James Blake, RSSI chez Cohesity, met en lumière les avantages qu’apportent les données lorsqu’une entreprise subit une attaque. En matière de cybersécurité, vaut-il mieux prévenir que guérir ? C’est ce qui semble être le cas, du moins si l’on se fie à la répartition actuelle du budget des responsables de sécurité. Selon une étude menée par Deloitte, 80 % du budget lié à la cybersécurité serait dédié à la prévention et à l’atténuation du risque, contre seulement 11 % consacré à la gestion effective d’une attaque et à la récupération des données.
Une logique de répartition qui traduit un besoin généralisé des entreprises d’instaurer un climat de sécurité, alors qu’elles devraient mettre l’accent sur l’aspect opérationnel de la cyber résilience, qui permettrait de réagir plus efficacement en cas d’attaque. Il n’est pas question de délaisser les mesures préventives, qui restent importantes, mais plutôt d’aller au-delà du schéma habituel « protection/détection/réponse/récupération ».
Combler l’écart entre capacités stratégiques et opérationnelles
Les organisations tendent encore à placer les cyber-incidents au même rang que des accidents plus « traditionnels » comme les catastrophes climatiques, les coupures de courant, ou un défaut de configuration. De ce fait, nombreuses sont les entreprises qui iront appliquer aux cyberattaques les mêmes processus de continuité et de reprise après sinistre qui sont couramment utilisés pour ce type d’indicent. Des processus pourtant inadaptés, qui n’incluent pas l’effort technologique nécessaire à une récupération optimale des systèmes : comprendre l’origine de l’attaque, identifier les vulnérabilités exploitées, et supprimer tous les artefacts malveillants.
Il y a quelques années, les responsables de sécurité ne faisaient face qu’à 3 impacts secondaires lors d’un incident (réputation, litiges et amendes règlementaires). Aujourd’hui les attaques par rançongiciels ou de type « wiper » impactent la fonction primaire de l’entreprise, à savoir la production de biens et de services.
A lire aussi : Quels dispositifs pour aider les territoires face à la tempête cyber ?
Adopter une cyber-résilience centrée sur la donnée
Quand bien même ces entreprises disposent de capacités stratégiques suffisantes en matière de protection et de détection, l’absence d’un processus dédié au risque de cyberattaque traduit leur faible niveau opérationnel et d’intégration. Une condition pourtant sine qua non pour atteindre une meilleure résilience et faire face aux pertes d’activités, souvent exponentielles.
Pour y parvenir, les entreprises peuvent adopter une approche centrée sur les données, en veillant à ce que ces informations, qui proviennent souvent d’environnements de calcul et de stockage divers, puissent être rassemblées et offrir des capacités de gouvernance, de détection, de réponse et de récupération, nécessaires pour répondre aux enjeux cyber modernes.
Une démarche dans l’air du temps puisque la donnée est aujourd’hui motrice de l’entreprise, de la même manière que son infrastructure technologique est devenue indispensable à son bon fonctionnement. L’orchestration, la visualisation et le cloud sont désormais plus accessibles, et les entreprises gèrent et protègent leurs données plus facilement. La prochaine étape consiste à rassembler cette donnée, et à équiper les entreprises avec les capacités nécessaires à une plus forte résilience cyber.
Maximiser les bénéfices liés aux données de l’entreprise
Au-delà de la récupération post-attaque, l’approche par la donnée génère d’autres avantages aux entreprises. La suppression des silos au sein de l’organisation permet de remettre les équipes sur un pied d’égalité quant à l’accès et l’utilisation des données de l’entreprise, favorisant ainsi la collaboration à distance, sans négliger l’optimisation du stockage.
Des outils, dont notamment l’intelligence artificielle, peuvent préparer les données à des fins de recherches précises, ou dans l’optique d’une utilisation plus efficace. Les données pourront notamment être extraites de manière plus rationnelle et conforme aux règles en vigueur. Aussi, la réponse incident, l’audit et la protection peuvent être facilités par le traitement simultané de plusieurs charges de travail, qu’elles soient dans le cloud, virtuelles, sur site ou hybrides.
Enfin, l’analyse des snapshots permettra de prioriser le travail de classification et de recherche en fonction de la nature des données. Cette analyse permettra également de retracer la chronologie d’un incident ainsi que d’explorer l’historique des fichiers pour identifier les indicateurs d’une compromission. Une fois intégrés dans les opérations de sécurité, ces processus améliorent l’efficacité globale de l’entreprise face à une attaque. Se protéger devient moins complexe grâce au clonage des serveurs et des données, ensuite utilisé aussi bien pour la récupération que pour des tests afin de renforcer la sécurité de l’entreprise.
D’ordre général, une entreprise qui se veut résiliente doit être capable de résister à tous types de menaces, qu’elles soient naturelles ou technologiques, et son niveau de résilience dépendra de sa capacité à reprendre une activité de production normale en minimisant l’impact matériel et financier. L’approche par la donnée n’élimine pas toutes menaces d’une cyberattaque, en revanche elle rendra bien plus efficace la réponse de l’entreprise en cas d’attaque.