Site icon Blog de la Transformation Digitale

Cyber-sécurité vs cyber-résilience

On entend de plus en plus parler de cyber-sécurité et de cyber-résilience. Mais au final, qu’est-ce qui se cache derrière ces termes compliqués pour le commun des mortels ? C’est ce que nous allons essayer d’expliquer au travers de cet article.


Sécurité ou Résilience ? De quoi parlons-nous ?

Sous l’administration Obama, les décisions prises par la Maison Blanche en matière de sécurité nationale portent le nom de Directives Politiques Présidentielles (Presidential Policy Directives – PPD). La PPD 21 publiée en 2013 porte sur la sécurité et la résilience des infrastructures critiques et définit les contraintes à respecter dans ce domaine par l’ensemble des acteurs impactant la société américaine.

Cette directive, qui peut être vue comme une référence en la matière définit les termes suivants :

La sécurité consiste à réduire le risque pour les infrastructures par des moyens physiques ou mesures de cyber-défense à des intrusions, les attaques ou les effets des catastrophes naturelles ou causées par l’homme.

Exemples de mesures de sécurité:

  • Badge aux portes d’entrée
  • Utiliser un logiciel antivirus
  • Clôture autour des bâtiments
  • Verrouillage des écrans d’ordinateur

La résilience est la capacité à préparer et à s’adapter à des conditions changeantes, de résister et de récupérer rapidement suite à des perturbations subies. La résilience comprend la capacité de résister et de se remettre d’attaques délibérées, d’accidents, ou de catastrophes naturelles ou encore d’incidents.

Exemples de mesures de résilience:

  • Élaboration d’un plan de continuité d’activité
  • Prévoir un générateur électrique de secours
  • Utilisation de matériaux de construction durables

Le préfixe Cyber, pour sa part fait référence à toutes les techniques liées à la société du numérique et notamment à l’informatique et à l’internet.

On pourrait donc résumer de la façon suivante :

la cyber-sécurité consiste à réduire les risques d’intrusion, d’attaques ou les effets de catastrophes naturelles ou causées par l’homme dans le cadre de l’utilisation des moyens informatiques et de communication,

alors que

la cyber-résilience est la capacité à se préparer et s’adapter à des conditions en perpétuelle évolution ainsi qu’à récupérer rapidement ses capacités suite à des attaques délibérées, des accidents, des catastrophes naturelles ou encore des incidents dans le cadre de l’utilisation de moyens informatiques et de communication.

 Des différences essentielles

Il résulte de ces deux définitions que le périmètre de cyber-sécurité couvre essentiellement la réduction des risques et la résolution des incidents de sécurité de l’information alors que la cyber-résilience est beaucoup plus large et couvre à la fois la préparation à subir des attaques (prévention) et par dessus tout à pouvoir continuer et reprendre une activité business normale (correction) très rapidement suite à une attaque, une catastrophe naturelle ou des incidents liés à la sécurité de l’information.

La sécurité n’est-elle donc pas suffisante en soi?

La réponse est clairement négative. La sécurité vise à prévenir les incidents de sécurité et à gérer ces incidents mais ne prépare pas l’Organisation à faire face aux conséquences d’une cyber-attaque et à récupérer ses aptitudes à créer de la valeur après en avoir été la victime.

Pouvons-nous utiliser les mêmes référentiels et normes ?

Là encore la réponse est négative, du moins en partie. La cyber-sécurité pouvant être vue comme un sous ensemble de la cyber-résilience, il est clair que les référentiels et normes en matière de sécurité constitueront une première étape mais il convient d’élargir très sensiblement le périmètre pour couvrir les aspects de cyber-résilience.

Quelques exemples des normes et de référentiels :


Sécurité :

Cyber-résilience :

Cyber-résilience: un enjeu majeur pour les organisations

La cyber-résilience vise à gérer la sécurité en adoptant une approche globale impliquant à la fois les individus, les processus et la technologie. Elle impose une méthodologie à la fois solide et évolutive de gestion, d’analyse et d’optimisation des risques. Elle se pose comme le meilleur garant du capital informationnel des entreprises, organisations, états et individus. La cyber-résilience s’appuie sur cinq piliers que sont la préparation/ l’identification, la protection, la détection, la résolution des problèmes et la récupération. Dans cette approche, il est donc essentiel de se poser les bonnes questions, d’adopter les bonnes mesures et de les réévaluer à un rythme régulier et de façon pragmatique, afin de gérer au mieux les cyber-risques.

Dès lors que les entreprises ont compris que les cyber-attaques les affecteront tôt ou tard, indépendamment des efforts de prévention qu’elles auront mis en oeuvre et seront couronnées de succès, elles peuvent passer à l’étape suivante: la conception et l’implémentation d’un Programme de Cyber-Résilience (PCR). Un PCR englobe bien sûr les concepts de défense et de prévention, mais va au-delà de ces mesures pour mettre l’accent sur la réponse et la résilience de l’organisation dans les moments de crise.

Un PCR robuste implique:

Les entreprises doivent absolument accepter ce changement de paradigme qui consiste à passer de la cyber-sécurité à la cyber-résilience et d’en tirer des avantages stratégiques. Cela signifie focaliser l’énergie et des ressources sur les cyber-risques qui vraiment pourraient générer un impact sur l’entreprise, et sur les mesures qui fourniront des idées et des avertissements au sujet de ces risques.

L’impact business de la cyber-résilience

Passer d’une vision purement basée sur la cyber-sécurité à une vision de cyber-résilience exige trois changements clés dans l’entreprise:

Cette évolution permettra d’aligner les dépenses liées à la cyber-résilience avec les priorités des entreprises, de maximiser le retour sur investissement et de réduire les risques ciblés.

Des partenariats sont absolument nécessaires

Les entreprises trouveront difficile de faire la transition vers la cyber-résilience par elles-mêmes. Un consultant indépendant qui peut tirer parti d’une expérience terrain auprès d’autres Organisations et des meilleures pratiques du marché peut être un atout précieux. Un tel partenaire stratégique peut alors agir comme une extension de votre équipe informatique et de sécurité, en s’appuyant sur des processus et des outils avancés pour assurer à la fois la cyber-sécurité et la résilience contre la cybercriminalité.

Avec un partenaire de confiance, vous serez dans une position forte pour créer une stratégie et un plan exécutable qui vous permettront d’améliorer votre sécurité. Mais n’acceptez jamais des solutions toutes faites sorties d’un catalogue et soyez exigeant sur les références et accréditation par des organisations internationales de vos partenaires. Ils doivent vous apporter des conseils fiables et objectifs pour établir une relation de confiance et réduire votre risque.

Quitter la version mobile