DIGITAL SOLUTIONS
De la cyber-sécurité à la cyber-résilience
Dans un environnement de plus en plus incertain, garantir la continuité du business exige d’adopter des approches plus proactives et mieux intégrées. EBRC promeut la cyber-résilience, en appliquant les dernières normes et les meilleures pratiques, pour assurer une protection « by design » des systèmes et garantir la confiance des organisations dans le numérique.
February 22, 2018
Parution dans ITnation Magazine – Edition Printemps 2018
L’année 2017 a mis à rude épreuve les systèmes informatiques et les professionnels de la cyber-sécurité. Ces derniers mois, des attaques DDoS massives et plusieurs épidémies de ransomware sont venues perturber les activités de nombreuses organisations internationales. Beaucoup se sont vues prises en otage, paralysées par des attaques malveillantes. Des processus électoraux au sein de pays démocratiques ont même été perturbés par des cyber-activistes aux intentions douteuses. « L’année dernière a été charnière dans le mouvement de nos sociétés vers une ère numérique, commente Yves Reding, CEO d’EBRC. La multiplication des attaques a mis en évidence les fragilités de nos organisations et les failles de nos sociétés de plus en plus digitales. On a découvert par la même occasion les limites d’une approche traditionnelle en cyber-sécurité, qui vise essentiellement à protéger les systèmes. La cyber-sécurité est dépassée car trop restrictive, il faut une approche globale, totalement intégrée : la cyber-résilience. »
Opter pour une approche active
Pour le dirigeant de la société luxembourgeoise, leader européen de la gestion de la donnée sensible, il faut promouvoir une approche plus holistique de la sécurité digitale, mieux intégrée aux enjeux organisationnels et business. Dans le contexte actuel, il faut changer de paradigme. La question n’est plus de savoir si l’on va être attaqué, mais bien quand. A partir de là, chacun doit pouvoir mieux se préparer à absorber le choc, réagir à toute éventualité et rebondir. « Chacun évolue dans un environnement, le cyberespace, incertain, instable, potentiellement hostile, poursuit Yves Reding. A la manière d’un kayakiste qui descend un torrent et qui doit jouer avec le courant, éviter les rochers, l’organisation au cœur du cyberespace doit gagner en agilité et flexibilité. Il faut pouvoir évoluer en tenant compte des éléments présents dans son environnement. Face à l’éventualité d’un incident de sécurité ou de continuité, il faut opter pour une approche proactive, dynamique, composer en permanence avec les éléments, anticiper et contourner les obstacles, surfer, accélérer, rester la tête hors de l’eau. Pour certains, moins bien préparés, l’objectif premier sera de survivre. Pour les plus résilients, il s’agira au contraire de rebondir, d’avancer et de profiter de la vitesse du torrent. »
Identifier, protéger, détecter, répondre, récupérer
La cyber-résilience, aujourd’hui promue par EBRC, place la cyber-sécurité au cœur du business. En permanence, il faut pouvoir identifier, protéger, détecter, répondre à l’incident et récupérer les systèmes pour garantir la continuité de l’activité et rebondir. C’est l’approche suggérée par la directive NIS, qui vise à sécuriser les réseaux et les systèmes d’information contre tout risque et incident au niveau des infrastructures critiques européennes dont EBRC fait partie. « Finalement, la cyber-sécurité n’est qu’un sous-ensemble de la cyber-résilience. On parle de développer pour chaque activité dépendant du numérique un système immunitaire performant, poursuit Yves Reding. Pour qu’il soit efficient, il faut que les différentes composantes de l’organisation interagissent de manière coordonnée, selon une approche systémique. »
Pour inviter les acteurs à mieux évoluer et se protéger dans cet univers incertain, les organisations internationales et autorités publiques prônent le développement et le respect de normes toujours plus poussées – ISO 27001 (gestion de la sécurité de l’information), 20000 (gestion des services informatiques), 27018 (protection des données à caractère personnel) ou 22301 (gestion de la continuité d’activité). Ainsi, la nouvelle norme française d’Hébergeur de Santé à caractère personnel qui sera d’application en 2018 exigera les normes ISO 27001, 20000 et 27018. De même, pour construire le marché unique digital européen, l’Union Européenne se dote de nouveaux outils, comme une agence de la cyber-sécurité (rôle confié à l’ENISA) ou encore la directive NIS. « En développant une proposition de valeur de bout-en-bout dans le domaine de la gestion de la donnée sensible, EBRC a, depuis sa création, progressivement intégré toutes ces normes et bonnes pratiques, pour garantir la continuité, la sécurité, la protection des activités de ses clients face à l’ensemble des risques », précise Yves Reding. « En leur apportant toutes les garanties de confiance vis-à-vis du numérique, nous leur permettons de créer de la valeur à travers leur business dans ce monde digital de plus en plus incontournable mais également de plus en plus complexe et incertain.»
Mettre en œuvre une approche cyber-résilience intégrée
Via l’approche intégrée, la protection des clients d’EBRC face aux risques est sans cesse renforcée, selon une approche d’amélioration continue. Récemment, EBRC a fait évoluer son Security Operation Center (SOC) en intégrant la solution de Guidance Software, un des leaders mondiaux en investigations sécurité. Grâce à des algorithmes sophistiqués, celle-ci conduit à une détection prédictive des menaces au départ de l’analyse des comportements déviants au sein des systèmes d’information. En sus, elle constitue également un composant clef dans l’investigation et la remédiation. Aujourd’hui, les équipes en charge de la gestion des opérations interagissent en permanence avec le SOC EBRC et le CERT EBRC, le « Computer Emergency Response Team » selon une approche intégrée qui a pour objectif une réactivité optimale face aux menaces. Le CERT EBRC réalise en particulier une veille technologique et des menaces permanentes. Il est également en contact avec d’autres CERTs. Si une nouvelle menace vient à être identifiée, le CERT EBRC peut immédiatement exécuter la stratégie de réponse pour les clients managés par EBRC, les équipes opérationnelles étant directement impliquées et les systèmes pouvant par exemple être patchés et donc protégés sans délais. Par ailleurs, l’intégration des équipes de conseil EBRC et des équipes opérationnelles renforce considérablement le centre de compétences « Cyber-résilience » EBRC qui compte aujourd’hui 50 experts et couvre plus de 450 clients critiques. Par ailleurs, EBRC participe aussi aux exercices d’envergure menés par l’ENISA, simulant des attaques puissantes. « Le dernier exercice CyberEurope constituait un exercice majeur de cyber attaques et de disruptions sophistiquées, à très large échelle, au niveau du continent européen. Il s’agissait d’un exercice très professionnel simulant une véritable crise cyber-résilience, impliquant tous les volets, cyber-sécurité, business continuity, gestion de crise, attaques physiques sur les Data Centres, attaques sur les nœuds télécom et les cloud providers… ». « On ne peut plus séparer les enjeux business des problématiques de continuité, de sécurité et de résilience. Les divers éléments entrant en ligne de compte, pour garantir le fonctionnement du business, doivent être totalement intégrés, comme les cinq doigts d’une même main. Il nous faut mettre en œuvre des approches de cyber-résilience « by design » renforcées et de bout-en-bout », commente Yves Reding.
Garantir la confiance à l’échelle européenne
Pour le patron d’EBRC, la résilience de toute activité, et donc de l’économie digitale, se joue de plus en plus à l’échelle européenne. « Seul, dans son pays, on ne peut pas y arriver. Nous devons favoriser l’émergence de mécanismes de lutte plus efficients à l’échelle du marché numérique unique, notamment en matière de gestion de l’information la plus sensible », commente Yves Reding. EBRC, dans ce contexte, a anticipé la mise en œuvre de la directive NIS qui doit être traduite dans les juridictions nationales pour mai 2018. En tant qu’opérateur de services essentiels et de service provider numérique, EBRC entend jouer pleinement son rôle, en tissant un écosystème et des alliances fortes avec des partenaires européens afin de garantir la confiance de ses clients et de ses stakeholders dans l’espace numérique européen.