, dont des DSI et RSSI, s'inscrivent aux formations à la gestion des risques », constate Oliver Wild, directeur risques et assurances de Veolia et président de l'Amrae.
S'inspirer des méthodes éprouvées du risque
Pour lui, le risque cyber a cependant bel et bien ses spécificités. À commencer par l'importance qu'il a prise, bien sûr, avec l'intensification de la transformation digitale. Mais la grande variété des menaces comme des remèdes le rend aussi particulièrement complexe à aborder. Sans oublier que, comme tout ce qui touche au numérique, il ne cesse d'évoluer très rapidement. Pour autant, les méthodes de gestion des risques s'appliquent bel et bien au risque cyber, à commencer par la cartographie et les scénarios et tests. « La cartographie s'appuie sur l'analyse de différents scénarios, permet de comprendre au mieux ses faiblesses, et enfin d'évaluer l'impact potentiel d'une menace et le niveau de maîtrise de l'entreprise. Et il faut concevoir au sein de cette cartographie globale, une cartographie ciblée sur la cyber. » Le niveau de granularité est essentiel. Il s'agit en effet d'identifier des points de vulnérabilité dans l'organisation, comme la production dans son ensemble pour un industriel, puis, au sein de cette activité, les usines ou sites dont l'arrêt aurait un impact particulièrement fort.
Visionnez l'émission des rédactions du Monde Informatique et de CIO avec les témoignages de Veolia et de la Dinum et notre étude auprès des décideurs IT de 250 entreprises
Un comité cyber depuis 6 ans chez Veolia
L'entreprise devra ensuite élaborer un plan d'action au travers de scénarios d'attaques, de coupures, de compromission de sites, etc. Des scénarios à éprouver lors d'exercices réguliers, et à faire évoluer à partir des mises à jour de la cartographie. « Les ateliers et entretiens de préparation de la cartographie et des scénarios de gestion de crise doivent impliquer la direction des risques, la DSI, la RSSI et les métiers, ajoute Oliver Wild. Qui plus est, c'est un moyen d'impliquer et de sensibiliser toutes les équipes au risque cyber. Et c'est essentiel. »
Depuis environ 6 ans, Veolia a d'ailleurs constitué un comité cybersécurité présidé par son secrétaire général, qui regroupe justement DSI, RSSI, DAF, direction technique support des métiers, contrôle interne et direction des risques, en la personne d'Oliver Wild. Chaque mois, le comité réétudie les risques à l'aune des nouvelles menaces ou d'évolutions de l'activité, et évalue les résultats des campagnes de test pour en relancer d'autres. Un outil très pragmatique de management du risque cyber.
La DSI de l'État alertée par de premiers incidents
C'est parfois la survenue d'incidents aux conséquences faibles, mais préoccupantes, qui déclenche une prise de conscience de la nécessité de mieux se préparer. Ainsi, en octobre 2019, six événements climatiques dans le sud de la France ont entraîné des pertes d'énergie et des coupures sur le réseau interministériel de l'État (RIE), entraînant l'isolation de deux points de présence durant plusieurs heures. Intervenu un dimanche dans la nuit, l'incident n'a pas perturbé les métiers, mais a cependant affecté la Sécurité intérieure. Suffisamment inquiétant pour que la Dinum, la DSI de l'État, décide de sérieusement protéger son infrastructure. C'est ce que raconte notre second intervenant, Guy Duplaquet, responsable de département au sein de la Direction interministérielle du numérique (Dinum). Il s'occupe en particulier du RIE, qu'il qualifie de « vecteur central d'échange de données entre les différentes composantes » de l'administration publique.
La Dinum double la boucle optique de son réseau
Le RIE couvre tout le territoire français avec 14000 sites et plus d'un million d'utilisateurs internes. « Un réseau sur lequel le soleil ne se couche jamais, poétise Guy Duplaquet. Un réseau sûr, mais qui n'est pas isolé de l'extérieur, par ailleurs. Depuis le Covid, les échanges avec Internet sont passés de 6 à 18 Gbps aux heures de pointe ! » Autre bonne raison de se protéger davantage. « Nous avons déployé un grand programme de résilience visant une disponibilité 5x9 de l'épine dorsale, » poursuit le responsable de cette infrastructure critique. Les solutions identifiées pour parer à des conséquences plus graves ont été de plusieurs ordres. Première parade, le doublement du coeur de réseau de la boucle optique d'origine, construite sur des liens co-loués et co-opérés avec Renater.
« Nous avons déployé un grand programme de résilience visant une disponibilité 5x9 de l'épine dorsale du RIE », explique Guy Duplaquet, responsable de département au sein de la Direction interministérielle du numérique (Dinum).
Autre mesure de protection prise à cette occasion, la Dinum a opté pour un équipementier différent pour cette infrastructure afin de pallier « la perte de liens associés à la défaillance de l'opérateur optique ou de l'équipementier ». De plus, la 2e boucle optique est conçue nativement pour disposer de chiffrement en ligne. Le projet a permis de multiplier le débit par 20 et d'augmenter la disponibilité de l'infrastructure. « En matière de sécurité, la disponibilité constitue un élément clé en matière de perception par les utilisateurs, » tient à rappeler Guy Duplaquet.
Les décideurs IT français sensibilisés, mais peu préparés
Enfin, CIO a voulu connaître la situation réelle en matière de résilience des SI dans les entreprises, en interrogeant ses lecteurs, les décideurs IT, sur leurs pratiques. De 180 à 250 entreprises ont répondu en ligne entre le 5 juin et le 15 septembre 2023. Les résultats révèlent un tableau contrasté du niveau de préparation des entreprises et des administrations françaises face aux crises de cybersécurité et aux pannes de leurs systèmes IT. Si certaines pratiques montrent une sensibilisation croissante aux défis de la sécurité informatique, d'autres pointent un besoin urgent d'amélioration. En guise d'exemple, la majorité des répondants (56%) a mis en place une stratégie de sauvegarde, mais 31% ne l'ont pas encore fait. Le constat est assez similaire en matière de préparation aux crises. Seul un tiers des organisations environ réalisent régulièrement des exercices de simulation de crise.
Notre première webconférence s'est penchée, quant à elle, sur la gestion du jour d'après avec les témoignages BNP Paribas, du CHU de Brest et d'InterCERT. Dans notre espace Grands Thémas, vous retrouvez également la vision d'un analyste du cabinet Forrester, des entretiens avec Jérôme Notin, directeur général de Cybermalveillance.gouv.fr, ou encore avec Jean-Luc Angibault, expert en intelligence stratégique, ainsi que des modèles de cahiers des charges.