Contactez-nous
Contactez-nous

Cyber Résilience : les fondamentaux, la progression et l’évaluation de maturité

Comment progresser dans la posture et la maturité cyber résiliente (2ème partie)

Cette partie s’adresse aux organisations ayant déjà mis en place les mesures de base et souhaitant accroître leur niveau de maturité en cyber résilience. Les experts Tersedia ont identifié les axes de progression suivants : prise en compte des obligations réglementaires, réalisation d’audits et plans d’action, amélioration continue via des indicateurs, cartographie des actifs et gestion du cycle de vie, sensibilisation des collaborateurs, préparation aux crises, etc.

Cartographier et maîtriser les actifs (cycle de vie et patch management)

Un signe de maturité avancée est la connaissance précise de son patrimoine informatique et la maîtrise de son cycle de vie. Il est indispensable de maintenir une cartographie à jour de l’ensemble des actifs : équipements (postes, serveurs, équipements réseau, IoT…), logiciels installés, versions et dates de fin de support, données sensibles et emplacements, flux entre applications, etc. Cette cartographie des actifs sert de fondation à de nombreux processus : gestion des risques (identification des points d’entrée), gestion des configurations, analyse d’impact en cas d’incident, plan de continuité, etc.

Pour commencer, déployez un outil d’inventaire automatisé (agent sur les postes ou scan réseau) afin de détecter les machines actives, leurs logiciels et configurations. Croisez avec un inventaire manuel si besoin pour ne rien oublier (notamment les actifs “cachés” ou méconnus du DSI, ex. matériels installés par des métiers sans autorisation). Comme le souligne l’expert IT de notre atelier :

« Il faut dresser un inventaire précis des actifs (y compris endpoints, serveurs, imprimantes, IoT) et de leurs accès, car certains appareils non contrôlés peuvent introduire des vulnérabilités et fausser la cartographie. »

Une fois l’inventaire réalisé, tenez-le à jour via un processus de gestion des changements : toute nouvelle acquisition, décommissions ou mise à jour majeure doit être reflétée.

Ensuite, mettez en place une gestion du cycle de vie de ces actifs. Cela implique :

Planifier les mises à jour logicielles et matérielles (pour éviter de garder des systèmes obsolètes non supportés)

Gérer les renouvellements de licences

Prévoir le remplacement des équipements en fin de vie avant qu’ils ne posent un risque.

Par exemple : 

Si un routeur arrive en fin de support constructeur l’an prochain, prévoyez son remplacement budgété pour éviter de rester avec un équipement non patchable. Cette anticipation fait partie de la résilience (réduire les « points faibles » avant qu’ils ne deviennent critiques).

Un volet crucial est la gestion des vulnérabilités tout au long du cycle de vie. En plus du patch management réactif, adoptez une approche proactive : scanner régulièrement vos systèmes à la recherche de nouvelles failles connues (à l’aide d’outils type scanner de vulnérabilité ou services en ligne). Traitez les résultats selon un processus établi : évaluation de l’impact, test des patches si nécessaire, déploiement rapide des correctifs sur les environnements concernés. Si une vulnérabilité critique “0-day” sans correctif sort, appliquez des mesures de contournement (désactiver un service, renforcer la supervision) en attendant le patch. Documentez également les dérogations si vous ne pouvez corriger certains systèmes (par ex. un vieux système industriel non patchable) et compensez-les par des contrôles additionnels (isolation réseau, monitoring spécifique).

Enfin, la cartographie doit couvrir aussi les données et les fournisseurs. Classez les par sensibilité (ex. données personnelles, secret industriel) et assurez-vous de connaître où elles sont stockées et qui y a accès. Contrôlez le cycle de vie des données (durée de conservation, archivage/suppression) pour limiter l’exposition inutile. De plus, maintenez une cartographie de vos dépendances externes (prestataires cloud, fournisseurs IT) et évaluez leurs mesures de résilience. NIS2 et DORA insistent sur la sécurité de la supply chain : vous devez choisir des fournisseurs fiables et prévoir des parades s’ils font défaut. Par exemple, si vous dépendez d’un prestataire SaaS critique, avez-vous un plan B en cas de panne prolongée de sa part ? Ce niveau de préparation fait partie de la maturité.

“on ne protège bien que ce que l’on connaît bien”

En synthèse, une organisation mature a une vision claire de ses actifs et de leurs vulnérabilités à tout instant. Cette maîtrise passe par des outils d’inventaire et de suivi du cycle de vie, une gestion rigoureuse des patchs et une anticipation des fins de vie. David (architecte métier) souligne que cette cartographie est aussi nécessaire pour prioriser les protections. Concentrer les efforts sur les actifs critiques pour le business et les plus exposés. C’est une démarche parfois fastidieuse, mais qui structure durablement la cyber résilience

Développer la sensibilisation et la culture cyber résiliente

La technique seule ne suffit pas : la dimension humaine est un facteur clé de la cyber résilience. Une organisation atteindra un haut niveau de sécurité si tous ses collaborateurs, du technicien au dirigeant, adoptent une culture de cybersécurité. Investir dans la sensibilisation et la formation continue du personnel est donc indispensable en phase de progression.

Reconnaître les tentatives de phishing, choisir des mots de passe robustes (ou mieux, utiliser un gestionnaire de mots de passe), activer le MFA, signaler tout email suspect ou comportement anormal, respecter les politiques (ne pas brancher de clé USB inconnue, etc.). Idéalement, menez des campagnes de sensibilisation régulières (au moins annuelles) via des sessions interactives, des supports e-learning, des affiches ou communications internes. Impliquez la direction pour soutenir publiquement ces initiatives, ce qui envoie le message que la sécurité est l’affaire de tous.

Comme l’exprime Bachir (chef de projet IT), « il faut commencer à sensibiliser les utilisateurs dès que possible » car ils constituent souvent le maillon faible initial. En effet, les salariés ne sont pas naturellement formés à la cybersécurité et n’en mesurent pas les enjeux ; il incombe à l’entreprise de les sensibiliser aux risques. Une population informée sera moins susceptible de commettre une erreur fatale (comme cliquer sur une pièce jointe piégée). De plus, des utilisateurs vigilants peuvent même devenir des capteurs d’alerte en signalant rapidement toute anomalie (ex: ordinateur lent qui pourrait indiquer un ransomware en cours, email douteux reçu par plusieurs personnes…).

Formez spécifiquement les développeurs aux principes de code sécurisé (pour éviter d’introduire des vulnérabilités applicatives), formez l’équipe support à détecter le social engineering (escroqueries téléphoniques, etc.), formez les équipes industrielles OT aux conséquences d’une attaque sur les automatismes, etc. Encouragez une culture où poser des questions de sécurité est normal. Créez éventuellement un espace (chat interne, référent sécurité par département) où chacun peut remonter un doute ou demander conseil sans crainte.

Organisez des phishing tests (envoi d’emails factices pour voir le taux de clic) puis communiquez sur les résultats et les leçons à en tirer. Valorisez les bonnes pratiques (félicitez publiquement l’utilisateur qui a su remonter un phishing, etc.) pour renforcer l’adhésion.

Une gouvernance de la sécurité efficace suppose des comités réguliers où l’on discute des risques cyber au niveau de la direction, où l’on arbitre les investissements, où l’on suit les progrès (via les KPI vus précédemment). La direction métier doit comprendre que la cybersécurité n’est pas qu’un coût, mais un élément de confiance et de pérennité de l’entreprise. Intégrer la cyber résilience aux valeurs de l’entreprise (par exemple, comme prolongement de la qualité ou de la continuité de service pour les clients) aide à la rendre concrète pour tous.

En conclusion, “l’humain est le premier pare-feu”. Une organisation résiliente forme ses troupes et promeut un esprit de vigilance partagée. Cela réduit fortement le risque d’incident (par prévention) et améliore la réponse (des utilisateurs préparés réagissent mieux en situation de crise). Cet aspect humain est souvent le plus difficile à faire évoluer, car il s’agit de changer les comportements, mais il apporte l’une des plus grandes valeurs ajoutées à long terme.

Préparer la gestion de crise : êtes-vous prêt pour le « jour noir » ?

Malgré toutes les précautions, une crise cyber majeure peut survenir (ransomware chiffrant une partie du SI, attaque ciblée avec exfiltration de données, sabotage interne, etc.). La différence entre une organisation résiliente et une autre se joue alors dans la capacité à gérer efficacement cette crise. Un adage bien connu est :

« il ne s’agit pas de savoir si une attaque arrivera, mais quand »

Partant de là, progresser en maturité signifie se préparer activement au pire scénario, pour limiter les dégâts et rebondir vite.

Pour ce faire, mettez en place un Plan de Réponse aux Incidents et un Plan de Gestion de Crise clairs. Le plan de réponse technique doit décrire pas à pas les procédures en cas d’incident :

  • isolation des systèmes infectés,
  • coupure des accès externes si nécessaire,
  • analyse forensique initiale, appel à une équipe d’éradication (interne ou prestataire),
  • communication interne,
  • etc

Assurez-vous que les contacts d’urgence sont listés (RSSI, DSI, prestataires de réponse à incident, juridique, communication…). Prévoyez également une communication de crise : qui parle aux médias ou aux clients, avec quels messages, etc., en cas d’incident public comme une fuite de données. Entraînez ces plans via des exercices de crise sur table (“table-top”) ou grandeur nature.

David (architecte) demandait dans l’atelier : « Gestion de crise : prêts ou pas prêts ? ».

C’est une excellente question à se poser honnêtement. Une façon d’y répondre est d’organiser un jeu de rôle impliquant les dirigeants et responsables clés : simuler par exemple une attaque ransomware un vendredi soir, et examiner comment chacun réagit. Cet exercice révèle vite le niveau de préparation.

Par exemple :

L’équipe savait-elle qui déciderait de déconnecter le SI si besoin ? Avez-vous pu contacter tous les membres du CODIR un week-end ? Savent-ils quelles priorités donner (payer ou pas une rançon, communiquer ou non immédiatement…) ? Chaque difficulté rencontrée doit servir à améliorer le plan.

En plus des aspects organisationnels, assurez-vous d’avoir les outils pour gérer la crise :

  • une cellule de crise équipée (salle de réunion dédiée, moyens de communication hors bande si le SI est tombé, téléphones de secours, emails alternatifs),
  • des outils de supervision capables de fournir rapidement des infos (logs centralisés, sauvegardes des journaux, etc.),
  • un accès à des experts en réponse à incident (vous pouvez souscrire à des services de SOC externalisé ou d’assistance d’urgence pour être épaulé en 24/7).

La gestion post-incident fait aussi partie de la résilience : après avoir colmaté la brèche, comment restaurer les systèmes, dans quel ordre (cela recoupe le PCA/PCI déjà évoqué). Avoir un playbook de reconstruction est très utile.

Par exemple :

Si l’Active Directory a été compromis, avez-vous une procédure pour le reconstruire à partir d’une sauvegarde saine ?

Ce sont des détails techniques à anticiper pour ne pas improviser sous stress.

Enfin, tirez un retour d’expérience (REX) systématique de chaque incident ou exercice de crise. Identifiez ce qui a bien fonctionné (à capitaliser) et ce qui a manqué. Mettez à jour en conséquence vos plans et formations. Ainsi, chaque crise rendra l’organisation plus forte au lieu de la fragiliser.

Une organisation mature ne sera jamais invulnérable, mais elle saura faire face :

“Chaque attaque que vous pouvez encaisser sans interrompre significativement vos activités est une victoire de la cyber résilience.”

En intégrant les leçons des crises passées et en vous entraînant pour celles à venir, vous développez un avantage adaptatif sur les menaces.

Vers une posture cyber résiliente exemplaire

Conformité

Audits

Métriques

Gestions des actifs

Sensibilisation

Plans de crise

votre organisation gravira les échelons de la maturité cyber. Il existe des modèles de maturité (par exemple le modèle CMMI adapté à la sécurité, ou le NIST Cybersecurity Framework avec ses niveaux « Tier 1 à 4 ») qui peuvent servir de référence pour se situer. L’essentiel est d’évoluer d’une approche réactive et ponctuelle (niveau initial) vers une approche proactive, intégrée et optimisée de la cyber résilience.

Au plus haut niveau de maturité, la cybersécurité fait partie intégrante de la stratégie d’entreprise : elle est soutenue au plus haut niveau, incluse dès la conception des projets (sécurité « by design »), mesurée et améliorée en continu, et même partagée dans l’écosystème (ex: exigences de sécurité imposées aux fournisseurs, participation aux communautés d’entraide CERT, etc.). On voit par exemple des entreprises avancer vers la certification ISO 27001 ou des labels sectoriels (HDS pour la santé, PCI-DSS pour les paiements…) non pas parce que c’est imposé, mais parce que cela structure leurs bonnes pratiques et rassure leurs clients. De même, des entreprises vont jusqu’à tester leur résilience via des exercices inter-entreprises ou faire évaluer leur niveau par des scores externes (il existe des sociétés de rating cyber qui notent en continu la posture des organisations sur la base de données publiques et de questionnaires approfondis). Sans citer de noms, Tersedia travaille avec des partenaires fournissant ce genre de scoring, permettant à nos clients de se comparer au marché et d’identifier les domaines où investir pour devenir « top niveau ».

Le chemin vers l’excellence en cyber résilience est un processus d’amélioration sans fin, car le contexte technologique et réglementaire évolue sans cesse (nouvelles menaces, nouvelles lois). Cependant, en appliquant méthodiquement les pratiques décrites dans ces deux guides, vous aurez fortement réduit la probabilité d’incident grave et augmenté votre capacité de survie en cas d’attaque.

La cyber résilience, en fin de compte, c’est assurer la pérennité de votre mission d’entreprise dans un monde numérique risqué. Cela requiert de la technique, de l’organisation et de la culture. Les fondamentaux posent les bases, et une démarche de maturité vous permet de tenir la distance et de vous adapter continuellement. Comme le résume bien un récent rapport du World Economic Forum,

“la cyber résilience compte : dans un monde hyper-dépendant du digital, elle devient un facteur de confiance, de compétitivité et d’innovation. »

Il ne tient qu’à vous de faire de la résilience cyber un avantage stratégique, et non un frein, pour votre organisation.
Riad ROUBACHE
CTO & CISO de Tersedia
Étiqueté
Découvrez nos offres
Vos enjeux
Une solution pour chaque secteur et chaque fonction
Quel que soit votre secteur d’activité ou votre rôle au sein de votre organisation, il existe forcément une solution Tersedia qui vous correspond.
Par secteurs

Finance et Assurance

Santé

Secteur public

Services et Distribution

Industrie

Éditeurs logiciels
Par fonctions

Dirigeant

DSI

Responsable Infrastructures

RSSI
Nos offres
Notre offre
de services
Notre offre de services

Notre palette d’offres adaptées à vos besoins d’infrastructures.

it-as-a-service
IT-as-a-service
Solution informatique clé en main
Infrastructure Secured by Design
Infrastructure Secured by Design
Sécurisé dès la conception
Cyber SOC
Cyber SOC
Supervision & sécurité opérationnelle de votre IT
Services managés
Services managés
Accompagnement personnalisé
Professional services
Professional services
Gestion des actifs informatiques