Il est plus que temps pour les entreprises d’entrer en cyber-résilience !

Une stratégie tournée vers la Cyber-Resilience
par GS Mag 02/06/2021
Finance, Fintechs & RegTechs
Santé et Sciences de la vie
Institutions Internationales
Sécurité, Défense & Spatial
Services en ligne
OSE - Opérateurs de Services Essentiels

Ce leitmotiv, EBRC (European Business Reliance Center), une société luxembourgeoise implantée dans les grandes villes de France grâce à sa filiale Digora, ne cesse de le marteler depuis ses débuts il y a déjà plus de 20 ans. Toute organisation qui pourra se remettre rapidement d’un incident grave aura toutes les chances de survivre dans un monde devenu de plus en plus virtuel. Or peu d’entre elles sont dotées d’une démarche aussi globale. Mais comment appliquer la cyber-résilience à son entreprise et pourquoi choisir EBRC ? Réponses avec son CEO Yves Reding et Philippe Dann, Head of Risk & Business Advisory.

Les entreprises européennes ont été parfois durement touchées par la pandémie. Comment EBRC peut-elle les aider à remonter la pente ?

Yves Reding : La mission de EBRC est relativement facile à comprendre. Sur les quatre lettres qui composent notre nom, la première et la troisième sont les plus importantes. « E » comme European parce que nous nous positionnons comme une entreprise européenne. L’Union européenne, avec les pays associés (EEE) est un des plus importants espaces commerciaux au monde avec plus de 500 millions de citoyens, elle dispose de valeurs qui lui sont propres, mais elle ne constitue pas une puissance digitale digne de ce nom. Les acteurs majeurs dans le digital sont essentiellement d’origine américaine et chinoise et l’Europe est à la traîne. L’Europe a raté la première vague de la digitalisation. Elle doit devenir un leader mondial de la seconde vague, qui sera un véritable tsunami, celle de l’Intelligence Artificielle. Il devient urgent de capitaliser massivement dans le savoir-faire de nos ingénieurs et informaticiens et de les mobiliser sur des projets ambitieux, tel le projet GAIA-X . Nous avons pour ambition d’œuvrer avec d’autres à la construction de cette Europe digitale. C’est une question de sécurité et de souveraineté européenne !

« R » comme Reliance parce que tout notre modèle d’entreprise est basé sur la confiance dans le digital. Nous nous positionnons comme un centre d’excellence ciblé sur la protection et la gestion des informations sensibles. Nous évoluons de plus en plus vers un monde virtuel et l’actuelle crise de la COVID a précipité cette évolution. Pour nos économies, les données sont devenues le nouvel « or noir » véritable carburant de leur croissance. Leur criticité va en s’accroissant, à la fois au niveau de leur confidentialité et de leur haute disponibilité. Pour assurer une protection maximale à nos clients, nous leur offrons une chaîne complète de services de confiance. À commencer par nos data centres : certifiés Tier IV, ceux-ci n’ont pas eu une seule seconde d’interruption de service depuis 2000 ! Chaque jour, nous veillons à ce que toutes nos autres offres soient calquées sur ce même niveau de qualité, qu’il s’agisse de la continuité des opérations, la gestion des risques, l’infogérance, le cloud ou le conseil. Nous plaçons la barre très haut et c’est la raison pour laquelle nous avons mis en place une procédure d’amélioration continue basée sur les meilleures pratiques internationales. EBRC possède de nombreuses certifications, parmi lesquelles ISO 22301 (continuité des opérations), ISO 27001 (sécurité de l’information), ISO 2000 (IT service management), PCI-DSS (sécurité des paiements), ISO9001 (qualité), ...

Vous insistez beaucoup sur la cyber-résilience. De quoi s’agit-il exactement ? Pourquoi, selon vous, est-elle devenue une priorité absolue pour toutes les entreprises qui veulent survivre dans le monde post-COVID ?

Y.R. : Depuis sa création, EBRC a toujours fait de la cyber-résilience sa stratégie centrale. La transformation numérique permet une plus grande agilité, mais engendre également de nombreuses et multiples cyber-menaces dont il faut tenir compte. Nous avons toujours prôné une approche réaliste et pragmatique fondée sur l’hypothèse que toutes les entreprises vont subir des attaques, qu’elles soient physiques ou virtuelles. Pour nous, la cyber-résilience doit figurer dans l’ADN de toutes les entreprises si celles-ci veulent assurer leur pérennité. Elles doivent être capables de résister à n’importe quel choc, même si celui-ci est totalement imprévisible, et en ressortir plus fortes.     

Dès le début, nous avions envisagé toute une série de scénarios catastrophes et parmi ceux-ci figurait une pandémie avec une fermeture des frontières. Les faits nous ont hélas donné raison avec l’irruption de la COVID dans nos vies début 2020. De nombreuses entreprises n’étaient pas préparées à basculer de manière sécurisée en mode télétravail et se sont retrouvées dans une impasse.

Quelles principales leçons peut-on tirer de la crise sanitaire que nous subissons actuellement ?

Y.R. : Il y en a deux. Les entreprises savent à présent ce que signifie la résilience. Pendant cette crise sanitaire, on a tellement prononcé ce mot que c’en est devenu presque une expression galvaudée. Il y a 20 ans, nous étions parmi les premiers à en parler. Le « R » de EBRC signifiait à l’époque « Resilience ». Malheureusement, à l’époque, nous prêchions quasiment dans le désert !

En mars 2020 en pleine pandémie, le «worst case » aurait été que les infrastructures digitales tombent, ce que beaucoup d’acteurs économiques n’ont pas encore pris en compte. Le virus de demain qui pourrait mettre à mal toute l’économie mondiale pourrait bien être virtuel. Nombreux sont ceux qui évoquent l’apparition probable d’un énorme « virus » ou pandémie digitale qui atteindra nos sociétés et pourrait toucher nos systèmes vitaux comme la santé, les télécommunications, la distribution d’eau, d’électricité, le chauffage ou les transports. Nous avons déjà vu les prémices de ce qui nous attend dans les mois ou années à venir avec la cyber-attaque « SolarWinds » perpétrée l’an dernier. D’une sophistication incroyable, elle constitue une répétition des attaques qui nous attendent dans un futur proche. Celle-ci aurait touché au moins neuf agences fédérales aux États-Unis ainsi que de grandes entreprises prestigieuses de la Tech. 17.000 organisations ont déchargé le malware.

Se contenter de protéger ses données ne suffit donc plus. Il faut changer de paradigme, avoir une démarche préventive, prévoir toutes les hypothèses, y compris celles qui paraissent les plus improbables et considérer qu’elles se réaliseront un jour ou l’autre. La cyber-résilience va au-delà de la protection, il faut considérer que l’attaque a réussi et il s’agit donc de gérer la crise, restaurer et survivre. Notre rôle est précisément d’accompagner les entreprises dans leur démarche vers plus de cyber-résilience.

Quels sont les processus que toute entreprise doit appliquer pour garantir la sécurité de ses données et la continuité de ses activités ?

Philippe Dann : La cyber-résilience est une approche globale qui repose sur 3 piliers principaux : Sécurité de l’information (ISO 27001), Continuité d’activité (ISO 22301), Gestion des risques (ISO 31000). D’abord, la sécurité a pour objectif de protéger les actifs de la société comme, par exemple, les données. Il faut ensuite intégrer les enjeux liés aux activités de l’organisation : connaître la cartographie de ses processus, comprendre ses besoins métiers  en matière de continuité et de sécurité, s’assurer que les partenaires et les parties prenantes de son écosystème présentent le même degré de robustesse. Enfin avoir une approche prenant en compte les risques : identifier les vulnérabilités et apporter les réponses via un traitement des risques adéquat. Le tout étant essentiel pour toute entreprise qui se veut cyber-résiliente.

La Cyber-Resilience repose sur 3 piliers : la Sécurité de l'information (ISO 27001), la Continuité d'activité (ISO 22301) et la Gestion des risques (ISO 31000).

Il est également important de se préparer à une crise. Pour cela nous recommandons d’organiser à intervalles réguliers des exercices de gestion d’incidents. Cela permettra de répondre aux questions suivantes : Quelles sont les actions à mener en cas d’une cyber-attaque ? Y a-t-il une bonne connexion entre les décisions de la direction et celles prises par les opérationnels ? Certes, il arrive souvent que l’incident qui va menacer le plus directement l’organisation soit celui auquel on ne s’attendait pas. Mais plus l’organisation se prépare, défini les rôles et les responsabilités de chacun et s’entraîne avec ses équipes à parer aux éventualités, mieux elle sera armée pour répondre aux incidents, aussi inattendus soient-il.

Chaque organisation doit être consciente que la cyber-résilience est plus qu’un simple projet parmi d’autres. C’est un véritable état d’esprit qui doit être insufflé de la part du management. Le « ton » doit venir du « top » et être repris à tous les échelons de la hiérarchie. Cette capacité à avoir les bons réflexes, fera qu’une attaque ne se transformera pas en une catastrophe pour l’organisation tout entière.

Comment vous différenciez-vous dans l’accompagnement de vos clients ?

Ph.D. : L’originalité de notre approche ! Elle réside dans le fait que nous possédons nous-mêmes toutes les certifications concernant les standards nous conseillons à nos clients. La vérification régulière de nos activités par les autorités de certification nous permet de continuer sans cesse à nous améliorer. Nous nous reposons sur des méthodologies et des standards éprouvés comme ISO  27001 pour la sécurité des informations sensibles et ISO 22301 pour la continuité des activités.

Ce n’est pas un hasard si nous sommes présents dans des secteurs aussi divers que la santé, la finance ou le commerce d’électricité. Notre capacité d’écoute, notre compréhension des différents métiers et notre retour d’expérience font toute la différence. Nos clients apprécient notre propre expérience. Nous ne sommes pas que des théoriciens de la sécurité et de la continuité mais nous leur apportons d’abord des réponses adéquates, efficaces et pragmatiques.

RETOURNER AU BLOG