« L’absence de plan de continuité des activités est un plus gros problème que les pirates informatiques »

« L’absence de plan de continuité des activités est un plus gros problème que les pirates informatiques »

Un article d'opinion à la lumière d'Infosecurity.be, Data & Cloud Expo

Les cyberattaques de grande envergure font de plus en plus souvent l’actualité. L’année dernière, le constructeur aéronautique Asco, le fabricant de métiers à tisser Picanol, l'Université des sciences appliquées d'Anvers et des dizaines d'autres entreprises et organisations ont été mis hors service pendant des semaines à la suite d’une attaque de ransomware. Mais comment est-il possible que des entreprises soient hors service durant si longtemps ? Selon Jan Guldentops, cela serait notamment dû à l’absence d’un plan de reprise d’activité après sinistre (Disaster Recovery Plan) ou d’un plan de continuité des activités (Business Continuity Plan).

Des sujets palpitants tels que le piratage, les randsomwares, la cybersécurité mais aussi l'intelligence artificielle, les solutions de cloud computing et la protection de la vie privée seront abordés dans le cadre du programme de séminaires indépendants du salon informatique (virtuel) Infosecurity.be, Data & Cloud Expo les 31 mars et 1er avril. Le programme complet, qui s'articule autour du thème central « Resilience: a rocking organization in changing times » peut être consulté ici : https://www.infosecurity.be/en/bezoekers/program/

« The elephant in the room » : c’est ainsi que Jan Guldentops, cofondateur de l’entreprise de consultance BA, professeur de sécurité informatique à l’AP Hogeschool d’Anvers et membre de la Commission Flamande pour la protection des données personnelles, appelle ce phénomène. Le problème essentiel qui est totalement masqué par le tapage que l’on fait autour d’un autre aspect, pourtant insignifiant dans la pratique.

« Après plusieurs semaines de récits relayés par la presse au sujet des pirates informatiques, des rançongiciels et de la cybercriminalité, j’en suis arrivé à la conclusion qu’aucun article ne se penchait sur le réel point faible d’entreprises comme Picanol, Asco, Maersk et Willebroek », explique Jan. « En dépit de leur envergure et de leur statut de valeur sûre, aucune de ces entreprises ne disposait d’un plan de continuité des activités digne de ce nom. Autrement dit, elles ne s’étaient jamais demandé comment elles devraient remettre leurs systèmes en ligne après une calamité numérique d’envergure. »

Jan  Guldentops
Jan  Guldentops

Cela s'est confirmé très récemment, mais cette fois sans cybercriminels : en raison d'un incendie d'onduleur dans le centre de données d'OVH à Strasbourg, environ 1/5 des sites internet français ont été mis hors ligne, et pas seulement en raison d'un problème technique. L'entreprise pense qu'une partie importante des données ne peut être récupérée.  

L'obligation d'avoir un Business Continuity Plan

Il est vital pour les organisations de procéder à une analyse de risques, de s’interroger sur ce qui peut arriver de fâcheux, sur l’impact que cela aurait le cas échéant, sur la probabilité que cela se produise et sur la manière d’y remédier et de compenser les risques. Un élément essentiel de cette solution est un plan de reprise d’activité après sinistre ou un plan de continuité des activités. Dans un cas comme dans l’autre, il s’agit d’un plan qui décrit les mesures que l’entreprise va prendre en cas de calamité ou de problèmes graves.

Tout est question de prendre des copies de sauvegarde des systèmes et des données, et aussi de les tester en temps voulu. Car quiconque connaît la loi de Schrödinger sait que la valeur d’une copie de sauvegarde est entièrement proportionnelle au succès de sa dernière restauration. « Dans mon métier, j’interviens souvent en dernière instance, lorsque les problèmes se sont déjà manifestés. Et c’est là que je constate que nombre d’organisations se retrouvent avec des copies de sauvegarde qui ne peuvent être restaurées, ou du moins pas entièrement. Il faut par ailleurs s’interroger sur ce dont on a besoin pour travailler, et sur la manière dont on va l’obtenir. C’est là qu’il faut avoir et trouver l’infrastructure adéquate, et surtout les connaissances et les ressources humaines requises. Nombre de normes de sécurité (ISO27000, instances publiques, etc.) exigent une telle procédure, mais il s’agit généralement d’énormes documents qui sont le résultat d’un copier-coller, qui n’ont pour ainsi dire jamais été testés et qui n’offrent par conséquent pas le résultat escompté le moment venu », poursuit Jan.

« Même avec un Business Continuity Plan solide, les entreprises piratées auraient connu des problèmes et des temps d'arrêt mais durant un laps de temps plus court, pendant quelques jours, voire une semaine. Au lieu de cela, elles ont payé des milliers d’euros à la pègre de l’informatique, sans aucune garantie que ces messieurs n’auront pas laissé derrière eux quelques bombes à retardement électroniques. Sans compter qu’en termes de sécurité, elles en sont toujours au même point vu qu’une nouvelle calamité numérique (un incendie, un collaborateur interne qui était au courant de tout, etc.) les paralysera pour tout aussi longtemps. Les rançongiciels ne sont pas en cause, car ils pourraient être supplantés par un autre problème la semaine prochaine. Le véritable problème, c’est l’absence de procédures permettant de limiter les retombées et d’y remédier. »

La sécurité IT, une affaire pour toute l’entreprise

« Ma conclusion ? Ma conclusion est que les technologies de l’information et de la communication ont énormément évolué au cours des trois dernières décennies mais restent très immatures de ce point de vue. Et malheureusement, une indisponibilité des technologies de l’information et de la communication est de nos jours particulièrement lourde de conséquences. Il faut cesser d’envisager les technologies de l’information et de la communication et notre économie numérique comme des réalités soumises à d’autres règles et lois que l’économie physique. J’entends trop souvent des cadres supérieurs, tant de PME que de multinationales, dire que la sécurité de l’information n’est pas leur problème, qu’il s’agit d’une matière qui est entièrement déléguée – dans le meilleur cas au « security officer », mais la plupart du temps tout simplement au service TIC. Mais non, la sécurité de l’information, l’évaluation des risques et la continuité des activités doivent être l’une des préoccupations centrales de tout management. Les risques doivent être évalués et envisagés avec bon sens – à mon avis le plus important produit de sécurité qui soit –, des plans doivent être élaborés et des collaborateurs internes ou externes compétents doivent les mettre en œuvre. Si nous prenons tous les choses au sérieux et les abordons comme un réel problème au lieu de paniquer au moindre piratage et de devoir agir dans la précipitation, nous serons en mesure de maîtriser ce problème au même titre que n’importe quel autre », conclut Jan.

Peter Craddock, avocat du cabinet NautaDutilh BV affecté à l’équipe Data Protection, Cybersecurity & IT Law, constate une augmentation du nombre d’attaques par rançongiciel. Et il est lui aussi d’avis que la cybersécurité ne concerne pas que le département informatique. L’entreprise doit disposer d’une stratégie à part entière qui doit être connue au sein de toute l’entreprise, indépendamment des équipes et des niveaux. « Je constate que souvent, la sécurité informatique n’est l’affaire que d’une seule équipe. Nous plaidons aussi en faveur d’un plan d’approche commun et d’une communication rapide et efficace au sein de l’entreprise, de manière à limiter le plus possible les retombées de telles attaques cybernétiques. »

Peter Craddock
Peter Craddock

Les experts s’expriment

Note pour les rédactions (ces informations ne sont pas destinées à la publication) : Pour plus d'informations ou pour une interview avec un expert/conférencier lors de l’Infosecurity.be, Data & Cloud Expo, contactez Kirsten Van Pee, par mail via kvp@twocents.be ou par téléphone au +32 494 58 53 13.

Kirsten Van Pee Team Manager, Two cents

 

A propos de Infosecurity.be, Data & Cloud Expo Belgium

Le salon Infosecurity.be, qui se déroule parallèlement au salon Data & Cloud Expo, combine pendant deux jours une exposition et un programme de séminaires consacrés aux solutions de sécurité, au cloud, à la science des données et à toute une série d’autres thèmes s’adressant tant aux professionnels et experts des technologies de l’information qu’aux responsables d’entreprises.

Cette année, le thème central s’intitule « Resilience ». Que ce soit au salon ou dans le programme de séminaires, quatre sous-thèmes se dégagent : Cloud & Infrastructure, Security & Privacy, Data & AI et Digital Transformation & Innovation.

Plus d’infos sur les salons :
www.infosecurity.be : contribue aux questions relatives à la sécurité informatique
www.dncexpo.be : le domaine de la gestion des données et du cloud computing

Info pratique :
Infosecurity.be, Data & Cloud Expo 2021
Edition digitale le mercredi 31 mars et jeudi 1er avril.


Infosecurity.be, Data & Cloud Expo Belgium
Jaarbeursplein
3521 AL Utrecht
Nederland