Cyber-résilience plutôt que perfection : pourquoi 100 % de sécurité est une illusion dangereuse

Aucune entreprise ne peut empêcher toutes les attaques. Cette prise de conscience n’est pas du défaitisme, mais le point de départ d’une stratégie de sécurité réaliste. La cyber-résilience ne se concentre pas sur l’impossible – la prévention sans faille – mais sur le réalisable : détection rapide, confinement efficace et rétablissement rapide.

L’essentiel

• Le NIST Cybersecurity Framework 2.0 complète « Recover » comme pilier égal
• 76 % des entreprises ont été attaquées avec succès au moins une fois en 2021 (Sophos)
• Le Mean Time to Recover (MTTR) décide du dommage total
• Approche de la résilience : Assume Breach – planifier pour le cas, pas contre lui

La prévention seule a échoué

L’industrie de la sécurité a vendu pendant des décennies la promesse suivante : achetez ce produit, et vous serez en sécurité. La réalité contredit cela quotidiennement. 76 % des entreprises ont été attaquées avec succès en 2021 malgré les pare-feu, les antivirus et la formation à la sensibilisation.

Le problème n’est pas l’absence de technologie, mais un paradigme erroné. Celui qui investit toutes ses ressources dans la prévention et économise sur la détection et le rétablissement est impuissant en cas de crise.

Le modèle de résilience : Prevent, Detect, Respond, Recover

La cyber-résilience répartit les investissements sur quatre piliers : prévention (réduire la surface d’attaque), détection (trouver des anomalies en minutes plutôt qu’en mois), réponse (confinement et forensique), rétablissement (rétablir rapidement l’activité commerciale).

La question cruciale n’est pas « Pouvons-nous empêcher une attaque ? », mais « À quelle vitesse pouvons-nous rétablir le fonctionnement normal ? ». Les entreprises avec un MTTR inférieur à 24 heures réduisent le coût moyen d’une violation de données de 60 %.

Exercices de table : simuler les situations d’urgence

La résilience se construit par la pratique. Les exercices de table simulent des scénarios – ransomware le vendredi soir, exfiltration de données par un initié, panne du fournisseur de cloud – et testent la capacité de réaction de l’équipe sans risque réel.

L’enseignement de chaque exercice : les plans qui ne sont pas testés ne fonctionnent pas en cas d’urgence. Les voies de communication sont floues, les décideurs injoignables, la restauration des sauvegardes prend plus de temps que prévu.

Continuité des activités comme discipline de sécurité

La résilience lie la sécurité informatique à la continuité des activités. Une attaque par ransomware n’est pas un problème purement informatique – elle affecte la production, la distribution, la communication et la conformité. La réponse nécessite une coordination entre l’informatique, la direction, le juridique et la communication.

L’ISO 22301 (gestion de la continuité des activités) offre le cadre. Les entreprises qui intègrent la gestion de la continuité des activités (BCM) et la sécurité sont prouvées plus résilientes que celles qui les gèrent séparément.

Key Facts

Taux d’attaques : 76 % des entreprises ont été attaquées avec succès en 2021

Effet MTTR : Un MTTR inférieur à 24 heures réduit les coûts de violation de données de 60 % (IBM)

ROI des exercices de table : Les organisations avec des exercices réguliers économisent 2,66 millions USD par violation de données (IBM)

Questions fréquentes

La résilience est-elle plus coûteuse que la prévention ?

Non – il s’agit d’une redistribution, pas de coûts supplémentaires. Au lieu d’investir 80 % du budget dans la prévention, une répartition de 40/20/20/20 sur Prevent/Detect/Respond/Recover est recommandée.

Comment mesurer la résilience ?

Indicateurs clés de performance (KPI) : Mean Time to Detect (MTTD), Mean Time to Respond (MTTR), Mean Time to Recover (MTTR-R), Recovery Point Objective (RPO) et Recovery Time Objective (RTO). Tester et documenter régulièrement.

Ai-je besoin d’un SOC pour cela ?

Oui, pour Detect et Respond – en interne ou en tant que SOCaaS. Pour Recover, vous avez besoin de sauvegardes testées, de procédures de rétablissement documentées et de plans de continuité des activités.

Articles connexes

• Centre d’opérations de sécurité en tant que service : pourquoi le SOCaaS a du sens pour les PME
• Pourquoi la formation à la sensibilisation à la sécurité échoue – et ce qui fonctionne à la place
• Budgets de cybersécurité 2024 : où les CISOs investissent – et où ils réduisent

Plus du réseau MBF Media

• Cloud Magazin – Cloud, SaaS & infrastructure IT
• myBusinessFuture – Numérisation, IA & business
• Digital Chiefs – Leadership de pensée C-Level

Source de l’image : Pexels / Engin Akyurt

À propos de l'auteur: Tobias Massow

Plus d'articles de Tobias Massow