Par Gabrielle Lamarche, CBCI, ACRP (collaboration spéciale)
Il est indéniable que les incidents de sécurité informatique deviennent de plus en plus fréquents. Ce genre d’incidents peut entraîner une vaste gamme de conséquences au sein d’une organisation. En effet, les répercussions peuvent affecter aussi bien la disponibilité de l’information, sa confidentialité, l’intégrité des données, voire la disponibilité des équipements essentiels, entraînant, dans chaque cas, des conséquences sur la capacité de maintenir les opérations d’une organisation.[1].
Que font ressortir 3 situations qui ont chacune eu lieu en 2024?
- En juillet 2024, l’incident informatique impliquant Crowdstrike, à l’origine de la panne chez Microsoft, a fait la une des médias internationaux. En effet, plusieurs organisations à travers le monde ont été frappées par l’impossibilité d’accéder à leurs systèmes informatiques créant notamment l’annulation ou le report de plusieurs vols aux États-Unis.
- En mai 2024, une cyberattaque ciblant les serveurs d’un Cégep a provoqué une interruption de leurs activités. Les conséquences de cette cyberattaque ont restreint non seulement les accès informatiques aux diverses plateformes du Cégep, mais également les accès physiques aux 4 établissements.
- Au début de l’année 2024, le système de répartition d’un service ambulancier a dû activer des mesures de continuité à la suite d’un incident de sécurité informatique, entraînant une perte d’accès aux informations cruciales transmises entre les centres de répartition et les ordinateurs des ambulances. Notamment, les codes de priorités essentiels pour déterminer les interventions ainsi que les emplacements des véhicules sur le territoire n’étant plus accessibles, cela a eu un impact sur la capacité des équipes à répondre aux situations signalées au centre de répartition.
Ces trois exemples distincts mettent en évidence la variété des conséquences que peuvent engendrer des incidents de sécurité informatique, affectant directement la capacité de maintenir les opérations. Il est possible de constater que ce sont tous les types d’organisations qui peuvent être visés et impactés par ce type d’incident. Toutefois, comment est-ce qu’une organisation peut se préparer et qu’est-il nécessaire de prendre en considération afin de bien s’y préparer ?
Un concept englobant ces interrogations est la cyber-résilience. Ce principe vise à instaurer une collaboration entre les diverses équipes dans le but d’intégrer des notions de mesures de cybersécurité dans la documentation et les processus liés à la continuité des affaires.
Au sein de cet article, nous vous sensibilisons à l’importance de tenir compte de la cyber-résilience au sein de vos plans de continuité des activités. Ainsi, nous nous limiterons à certains volets en décortiquant la définition de la cyber-résilience telle que mise de l’avant par le Disaster Recovery Institute Canada (DRI Canada).
Qu’est-ce que la cyber-résilience ?
Selon DRI Canada, la cyber-résilience est la capacité d’une entité à fournir en continu ses produits et services, malgré des incidents informatiques défavorables, en protégeant activement contre les menaces connues ou potentielles; en planifiant la récupération des applications et des données; en s’adaptant aux évolutions des menaces; en formant efficacement le personnel sur les menaces existantes; et en veillant à ce que les plans de réponse soient maintenus à jour et exercés[2].
Tout d’abord, pour atteindre l’objectif derrière cette définition, il est essentiel de développer et de renforcer une collaboration multisectorielle entre les équipes informatiques, telles que la cybersécurité, et les équipes responsables de la continuité des opérations au sein de l’organisation. Voici quelques éléments essentiels de cyber-résilience auxquels il faut penser :
« La capacité d’une entité à fournir en continu ses produits et services, malgré des incidents informatiques défavorables »
- Est-ce que les priorités de l’organisation sont connues par chacune des équipes ? Il est important que les activités prioritaires aient été déterminées et communiquées afin que les différentes équipes soient coordonnées dans leurs efforts de rétablir les activités affectées. C’est en développant des bilans d’impact des activités que l’on pourra les identifier.
« En protégeant activement contre les menaces connues ou potentielle »
- Quels sont les risques auxquels l’organisation est exposée et quelles sont les mesures en place pour les limiter? Cet aspect met en lumière l’importance de développer une analyse de risques en partenariat avec les équipes informatiques impliquées afin de connaître les risques et les mesures mises en place pour ce volet. Ceci permettra de déterminer les priorités liées à la préparation, à la protection de l’organisation et aux stratégies de continuité à développer.
« En planifiant la récupération des applications et des données »
- Ceci comprend deux volets stratégiques, le premier se concentre sur les mesures de cybersécurité visant à récupérer les instances et les ressources affectées. Le second consiste à développer des mesures de continuité des activités pour permettre la poursuite des activités, possiblement en mode dégradé.
- Est-ce que les stratégies développées pourront être employées par les utilisateurs? Il n’est pas rare de voir que les stratégies proposées consistent à passer à un nouveau système ou à réutiliser d’anciens formulaires papiers. Cependant, il est nécessaire de questionner davantage ces choix, notamment en validant que les intervenants sauront utiliser ces méthodes. La mise en place de ces mesures nécessite un accompagnement au préalable des utilisateurs afin de pouvoir les déployer le plus rapidement possible.
- Quelles sont les dépendances et seront-elles en mesure de s’adapter aux stratégies mises en place? Bien que les stratégies aient été conçues et élaborées pour l’organisation, il importe également de savoir si les partenaires externes seront en mesure de s’y adapter. Ainsi, il est important d’établir des relations avec eux avant qu’un incident ne survienne pour communiquer et valider qu’il sera possible de maintenir les activités en cas d’incident informatique.
« En formant efficacement le personnel sur les menaces existantes »
- Est-ce que les employés connaissent les impacts en cas d’un événement de sécurité informatique et sont-ils préparés à les détecter? L’éducation ainsi que la préparation des employés et des intervenants demeurent une première ligne de défense et de déploiement de mesures pour limiter les effets de ce type d’incident pour une organisation.
« En veillant à ce que les plans de réponse soient maintenus à jour et exercés »
- Est-ce que les plans pourront être déployés et mis à l’épreuve? Une façon de vérifier si les mesures mises en place seront réalistes et adéquates est de procéder à des tests et d’exercices impliquant toutes les parties prenantes de l’organisation. Cela inclut tous les intervenants qui pourraient être impliqués ainsi que, si possible, les partenaires externes. C’est aussi une opportunité d’améliorer continuellement les stratégies et les structures de réponse.
Limitations
En entament la démarche d’augmenter la cyber-résilience d’une organisation, certaines réalités et facteurs sont à prendre en compte qui pourraient influencer les décisions, les mesures de contournements et même les stratégies à déployer.
- L’intégration des réseaux : Ceci fait référence à l’imbrication de certaines fonctionnalités au sein de la technologie, par exemple les systèmes de surveillance, le contrôle des accès via un système ou l’utilisation de la téléphonie IP qui ne pourraient ne plus être utilisés en cas d’incident de sécurité informatique. Un recensement de ces intégrations permettra d’anticiper les enjeux et les systèmes impactés advenant un événement.
- Dépendance technologique des processus : Les processus requis pour la réalisation de biens et de services sont dans la plupart des cas dépendant d’une forme de technologie. Il faut alors anticiper les impacts possibles et se prémunir de systèmes plus résilients en prenant en compte des requis en termes de disponibilités, d’intégrité et de confidentialité des informations traitées pour ces processus. Les différents types de méthode de sauvegarde telles que les copies de sauvegarde et les systèmes secondaires doivent être réfléchis en fonction des besoins internes et externes de l’organisation.
- Connaissances technologiques : En prenant en considération que la technologie et les systèmes font partie intégrante des processus, il est normal que les utilisateurs soient formés, habitués et dépendants également de cette technologie. En effet, plusieurs corps de métiers intègrent ces réalités technologiques au sein même des programmes de formations. Toutefois, cela implique qu’en cas de pertes, il n’est pas possible d’assumer que les méthodes pré-technologiques ou plutôt que d’anciennes méthodes de travail seront connues de tous et qu’elles pourront facilement être déployées dans le milieu.
- Dépendance des parties prenantes : Il n’est pas rare que la technologie déployée permette la liaison auprès de partenaires externes, que ce soit par exemple pour la réception et l’envoi de bons de commandes ou pour la transmission d’information en lien avec des transactions. Ce type de dépendance ne peut peut-être pas être compensé ou maintenu avec une solution développée à l’interne telle que l’envoi de formulaire papier ou de fax. En effet, il se peut que le partenaire ne soit pas en mesure d’accepter les solutions pour diverses raisons telles que ses protocoles ne le permettent pas ou même que le volume d’échange soit trop grand pour être en mesure de les intégrer. Ainsi, il est alors nécessaire d’établir ces communications auprès de ses partenaires et le prendre en compte dans la réflexion des mesures de contournements à élaborer.
En conclusion, une liaison entre les équipes responsables de la continuité d’une organisation et celles responsables de l’informatique est primordiale pour augmenter la cyber-résilience d’une organisation. La nécessité de bâtir cette relation et de l’entretenir doit être mise de l’avant afin d’augmenter son état de préparation face à ce type d’événement. De plus, l’intégration de cet aspect dans la documentation liée à la continuité des affaires au sein de l’organisation contribue également à renforcer la préparation face à ces incidents, dont la fréquence ne cesse d’augmenter.
Si vous souhaitez entamer ou poursuivre ces réflexions pour augmenter la cyber-résilience de votre organisation ou même planifier des tests et des exercices dans votre processus de préparation, contactez Benoit Racette Services-conseils inc. dès maintenant via [email protected].
[1] https://vitrinelinguistique.oqlf.gouv.qc.ca/fiche-gdt/fiche/8354220/incident-de-securite-informatique#:~:text=%C3%89v%C3%A9nement%20de%20s%C3%A9curit%C3%A9%20qui%20compromet,de%20service%20d’une%20organisation.
[2] Traduction libre du Glossaire du Disaster Recovery Institute International (DRII). https://drii.org/resources/viewglossary