Fin mai 2024, une dizaine de responsables de la sécurité des systèmes d’information (RSSI), d’organisations publiques et privées françaises, se sont réunis au sein de la rédaction d’Alliancy, à l’invitation du média et de ses deux partenaires : l’entreprise de services numériques SCC et l’éditeur de solutions de sauvegarde et d’archivage des données Commvault. Ce workshop a été l’occasion d’échanges constructifs entre pairs. Après avoir débattu sur ce qui avait le plus changé au cours des trois dernières années en matière de cyberrésilience des entreprises, les invités se sont posé la question de savoir quels étaient les principaux leviers d’action pour mieux maîtriser les coûts.

>>Cet article est extrait du guide « Cyberrésilience » à télécharger : Comment maîtriser le coût d’une bonne cyberrésilience ?

À la première question – ce qui a le plus changé depuis trois ans – Mounir Chaabane, conseiller en sécurité du numérique auprès de la Protection judiciaire de la jeunesse, répond de la manière suivante : « La cyberrésilience hérite d’une sorte de changement culturel qui est en train de s’opérer dans la société française. La population est en effet de plus en plus préparée aux potentielles crises énergétiques, climatiques ou géopolitiques qui pourraient survenir. La cyberrésilience tire profit de cette culture générale qui se met en place progressivement. » Richard Guidoux, VP cybersecurity director d’Idemia, lui emboîte le pas en ajoutant : « Au-delà du buzz qui entoure le sujet, la résilience (et notamment la cyberrésilience) correspond à une réalité des entreprises, dans le contexte des nouvelles réglementations (Dora, NIS2…), de la situation géopolitique (conflits armés) et de l’évolution des cybermenaces. La résilience devient un besoin vital pour ces dernières, qui doivent s’organiser en conséquence pour l’adresser opérationnellement dans l’ensemble de leurs activités critiques. »

Et c’est bien parce que la résilience opérationnelle est devenue une question de survie que les plus hautes sphères dirigeantes de l’entreprise s’en sont saisies : « La direction générale est montée rapidement à bord du bateau résilience opérationnelle, ce qui avait pris plusieurs années pour la cybersécurité. Tous les deux mois, nous rencontrons un des directeurs généraux du groupe. Avec lui, nous avons notamment défini les processus vitaux, c’est-à-dire ceux sans lesquels Société Générale ne peut exister », déclare Gérard le Comte, directeur de programmes réglementaires cyber et résilience opérationnelle IT, Société Générale.

Directives et règlements européens : une surcharge administrative qu’il faut gérer

Autre changement notable intervenu ces dernières années : l’apparition de nouvelles directives et règlements européens, parmi lesquels figurent en bonne position : Dora, NIS2 et le cyber resilience act. « Les nouvelles réglementations européennes ne sont pas étrangères à la prise de conscience générale qui est en train de s’opérer. Elles ont un impact extrêmement fort sur le RSSI, qui se doit de mettre à disposition de son entreprise des solutions contribuant à sa cyberrésilience », analyse Yoann Delanos, responsable business infrastructure solution chez SCC France (voir notre interview).

Ces nouvelles réglementations imposent aux organisations, quel que soit leur secteur d’activité, une nécessaire adaptation. « Les grandes entreprises, notamment les banques qui sont liées à Dora, et les groupes industriels, sont déjà assez matures en matière de cyberrésilience. À l’inverse, les petites structures ont un peu plus de mal à s’adapter », note Xavier Bourdelois, senior sales engineer chez Commvault (voir notre interview).

Et même quand on s’appelle Bpifrance, avec plus de 3 000 collaborateurs, on peut avoir à redire sur la charge de travail supplémentaire que ces nouvelles réglementations vont entraîner. « Certes, ces nouvelles directives et règlements européens sont nécessaires – ils servent à nous faire progresser et à nous faire monter en maturité – mais ils vont aussi nous créer énormément de contraintes. J’aurais tendance à dire que nous allons presque nous retrouver à faire davantage d’administratif et de conformité que de cybersécurité », avance Olivier Stassi, RSSI de Bpifrance (voir notre interview). « Quand un cyberincident survient, je me transforme en pompier ; mon objectif étant d’éteindre l’incendie le plus rapidement possible. Attention, en revanche, à ne pas devenir coupables face aux délais contraints de remontée d’incident auprès des organes de régulation alors que nous sommes victimes », ajoute le RSSI de la banque publique, qui souligne la lourdeur administrative générée par certaines institutions comme la BCE, la CNIL ou l’ANSSI, lorsqu’une organisation subit une cyberattaque.

Coût de la cyberrésilience : 5 % du parc applicatif ?

La seconde partie de l’atelier organisé par Alliancy a été consacrée à l’optimisation des coûts. Pour Gérard le Comte (Société Générale), la cyberrésilience passe par un SI complément isolé du SI interne et par la capacité à fonctionner en IaaS (infrastructure as a service), ce qui permet aux applications d’être redéployées à la demande. Ces choix technologiques ont cependant un coût élevé et nécessitent un haut niveau de maturité. « Nous avons opté pour des fondamentaux, inventés par les Américains, qui consistent à avoir la capacité de redémarrer les fonctions métier critiques en très peu de temps, au regard du système d’information global de l’organisation : en heures, voire quelques jours, et non en semaines. Il faut pour cela mettre le moins de workload et de donnée possible dans ces fonctions lors du redémarrage, au sein d’un SI isolé de type IRE (isolated recovery environment), avec une approche la plus automatisée possible du IaaS/PaaS, comme l’usage d’une chaîne de continuous delivery pour éviter des tâches humaines pendant la crise », témoigne le group strategic information security leader du groupe bancaire.

Mais Xavier Bourdelois (Commvault) prévient : « Il est très difficile de sauvegarder des données en étant certain à 100 % qu’elles soient exemptes de tout malware. Certains codes malveillants tournent sur le BIOS ! » Pour pallier ce problème, Olivier Stassi (Bpifrance) propose une solution : « La transformation de la DSI et l’usage de solutions de dernière génération nous permettent – en cas de choc extrême (ransomware, attaque terroriste sur des équipements fibre pouvant paralyser toute une région, éruption solaire avec destruction de matériel informatique, etc.) – de reconstruire, as code et dans des délais très contraints, un SI temporaire permettant aux métiers de déclencher leur plan d’urgence et de poursuite d’activité. Quant aux sauvegardes, nous avons fait évoluer notre doctrine sauvegarde du principe du 3-2-1 au 3-2-1-1-0 en nous assurant ainsi d’avoir un exemplaire offsite et certifié sans erreurs ni codes malveillants qui pourraient se déclencher lors des restaurations. »

Pour Jacques Boscq, RSSI chez Le Conservateur Gestion Valor, les coûts de la cyberrésilience viennent principalement du fait qu’il faille s’assurer que les systèmes les plus critiques seront restaurés le plus rapidement possible : « Cela nécessite une analyse en profondeur. Par ailleurs, avec l’arrivée de Dora, des audits vont être obligatoires, ce qui va générer des coûts additionnels. »

Et selon Gérard le Comte (Société Générale), le coût de la cyberrésilience équivaut, pour des IRE, à 5 % du parc applicatif (fourchette haute), avec une variabilité sur le délai de reprise qui influence le coût de fonctionnement de l’IRE. Un chiffre qui ne surprend pas Philippe Netzer-Joly (Arkema) : « Les 5 % ne me choquent pas. Ils comprennent les coûts de mes équipes, des consultants qui nous accompagnent, de l’infrastructure, des solutions déployées… Mais ce chiffre n’inclut pas les coûts métiers. Je ne demande pas en effet aux sites industriels d’isoler le temps passé sur tel ou tel test », note-t-il.

Dernier point d’attention : l’optimisation des coûts de la cyberrésilience nécessite aussi une surveillance de tous les instants du taux d’utilisation des ressources. « Même si les providers de services cloud fournissent à leurs clients de très nombreux tableaux de bord permettant d’optimiser les usages, 30 à 40 % de la ressource provisionnée dans le cloud public sont inutilisés », conclut un participant.