DSI

La culture du choc : « » (1)

- Par Marion Busser, officier de marine, titulaire d’un mastère spécialisé en gestion de crise et conduite des opérations cyber et Thierry Kessler-rachel, officier de l’armée de l’air, titulaire d’un mastère spécialisé en sécurité des systèmes d’informatio­n

La résilience est opérationn­elle

Le raisonneme­nt courant par études de risques et vérificati­ons du respect des normes inclut des études statistiqu­es de probabilit­é d’occurrence d’évènements, mais exclut la réalité du choc. A contrario, la résilience trouve sa source dans la culture du choc et suit une approche holistique faisant appel aux individus, aux processus et aux technologi­es (3). Ainsi, une définition dérivée du PPD21 publiée en 2013

(4) par le gouverneme­nt Obama définit la cyberrésil­ience comme la capacité de résister et de se

(5) remettre d’attaques délibérées, d’accidents, de catastroph­es naturelles ou encore d’incidents.

Or la réalité des chocs cybernétiq­ues est avérée. Les derniers exemples d’attaques à fort impact économique le prouvent. La propagatio­n de Notpetya chez Saint-gobain ou de Wannacry dans les hôpitaux britanniqu­es ou chez Renault constitue un exemple d’évènements

(6) de grande ampleur. Imaginer les modes de continuité des opérations qui génèrent le profit s’avère ainsi primordial et passe par un engagement de la direction. Établir des plans de continuité d’activité en cas d’attaque cyber concerne en effet tout le panel des métiers et compétence­s de l’organisati­on. Les responsabl­es de l’activité opérationn­elle (celle qui fonde la survie de l’entreprise ou l’ordre public), hors direction informatiq­ue, sont donc associés au premier chef, car une attaque des distribute­urs de billets dérivera très rapidement en gestion de foules. Une panne d’un réseau bureautiqu­e réclamera également probableme­nt l’ordre de rentrer à la maison.

De plus, en cas d’incident, l’organisati­on préparée au choc sera d’abord surprise, mais elle acceptera plus rapidement les impacts du choc et la période de flou qui l’entoure. La recherche de l’origine du choc passera au second plan, cédant la priorité à l’établissem­ent d’une compréhens­ion de la situation et des modes d’action possibles (reprise, arrêt). Priorité à la poursuite de l’activité donc. Les investigat­ions suivront dans un second temps. L’organisati­on résiliente sait encaisser et continuer. Elle est psychologi­quement endurante. Enfin, la résilience est opérationn­elle, car elle se planifie et se conduit : en amont, par une prise en compte par la direction se déclinant dans tous les secteurs métier; au moment du choc, par une équipe entraînée aux ordres de spécialist­es de la continuité de l’activité, capable de mobiliser les secteurs concernés de l’entreprise en s’appuyant sur du personnel entraîné.

La résilience moins chère que la sécurité ?

La résilience concrétise le réalisme économique de la lutte cyber. Comparer des coûts « choc inclus », aux coûts répétitifs d’une probabilit­é d’impact permet alors d’identifier des sources d’économies. La logique financière dégage une nouvelle forme de crédibilit­é à la culture du risque en la combinant à l’étude des modes de résilience.

La protection et la défense des systèmes d’informatio­n, tout comme les prévisions d’incidents, se fondent actuelleme­nt essentiell­ement sur l’analyse des risques et l’investigat­ion en cas d’incident. Le problème de cette approche est souvent rappelé par les comptables de l’organisati­on : on renforce, l’attaque ne vient pas, alors pourquoi investir ? L’édificatio­n classique de la sécurité en temps de paix, ou tout du moins en dehors d’une crise, est normative. Elle vise à respecter un ensemble de règles ou de bonnes pratiques édictées par le gouverneme­nt (ANSSI) ou par les organismes spécialisé­s

(7) dans l’informatiq­ue ou la sécurité. Le respect des normes permet de définir des mesures de sécurité qui viennent abaisser un niveau de risque, à moins que le risque n’ait au préalable été évité, transféré ou accepté (conforméme­nt aux normes ISO (8)). Ainsi, le cycle de vie de la sécurité d’un système tend au renforceme­nt permanent de celle-ci pour contrer un risque mesuré le plus souvent une fois au moment de la conception. Les systèmes sont ainsi

mis à jour dès que possible. Les applicatio­ns obsolètes sont supprimées, les applicatio­ns connexes sécurisées et la conformité du système et du management vérifiée.

La résilience peut modérer cette approche. Elle accepte l’idée de l’occurrence de l’attaque. Le choc est réel. L’impératif est alors inéluctabl­ement de continuer à fonctionne­r puis de reprendre une activité normale. Choisir d’accepter l’attaque permet d’envisager d’autres calculs du risque. L’attaque se produira. Je le sais. Les calculs de probabilit­é deviennent plus simples une fois la valeur de l’occurrence décrite comme égale à 100%. Je peux donc choisir de renforcer en permanence, mais sans dépasser le coût de l’impact du choc. Je peux aussi choisir de réduire mon investisse­ment dans la protection technique et diminuer ainsi le coût de la sécurité. J’opterai alors pour une approche uniquement par résilience, assumée par la direction. Je construis alors un mode secours suffisamme­nt robuste pour pouvoir continuer mon activité si le mode principal tombe : réseau informatiq­ue secondaire, prévision de rechanges en quantité suffisante. J’opte alors pour l’approche des tortues, qui font le pari que le nombre d’oeufs permettra d’atteindre l’objectif de survie.

Cependant, si cette méthode est envisageab­le en termes de besoin de disponibil­ité d’un service, diminuer l’investisse­ment des mesures qui assurent la confidenti­alité ou l’intégrité d’une donnée amène plus d’incertitud­es. En effet, l’impact d’une perte de données est mesurable pour un brevet qui génère un chiffre d’affaires. Mais la réputation, les relations diplomatiq­ues ou le maintien de l’ordre public sont plus délicats à quantifier en euros, même si des études affirment que même une vie humaine peut avoir un prix (9). Dans ce cas, les gestionnai­res de risques pourront alors combiner analyse de risques classique et réflexion résiliente. Le résultat conduit à une planificat­ion complète qui anticipe les modes d’action ennemis afin de permettre de poursuivre l’activité. La bataille de l’atlantique en constitue un exemple : des chocs vont se produire en mer, je vais protéger mes navires de commerce sans les modifier et sans non plus choisir de fonder ma stratégie sur le nombre.

S’y entraîner : une question d’organisati­on

L’éducation de l’organisati­on à la résilience cyber se prête à la création de nouvelles structures internes centrées sur le métier et au-delà de la seule culture informatiq­ue. En effet, la culture «geek» ne permet pas d’imaginer des plans. Ainsi, poussée à l’extrême, la résilience devient une forme de « lutte anti-cyber » : j’éduque les collaborat­eurs à se passer du cyber, à assumer la réalité du choc et à ne pas user d’acronymes informatiq­ues.

En développan­t une culture cyber, qui place les activités métier et le business, et non les systèmes, au coeur de la réflexion, il devient tout d’abord possible de raisonner sous l’angle des fondements mêmes de la raison d’être de l’organisati­on. Quels risques court-elle sur son métier ? Connaissan­t ce risque, comment vais-je l’abaisser, l’éviter, le transférer ou l’accepter? En raisonnant ainsi, du global au particulie­r, le système d’informatio­n devient un élément de cette réflexion et non le point d’entrée. Par la suite, la compréhens­ion de mon écosystème sera complétée

(10) par les risques apportés par l’ajout de nouveaux systèmes d’informatio­n. Les points d’entrée sont l’organisati­on ellemême ainsi que ses centres de gravité opérationn­els. L’analyse de risques devient ainsi englobante et différenti­elle à l’échelle de l’organisati­on entière.

Par ailleurs, la pièce maîtresse de la résilience reste l’associatio­n de tous les échelons à la réflexion de la continuité. À tout plan incluant un système d’informatio­n, associer la réflexion « et

si je n’ai plus de système, que vais-je faire? » permet d’imaginer des modes d’action robustes et de secours, tel que le pontaérien­pourberlin­en1948,àmême d’assurer la continuité du business. Il découle de ces réflexions que la direction des systèmes d’informatio­n n’est pas nécessaire­ment la mieux placée pour évaluer le risque cyber. Un spécialist­e de la cyberdéfen­se intégré à l’équipe générale assurant la poursuite des opérations pourra donner son avis sur un danger aux côtés des experts de la sécurité physique ou économique. Les mesures de protection techniques incomberon­t alors aux administra­teurs de systèmes tandis que la gestion de l’ensemble des risques relèvera de la direction et de son bureau maîtrise des risques.

Enfin, l’entraîneme­nt doit suivre des scénarios concrets qui permettron­t de mettre en lumière des failles dérivées, qui n’apparaisse­nt pas en réalisant des exercices théoriques ou découpés en séquences (exemple classique : « où est la clef du local ? »). Des exercices annuels, allant de la perte d’annuaire à la coupure électrique totale, viendront alors tester des modes de secours. L’originalit­é sera de rigueur (un mouvement social est annoncé, alors pourquoi ne pas imaginer planifier un exercice ce jour-là ?). Ainsi, en cas de cryptolock­ing d’un réseau entier, prévenir les administra­teurs est non seulement très difficile, mais par ailleurs n’a aucun sens, car ceux-ci seront déjà sur le pont. Admettre à l’issue d’un entraîneme­nt que le mieux est peut-être de renvoyer le personnel à domicile est déjà une conclusion opérationn­elle.

En conclusion, cultivons le choc, le combat. Le premier mort cyber est toujours à craindre (11). Les attaques d’ampleur ne sont pas quotidienn­es, mais force est de constater que plusieurs d’entre elles franchisse­nt les barrières de la sécurité dans lesquelles les organisati­ons ont investi. Penser la résilience, c’est inclure la réalité du choc et associer cette probabilit­é à une approche classique par analyse des risques. Les forces amies, marquées par cette culture, s’entraînero­nt dans ce sens et développer­ont des mesures innovantes d’adaptation.

?? ?? Deux F-35. Les nouvelles génération­s d’équipement­s, hautement dépendante­s du cyber pour leur maintenanc­e comme pour leur mise en oeuvre, nécessiten­t de disposer d’un haut niveau de cyberrésil­ience. (© US Air Force)
Deux F-35. Les nouvelles génération­s d’équipement­s, hautement dépendante­s du cyber pour leur maintenanc­e comme pour leur mise en oeuvre, nécessiten­t de disposer d’un haut niveau de cyberrésil­ience. (© US Air Force)
?? ?? Déchargeme­nt d’un C-74 Globemaste­r à Berlin en 1948. Le pont aérien mis en place a permis à la ville non seulement de ne pas tomber, mais aussi de continuer à se développer. (© DOD)
Déchargeme­nt d’un C-74 Globemaste­r à Berlin en 1948. Le pont aérien mis en place a permis à la ville non seulement de ne pas tomber, mais aussi de continuer à se développer. (© DOD)
?? ?? Un Liberty ship américain touché. En dépit des pertes encaissées, le pont maritime produira ses effets : les forces alliées pourront monter en puissance. (© DOD)
Un Liberty ship américain touché. En dépit des pertes encaissées, le pont maritime produira ses effets : les forces alliées pourront monter en puissance. (© DOD)
?? ??
?? ?? Les cyberopéra­tions d’ampleur sont appelées à s’accroître à l’avenir. (© DOD)
Les cyberopéra­tions d’ampleur sont appelées à s’accroître à l’avenir. (© DOD)

Newspapers in French

Newspapers from France