{ Tribune Expert } - MVO : renforcer la résilience opérationnelle pour protéger les systèmes critiques

Aujourd'hui, la cyber-catastrophe est la nouvelle hantise de fond - et en juillet 2024, le monde entier a pu en avoir un aperçu. La panne de mondiale de CrowdStrike a illustré le chaos généralisé qui pourrait survenir si des millions d'ordinateurs devenaient hors service en même temps.

Un tel chambardement aurait pu être créé par une cyberattaque et non par une "simple" mise à jour logicielle qui a mal tourné. En effet, un cybercriminel aurait pu prendre pour cible les systèmes critiques d'une centrale électrique, entraînant une coupure d'électricité d'une région pendant une semaine ou une vulnérabilité dans un logiciel de technologie financière déclenchant un effondrement financier du type de celui de 2008.

Les attaquants choisissent de cibler les systèmes critiques pour provoquer un maximum de perturbations. C'est ce que révèle une récente étude, les attaques par ransomware ont impacté 24 % des systèmes critiques, les rendant inaccessibles pendant une moyenne de 12 heures. Aussi, 59 % des entreprises françaises victimes de ransomwares ont stoppé leurs opérations*

Bien qu'un tel événement soit difficilement envisageable, l'interconnexion des systèmes modernes en fait une possibilité réelle. L'objectif pour les organisations doit être d'atteindre la résilience opérationnelle, ce qui signifie qu'il faut donner la priorité au maintien des fonctions critiques de l'entreprise en cas d'incident grave.

Identifier les Minimum Viable Operations (MVO)

Mais pour ce faire, il est d'abord indispensable de comprendre ce que sont les "minimum viable operations" (MVO). Les MVO désignent le nombre minimum absolu de systèmes dont une entreprise a besoin pour rester opérationnelle ou continuer à fournir des services. Il s'agit notamment de définir des protocoles de reconstruction détaillés et de mettre en place des mesures de récupération afin de minimiser les temps d'arrêt.

De nombreuses organisations se sont rendu compte qu'il était impossible de réduire à zéro la probabilité d'une cyberattaque et ce, quels que soient le budget qu'elles consacrent à la sécurité.

En identifiant son MVO, une entreprise peut élaborer une stratégie de cyber-résilience qui protège ces systèmes critiques lorsque l'inévitable brèche se produit.

Cette approche n'est pas l'aveu que les cybercriminels ont gagné, mais une acceptation de la réalité selon laquelle il est impossible de garantir d'être 100% protégé contre les violations. Il s'agit plutôt d'en limiter l'impact lorsqu'elles se produisent. Il n'y a pas de honte à être victime d'une faille, mais un manque de préparation est en revanche difficilement excusable, en particulier pour les entreprises de secteurs critiques.

Mais par où commencer ? La première étape de la compréhension des MVO consiste à identifier les systèmes essentiels au maintien des opérations, ce qui est propre à chaque entreprise. Par exemple, les systèmes considérés comme faisant partie des MVO d'une organisation seront complètement différents dans le secteur du retail et dans celui de l'énergie.

Une fois ces systèmes identifiés, il convient de déterminer les risques qui les entourent ou qui y sont liés. Avec quoi communiquent-ils et comment ? Il faut prendre en compte les vecteurs de risque, la chaîne d'approvisionnement et les tiers qui se connectent aux systèmes des MVO.

Beaucoup d'organisations dépendent d'un nombre important de tiers pour fonctionner. Il est donc essentiel que les entreprises sachent quels systèmes tiers sont connectés aux réseaux et qu'elles en limitent et contrôlent l'accès. La meilleure pratique consiste à appliquer une politique basée sur le moindre privilège afin de limiter la connectivité au strict minimum requis.

C'est également à ce stade qu'il est essentiel d'adopter une mentalité de « présomption de violation ». Il ne s'agit plus seulement d'empêcher l'accès non autorisé, mais de s'assurer qu'une fois à l'intérieur, les mouvements des attaquants sont sévèrement limités et que leur impact est minimisé. Cela permet non seulement de gérer et d'atténuer les risques de manière stratégique, mais aussi de protéger les actifs et les opérations critiques des MVO.

L'un des meilleurs moyens d'adopter un état d'esprit fondé sur l'hypothèse d'une violation et de protéger les actifs des MVO est d'adopter le Zero Trust.

Cette stratégie de sécurité est basée sur le principe « ne jamais faire confiance, toujours vérifier ». Elle applique des principes stricts de moindre privilège à tous les points d'accès, minimisant ainsi le risque d'accès non autorisé. Cette approche réduit considérablement l'impact des attaques et s'aligne sur une approche MVP en identifiant les actifs critiques, leur utilisation et les flux de données au sein du réseau.

Les technologies de micro-segmentation telles que la segmentation zéro confiance (ZTS) sont à la base du Zero Trust car elles divisent les réseaux en segments isolés avec des contrôles dédiés. Avec la micro-segmentation en place, les entreprises peuvent restreindre l'accès des utilisateurs, surveiller le trafic et empêcher les mouvements latéraux en cas d'accès non autorisé, en isolant et en protégeant les actifs critiques.

Toutes les cyberattaques ne doivent pas nécessairement entraîner la suspension des opérations

Les gouvernements mettent en garde contre le désastre économique que pourrait causer une cyberattaque contre des infrastructures. L'impact pourrait être catastrophique pour toute entreprise qui ne parviendrait pas à protéger ses opérations critiques.

La résilience opérationnelle met ainsi l'accent sur la nécessité de faire évoluer l'approche de gestion des risques opérationnels, d'une approche centrée sur la prévention des risques et la limitation des pertes vers une approche plus large et proactive. Cette dernière part du principe que les incidents, même les moins probables, vont se produire et qu'il faut être prêt à les traiter et à assurer la continuité des activités et services critiques ou importants.

Il est donc essentiel de sécuriser les actifs qui permettent à la société et aux entreprises de fonctionner. Il n'est pas nécessaire que toutes les cyberattaques se soldent par un échec commercial ou opérationnel.

En privilégiant une approche MVO, fondée sur le Zero Trust et la microsegmentation, les organisations évitent les retombées catastrophiques liées aux attaques.

* Mario Massard est Ingénieur Sécurité Senior EMEA chez Illumio