Avec les cybermenaces telles queles ransomwares qui perturbent régulièrement les activités commerciales à travers le monde, la cybersécurité n'est pas seulement un problème informatique, c'est un risque commercial qui doit être pris en compte dans le plan de continuité des activités.
Mais comment s'y prendre ?
Obtenir le soutien de la direction
Le ton donné par la direction est déterminant pour la réussite de la continuité des activités et de la préparation à la cybersécurité. Si votre organisation souhaite se renforcer et se protéger en permanence contre tous les événements prévisibles, voire parfois imprévisibles, vous devezobtenir le soutien de la direction.
Il est également important que les dirigeants encouragent une culture de collaboration. Les responsables de la continuité des activités, les responsables de la sécurité de l'information et les unités commerciales doivent faire preuve de transparence les uns envers les autres. Cela implique parfois d'admettre qu'un processus sous votre contrôle doit être amélioré. Si les dirigeants encouragent une culture de transparence, les employés seront plus enclins à signaler et à résoudre les problèmes liés aux processus de votre organisation. À terme, cela pourrait aider l'organisation à atténuer une vulnérabilité majeure.
Vos plans de continuité des activités et d'intervention en cas d'incident doivent chacun inclure :
- Classification des différents incidents de sécurité.
- Critères de déclenchement du plan.
- Rôles et responsabilités des employés.
Surmonter ces obstacles avec de nombreux employés travaillant à distance peut s'avérer difficile, en particulier en cas de problèmes de connectivité. Cela nous amène au point suivant.
Connectivité
Quel que soit leur lieu de travail, les employés doivent avoir accès aux ressources dont ils ont besoin pour faire leur travail : communications vocales et données, électricité, téléphones, ordinateurs, etc. Après des « tempêtes parfaites » majeures (qui deviennentla nouvelle norme), il se peut que les connexions cellulaires, électriques et Internet ne soient plus disponibles.
Par exemple, après le passage de l'ouragan Harvey à Rockport, Corpus Christi et Port Aransas au Texas, les dégâts causés par le vent ont provoqué des coupures d'électricité et interrompu les communications. Le télétravail n'était même pas envisageable pour les entreprises de ces régions.
À Houston, le télétravail semblait être une stratégie idéale. D'innombrables routes ont été fermées, les eaux de crue ont persisté pendant des jours et les bureaux ont été détruits. Bien que la ville ait connu des niveaux d'inondation records, les infrastructures de communication et d'électricité se sont révélées résistantes. Pour de nombreuses entreprises, il était tout simplement logique de faire travailler leurs employés à distance. Mais beaucoup d'entre elles n'avaient pas réfléchi à la logistique nécessaire pour permettre à l'ensemble du personnel de travailler à distance. L'afflux soudain d'employés à distance a mis à rude épreuve les ressources de l'entreprise : licences VPN, disponibilité de la bande passante des concentrateurs VPN au bureau à domicile, etc.
Comment géreriez-vous l'ensemble de votre entreprise en travaillant à distance ? Réfléchissez àla manière dont vous réagiriez face aux problèmes potentiels suivants:
- Les employés peuvent ne pas disposer du matériel adéquat, soit parce qu'ils n'ont pas reçu à temps le matériel approuvé par l'entreprise, soit parce que celui-ci est bloqué dans leur bureau à domicile.
- La connexion Internet au domicile des employés n'est pas toujours fiable.
- Une augmentation significative du nombre de télétravailleurs peut surcharger le VPN.
- Les employés qui ne sont pas habitués au télétravail pourraient rencontrer des difficultés pour se connecter.
- Les systèmes téléphoniques de l'entreprise peuvent ne pas être compatibles avec les appareils personnels des employés.
- Les connexions réseau vulnérables augmentent le risque d'exposition des données sensibles.
- Les employés sont plus susceptibles d'utiliser des appareils personnels sans paramètres de sécurité appropriés.
Plus vous êtes capable de relever les défis potentiels en matière de connectivité, plus le télétravail a de chances de réussir. Mais ce n'est qu'une partie de l'équation.
Évaluez votre plan d'intervention en cas d'incident
La manière traditionnelle d'envisager la continuité des activités consiste à examiner l'inopérabilité d'une installation, d'un service ou d'une fonction particulière. Il s'agit là du pire scénario possible. Les cybermenaces ont ajouté toute une série de nouvelles façons potentielles de paralyser une opération particulière.
Votre organisation dispose-t-elle d'un plan d'intervention détaillé qui tient compte des différents types d'incidents de sécurité auxquels elle pourrait être confrontée ? Commencez par examiner le niveau de détail du plan d'intervention. De nombreuses entreprises se contentent d'ajouter un bref paragraphe sur l'intervention en cas d'incident, voire une ou deux pages, à leurplan de continuité des activités. Attention : cela ne constitue pas un plan d'intervention complet. Assurez-vous que le plan répertorie au moins les sept à dix principaux types d'incidents de sécurité susceptibles de perturber ou d'interrompre les activités de l'entreprise. Il doit prévoir des réponses et des procédures spécifiques liées à ces événements.
Vous devez également déterminer quels incidents déclencheront les plans de continuité des activités et d'intervention en cas d'incident. Par exemple, un scénario d'hameçonnage par e-mail n'entraînerait pas nécessairement la fermeture de l'accès aux données critiques ni n'affecterait votre capacité à servir vos clients. Dans ce cas, vous pourriez activer votre plan d'intervention en cas d'incident, mais pas votre plan de continuité des activités. Une attaque par ransomware, en revanche, pourrait effectivement mettre vos systèmes hors ligne. Comme elle vous priverait de l'accès aux données critiques et de la capacité de servir vos clients, vous pourriez la classer comme une panne nécessitant une réponse de continuité des activités.
Testez votre plan
Tout comme vous testez votre plan de continuité des activités pour les scénarios les plus pessimistes, vous deveztester des scénarios qui intègrent la continuité des activités et la réponse aux incidents. Par exemple, vous pouvez passer en revue le processus de réponse à une attaque Cryptolocker qui crypte un disque dur ou un magasin de données et nécessite la restauration de ces données sur une autre plateforme. Pour déterminer comment les plans se déroulent dans un scénario particulier, commencez parun exercice sur table avant deprocéder à un test fonctionnel.
Note de l'éditeur : Cet article a été publié à l'origine sur Preparis Business Continuity Software. En octobre 2024, Mitratech a acquis Preparis, un fournisseur de premier plan de solutions de planification de la continuité des activités et d'intervention d'urgence. Le contenu a été mis à jour pour refléter les offres de produits élargies de Mitratech, les progrès de l'industrie et les développements réglementaires.
