La culture du choc : « » (1)
La résilience est opérationnelle
Le raisonnement courant par études de risques et vérifications du respect des normes inclut des études statistiques de probabilité d’occurrence d’évènements, mais exclut la réalité du choc. A contrario, la résilience trouve sa source dans la culture du choc et suit une approche holistique faisant appel aux individus, aux processus et aux technologies (3). Ainsi, une définition dérivée du PPD21 publiée en 2013
(4) par le gouvernement Obama définit la cyberrésilience comme la capacité de résister et de se
(5) remettre d’attaques délibérées, d’accidents, de catastrophes naturelles ou encore d’incidents.
Or la réalité des chocs cybernétiques est avérée. Les derniers exemples d’attaques à fort impact économique le prouvent. La propagation de Notpetya chez Saint-gobain ou de Wannacry dans les hôpitaux britanniques ou chez Renault constitue un exemple d’évènements
(6) de grande ampleur. Imaginer les modes de continuité des opérations qui génèrent le profit s’avère ainsi primordial et passe par un engagement de la direction. Établir des plans de continuité d’activité en cas d’attaque cyber concerne en effet tout le panel des métiers et compétences de l’organisation. Les responsables de l’activité opérationnelle (celle qui fonde la survie de l’entreprise ou l’ordre public), hors direction informatique, sont donc associés au premier chef, car une attaque des distributeurs de billets dérivera très rapidement en gestion de foules. Une panne d’un réseau bureautique réclamera également probablement l’ordre de rentrer à la maison.
De plus, en cas d’incident, l’organisation préparée au choc sera d’abord surprise, mais elle acceptera plus rapidement les impacts du choc et la période de flou qui l’entoure. La recherche de l’origine du choc passera au second plan, cédant la priorité à l’établissement d’une compréhension de la situation et des modes d’action possibles (reprise, arrêt). Priorité à la poursuite de l’activité donc. Les investigations suivront dans un second temps. L’organisation résiliente sait encaisser et continuer. Elle est psychologiquement endurante. Enfin, la résilience est opérationnelle, car elle se planifie et se conduit : en amont, par une prise en compte par la direction se déclinant dans tous les secteurs métier; au moment du choc, par une équipe entraînée aux ordres de spécialistes de la continuité de l’activité, capable de mobiliser les secteurs concernés de l’entreprise en s’appuyant sur du personnel entraîné.
La résilience moins chère que la sécurité ?
La résilience concrétise le réalisme économique de la lutte cyber. Comparer des coûts « choc inclus », aux coûts répétitifs d’une probabilité d’impact permet alors d’identifier des sources d’économies. La logique financière dégage une nouvelle forme de crédibilité à la culture du risque en la combinant à l’étude des modes de résilience.
La protection et la défense des systèmes d’information, tout comme les prévisions d’incidents, se fondent actuellement essentiellement sur l’analyse des risques et l’investigation en cas d’incident. Le problème de cette approche est souvent rappelé par les comptables de l’organisation : on renforce, l’attaque ne vient pas, alors pourquoi investir ? L’édification classique de la sécurité en temps de paix, ou tout du moins en dehors d’une crise, est normative. Elle vise à respecter un ensemble de règles ou de bonnes pratiques édictées par le gouvernement (ANSSI) ou par les organismes spécialisés
(7) dans l’informatique ou la sécurité. Le respect des normes permet de définir des mesures de sécurité qui viennent abaisser un niveau de risque, à moins que le risque n’ait au préalable été évité, transféré ou accepté (conformément aux normes ISO (8)). Ainsi, le cycle de vie de la sécurité d’un système tend au renforcement permanent de celle-ci pour contrer un risque mesuré le plus souvent une fois au moment de la conception. Les systèmes sont ainsi
mis à jour dès que possible. Les applications obsolètes sont supprimées, les applications connexes sécurisées et la conformité du système et du management vérifiée.
La résilience peut modérer cette approche. Elle accepte l’idée de l’occurrence de l’attaque. Le choc est réel. L’impératif est alors inéluctablement de continuer à fonctionner puis de reprendre une activité normale. Choisir d’accepter l’attaque permet d’envisager d’autres calculs du risque. L’attaque se produira. Je le sais. Les calculs de probabilité deviennent plus simples une fois la valeur de l’occurrence décrite comme égale à 100%. Je peux donc choisir de renforcer en permanence, mais sans dépasser le coût de l’impact du choc. Je peux aussi choisir de réduire mon investissement dans la protection technique et diminuer ainsi le coût de la sécurité. J’opterai alors pour une approche uniquement par résilience, assumée par la direction. Je construis alors un mode secours suffisamment robuste pour pouvoir continuer mon activité si le mode principal tombe : réseau informatique secondaire, prévision de rechanges en quantité suffisante. J’opte alors pour l’approche des tortues, qui font le pari que le nombre d’oeufs permettra d’atteindre l’objectif de survie.
Cependant, si cette méthode est envisageable en termes de besoin de disponibilité d’un service, diminuer l’investissement des mesures qui assurent la confidentialité ou l’intégrité d’une donnée amène plus d’incertitudes. En effet, l’impact d’une perte de données est mesurable pour un brevet qui génère un chiffre d’affaires. Mais la réputation, les relations diplomatiques ou le maintien de l’ordre public sont plus délicats à quantifier en euros, même si des études affirment que même une vie humaine peut avoir un prix (9). Dans ce cas, les gestionnaires de risques pourront alors combiner analyse de risques classique et réflexion résiliente. Le résultat conduit à une planification complète qui anticipe les modes d’action ennemis afin de permettre de poursuivre l’activité. La bataille de l’atlantique en constitue un exemple : des chocs vont se produire en mer, je vais protéger mes navires de commerce sans les modifier et sans non plus choisir de fonder ma stratégie sur le nombre.
S’y entraîner : une question d’organisation
L’éducation de l’organisation à la résilience cyber se prête à la création de nouvelles structures internes centrées sur le métier et au-delà de la seule culture informatique. En effet, la culture «geek» ne permet pas d’imaginer des plans. Ainsi, poussée à l’extrême, la résilience devient une forme de « lutte anti-cyber » : j’éduque les collaborateurs à se passer du cyber, à assumer la réalité du choc et à ne pas user d’acronymes informatiques.
En développant une culture cyber, qui place les activités métier et le business, et non les systèmes, au coeur de la réflexion, il devient tout d’abord possible de raisonner sous l’angle des fondements mêmes de la raison d’être de l’organisation. Quels risques court-elle sur son métier ? Connaissant ce risque, comment vais-je l’abaisser, l’éviter, le transférer ou l’accepter? En raisonnant ainsi, du global au particulier, le système d’information devient un élément de cette réflexion et non le point d’entrée. Par la suite, la compréhension de mon écosystème sera complétée
(10) par les risques apportés par l’ajout de nouveaux systèmes d’information. Les points d’entrée sont l’organisation ellemême ainsi que ses centres de gravité opérationnels. L’analyse de risques devient ainsi englobante et différentielle à l’échelle de l’organisation entière.
Par ailleurs, la pièce maîtresse de la résilience reste l’association de tous les échelons à la réflexion de la continuité. À tout plan incluant un système d’information, associer la réflexion « et
si je n’ai plus de système, que vais-je faire? » permet d’imaginer des modes d’action robustes et de secours, tel que le pontaérienpourberlinen1948,àmême d’assurer la continuité du business. Il découle de ces réflexions que la direction des systèmes d’information n’est pas nécessairement la mieux placée pour évaluer le risque cyber. Un spécialiste de la cyberdéfense intégré à l’équipe générale assurant la poursuite des opérations pourra donner son avis sur un danger aux côtés des experts de la sécurité physique ou économique. Les mesures de protection techniques incomberont alors aux administrateurs de systèmes tandis que la gestion de l’ensemble des risques relèvera de la direction et de son bureau maîtrise des risques.
Enfin, l’entraînement doit suivre des scénarios concrets qui permettront de mettre en lumière des failles dérivées, qui n’apparaissent pas en réalisant des exercices théoriques ou découpés en séquences (exemple classique : « où est la clef du local ? »). Des exercices annuels, allant de la perte d’annuaire à la coupure électrique totale, viendront alors tester des modes de secours. L’originalité sera de rigueur (un mouvement social est annoncé, alors pourquoi ne pas imaginer planifier un exercice ce jour-là ?). Ainsi, en cas de cryptolocking d’un réseau entier, prévenir les administrateurs est non seulement très difficile, mais par ailleurs n’a aucun sens, car ceux-ci seront déjà sur le pont. Admettre à l’issue d’un entraînement que le mieux est peut-être de renvoyer le personnel à domicile est déjà une conclusion opérationnelle.
En conclusion, cultivons le choc, le combat. Le premier mort cyber est toujours à craindre (11). Les attaques d’ampleur ne sont pas quotidiennes, mais force est de constater que plusieurs d’entre elles franchissent les barrières de la sécurité dans lesquelles les organisations ont investi. Penser la résilience, c’est inclure la réalité du choc et associer cette probabilité à une approche classique par analyse des risques. Les forces amies, marquées par cette culture, s’entraîneront dans ce sens et développeront des mesures innovantes d’adaptation.