Comment définir la cyber-résilience ? Quels enjeux se cachent derrière ce terme ?
Benoît Muller – Dans l’informatique, la résilience est la capacité d’un système à continuer à fonctionner en cas de panne ou de défaillance. On parle donc de cyber-résilience lorsqu’une entreprise est en mesure d’assurer la continuité d’exploitation de son SI ou de récupérer, rapidement, ses capacités IT en redémarrant ses systèmes avec un minimum d’impact sur son activité.
Anne-Gaëlle Léger – S’adapter à des contextes changeants et aux événements inattendus (cyberattaques, erreurs humaines, incidents IT, catastrophes naturelles, etc.) demande une réelle préparation : de la sécurité physique des data centers à la gestion des mots de passe, toute une chaîne de sécurité et de confidentialité est à l’œuvre. L’enjeu est de taille : 97 % des entreprises ayant subi plus de 10 jours d’interruption de leur SI ont cessé leur activité un an plus tard . Cela démontre bien le lien entre continuité du SI et résilience de l’entreprise de manière globale. Il en va du maintien de son chiffre d’affaires mais, aussi, de la confiance des membres de son écosystème et notamment ses clients. Un assureur ou un donneur d’ordre peut, par exemple, refuser la contractualisation en cas d’absence de plan de continuité d’activité.
Comment une DSI peut-elle rendre ses systèmes plus résilients ?
B.M. – Il existe plusieurs niveaux de protection. La sauvegarde des données tout d’abord. Nous préconisons deux copies de sauvegarde cryptées sur des supports de technologies différentes et étanches avec une copie de sauvegarde hors site qui garantit une isolation vis-à-vis du premier stockage. Vient ensuite le Plan de Reprise d’Activité (PRA) qui organise la reprise de l’exploitation en cas de sinistre : les données et les applications sont basculées manuellement ou automatiquement sur un site de secours en y associant la connectivité et l’accès des postes utilisateurs. Cette reprise s’effectue à partir d’une sauvegarde périodique ou d’une sauvegarde continue pour un délai de reprise plus rapide. Les solutions de haute disponibilité consistent, quant à elles, à disposer de deux plateformes de services sur deux data centers distincts : elles peuvent fonctionner en simultané, chacune étant capable de reprendre l’activité de l’autre ; ou l’une peut être en veille pour prendre le relais en cas d’incident.
A-G. L. – Ce sont les exigences métiers qui déterminent le choix du niveau de protection. Plus l’interruption doit être courte et les données récupérées récentes, plus l’entreprise s’orientera vers de la haute disponibilité. Elle peut aussi cumuler haute disponibilité et PRA pour disposer d’un secours du secours utile en cas de cyberattaque.
Quels sont les paramètres essentiels à prendre en compte pour assurer sa continuité d’activité en cas d’incident ?
B.M. – Il s’agit d’abord d’identifier la criticité des informations à protéger et leur impact sur l’activité. Ensuite, il convient de s’assurer du maintien en condition opérationnelle de la solution de protection et de reprise d’activité, à savoir : le bon fonctionnement des composants, la prise en compte des évolutions de périmètre du Système d’Information (SI). Il faut aussi organiser le suivi des procédures de reprise. Quels sont les facteurs qui déclencheront le basculement sur le site de secours ? Quelles interventions humaines seront nécessaires ? Quelles tâches pourront être automatisées ?
A-G.L. – Sans oublier l’importance du choix du data center. Il doit apporter un maximum de garanties de fonctionnement et se situer à une distance suffisante du site nominal pour minimiser les risques. Certains de nos clients choisissent même un plan de secours activable sur une plateforme se situant dans un autre pays.
Quels sont les atouts du cloud en matière de protection de l’activité ?
B.M. – Le principal intérêt du cloud est qu’il permet de redémarrer sur une plateforme de secours sans avoir à investir dans des infrastructures puisqu’on utilise des services IaaS (Infrastructures as a Service) facturés à l’usage. Mais cela doit s’accompagner d’une maîtrise de toute la chaîne de services nécessaire au bon fonctionnement du SI.
A-G.L. – C’est ce que nous proposons chez Orange Business avec des data centers bénéficiant d’un haut niveau de disponibilité et de sécurité. Une reconnexion automatique des postes utilisateurs sur le système de secours est également nécessaire au travers de solutions de connectivité redondantes de type Business VPN Galerie. Nos offres de cyber-résilience sont disponibles en libre-service ou en services managés, en secours de nos propres solutions cloud mais aussi de plateformes tierces. Orange Cyberdefense, leader européen de prestations de services en cybersécurité assure la protection des actifs.
En quoi consiste l’accompagnement d’une entreprise dans la mise en place de son PRA, ou plus largement de son dispositif de cyber-résilience ?
A-G.L. – Notre démarche consiste, avant tout, à répondre au plus près des besoins de protection d’activité des entreprises, en tenant compte du ratio coûts / bénéfices. Pour certaines applications, les délais de reprise d’activité doivent impérativement être très courts. Une solution de haute disponibilité peut également être renforcée par une solution de PRA. En cas d’incident majeur, comme une cyber-attaque affectant tout le SI, le PRA prend alors le relais.
B.M. – Ces derniers mois, nous avons mis l’accent sur des solutions de PRA managé. Elles incluent le maintien en condition opérationnelle du PRA avec des tests réguliers de bon fonctionnement et un redémarrage automatisé dans le cloud avec des garanties de temps de rétablissement. Ces solutions sont plus particulièrement adaptées aux entreprises dont la poursuite de l’activité du SI est cruciale comme, par exemple, des sociétés d’intérim ou de logistique. Comment sinon répondre aux demandes urgentes de ressources ou de produits impactant toute une chaîne de fabrication ou de distribution ?
Pour aller plus loin
- La cybersécurité mobile, un enjeu stratégique pour 2021
- Vérification d’identité : comment sécuriser et simplifier vos parcours digitaux ?