Les cyberattaques mettent en lumière les limites de la résilience actuelle des plans de continuité d’activité. Il s’agit de renouveler le BCP. Et vite !

Souvent présentée comme un des éléments majeurs de la stratégie de résilience des organisations, le BCP (Business Continuity) est-il encore légitime ? Les cyber-attaques, dans leur forme moderne, n’étant pas prises en compte lors de son élaboration, on peut s’interroger. Ce dernier, focalisé sur un enjeu de disponibilité, n’appréhende pas la problématique de perte de confiance dans le système d’information induite par les cyber-attaques.

La question sera évidemment soulevée lors de la Business Continuity Convention 2020 qui se tiendra au Cercle de Wallonie à Namur le 12 mars prochain. Et pour cause. Les dispositifs de continuité du système d’information, le plus souvent intiment liés aux ressources qu’ils protègent, sont également affectés par ces attaques. En effet, depuis plus d’une décennie, les BCP ont adopté les principes de mutualisation des infrastructures et de secours «à chaud» à la fois pour répondre aux exigences de reprise rapide des métiers et au besoin d’une meilleure exploitabilité. Et cette «proximité» entre le système d’information nominal et son secours rend vulnérables les dispositifs de continuité aux cyber-attaques. A titre d’exemple, les postes de secours dédiés et connectés des sites de repli sont aujourd’hui très souvent exposés aux mêmes risques de contamination (et destruction) que les postes nominaux.

Ajuster l’existant… ou tout revoir !

Lors d’une cybe-rattaque, le système de secours sera compromis en même temps que le système nominal. Et cela pour trois raisons principales. Un : les systèmes de réplication vont propager le virus entre le site nominal et le secours. Deux : les infrastructures d’administration, utilisées dans les cyberattaques pour se propager, sont communes au système d’information nominal et au secours. Et trois : même si le site de secours est totalement isolé, les mêmes vulnérabilités pourront être exploitées par l’attaquant lors de son activation…

Une crise cyber n’est pas une panne. Elle est souvent difficile à cerner -depuis quand ? Par qui ? Avec quels impacts ? Elle n’est pas seulement interne, mais aussi externe. Elle implique des parties souvent peu préparées sur ce sujet (avocats, autorités, fournisseurs, voire les clients…). Il est donc nécessaire d’ajuster les dispositifs existants qui n’ont pas été conçus pour intégrer la dimension cyber. Ce qui veut dire aussi que la question de continuité d’activité devient celle de la résilience.

Prendre en compte des scénarios d’attaques cyber

De là, l’urgence à reconsidérer les dispositifs de continuité pour s’adapter aux menaces cyber. Le BCP doit évoluer. Organiser des exercices en prenant en compte des scénarios d’attaques cyber -et ce à tous les niveaux, aussi bien techniques que décisionnels- permettra de préparer l’ensemble des acteurs, mais aussi d’apporter des modifications si nécessaire.

Aujourd’hui, de nouveaux acteurs, spécialisés dans les comportements individuels et collectifs, peuvent aider à mieux gérer les situations de stress induites par ces attaques. Il peut s’agit d’une demande demande de rançon, d’une médiatisation brutale et massive… Il s’agit de s’y préparer. La cellule décisionnelle aura alors toutes les cartes en main pour pouvoir agir.

Prévoir un cadre décisionnel

On l’a compris, cette intégration des scénarios cyber dans les BCP exige une certaine anticipation. Et pour cause : à la différence des scénarios habituels traités dans les BCP, ces crises cyber se distinguent par leur sophistication. Difficiles à cerner, elles demanderont beaucoup d’investigations. Dès lors, il est primordial que le BCP prévoie le retour à la normale suite à un incident majeur. Ce retour à la normale, encore trop peu anticipé par les entreprises, constituera un point critique de la cyber-résilience et nécessitera à son tour de mobiliser l’ensemble des métiers aussi bien IT, que juridiques, financiers, commerciaux etc.

L’ensemble de ces actions devra s’articuler autour d’un dispositif de gestion de crise optimisant le pilotage de tous ces acteurs et de leurs enjeux, facilitant les échanges internes, établissant la communication externe et, par-dessus tout, offrant un cadre décisionnel.