Les entreprises doivent revoir leur stratégie de résilience des données en profondeur

Dave Russell, Senior Vice President, Head of Strategy chez Veeam partage son expertise.

Dresser le bilan

C’est une chose de constater, mais une autre de se préparer réellement. Les entreprises ne peuvent plus nier l’évidence : leur niveau de préparation n’est pas suffisant, par rapport aux critères de référence du secteur. Le fait que certains aspects clés de la cyberrésilience, incluant notamment les personnes et les processus, sont souvent cités par les entreprises comme présentant des manquements importants, selon un rapport sur la résilience des données au sein des grandes entreprises, mené en collaboration avec le cabinet McKinsey. 

Il s’agit à présent de pouvoir combler les lacunes constatées. La résilience a souvent été associée à la cybersécurité, sans devenir une priorité à part entière pour les décideurs, qui partaient du principe qu’elle était déjà implémentée. Toutefois, c’est quand un incident se produit que la résilience peut être appréciée à sa juste valeur, à l’image des processus de sauvegarde et de récupération, que les dirigeants d’entreprise ont tendance à considérer comme des filets de sécurité et à oublier.

On pourrait s’attendre à une diminution du nombre de cyberattaques grâce aux sanctions mises en place contre des groupes d’attaquants comme LockBit ou BlackCat. Pourtant, en 2024, quasiment sept entreprises sur dix ont subi une attaque, tout en reconnaissant, pour 74% d’entre elles, ne pas avoir toujours adopté les conseils en matière de résilience des données. Les formes de menace se diversifient, qu’il s’agisse d’attaques isolées ou de petits groupes organisés, difficiles à intercepter.  Enfin, une nouvelle sous-section d’attaquants implique l’utilisation d’un nouvel arsenal, basé sur des méthodes encore plus rapides d’attaque par exfiltration de données, qui sont de plus en plus mises en œuvre.

Savoir prendre conscience des lacunes

Une majorité d’entreprises (74%) estiment ne pas avoir suffisamment de maturité pour se rétablir rapidement et sûrement d’une cyberattaque. La plupart de ces défaillances en cyberrésilience sont signalées directement par l’entreprise, même si elles relèvent souvent de la négligence. Comment expliquer que, face à cet aveu de conscience, les organisations sont si peu nombreuses à chercher à combler leurs lacunes ?

Dave Russell, Senior Vice President, Head of Strategy chez Veeam

Pour certaines d’entre elles, il pourrait seulement s’agir d’une prise de conscience un peu tardive. Mais les nouveaux cadres réglementaires européens (NIS2, DORA) ont forcé les entreprises à consolider leur résilience sur tous les plans, et à la réévaluer en détail pour préparer leur mise en conformité. Cela a permis à beaucoup d’identifier des angles morts dont elles ne soupçonnaient pas l’existence.

Cette prise de conscience ne s’est, quoiqu’il en soit, pas faite du jour au lendemain, mais plutôt de façon progressive, en assistant à l’obsolescence de leurs normes en matière de résilience des données face aux nouvelles technologies et à l’adoption d’applications plus modernes. De plus, l’utilisation de l’IA par les entreprises, selon leurs besoins, pour prendre de l’avance sur leurs concurrents et améliorer leurs processus opérationnels, impacte de façon marginale leurs profils de données. Des profils de données tentaculaires, dépassant les mesures de résilience des données existantes, ont été créé avec les données générées par ces applications.

Associé à une compréhension insuffisante de la résilience des données modernes, on obtient la recette parfaite pour un désastre. Le principal problème tient à ce que les entreprises croient être des critères adaptés alors qu’ils sont erronés. C’est toujours mieux que de ne rien faire, surtout si l’on part du principe que la résilience des données ne se mesure pas. En théorie, leurs processus peuvent fonctionner, mais en réalité, c’est une tout autre affaire.

Faire les bons choix pour la résilience des données

Un travail d’acceptation de leur vulnérabilité est nécessaire à opérer pour les entreprises, pour anticiper la survenue d’un incident. Pour cela, elles doivent s’atteler à combler les lacunes qu’elles auront identifiées, même si cela signifie de se créer de nouvelles difficultés.

Il faudrait commencer par établir un état des lieux du profil des données d’une entreprise dont la résilience serait insuffisante, afin de savoir les données qu’elle possède, la nature des emplacements de stockage, le degré d’importance. Cela permet de diminuer le risque de voir proliférer les données, grâce à un filtrage de celles qui sont obsolètes, redondantes ou insignifiantes, afin d’accorder toute l’importance à la sécurité des données nécessaires.

Dans un second temps, il faut tester les mesures de résilience des données mises en place, de façon répétitive, complète et cohérente, pour se rapprocher des conditions d’une vraie attaque, car dans la réalité, aucun cyberattaquant n’est prêt à stopper son action si un système s’avère fragile ni à ne pas saisir les moments opportuns pour lancer une attaque. 

Une bonne façon de procéder, pour que les entreprises puissent véritablement identifier toutes les failles et lacunes de leurs mesures, c’est de procéder aux tests dans des conditions éprouvantes, pendant les congés annuels de parties prenantes ou quand un autre sujet occupe les équipes de sécurité. Ainsi, elles s’assurent de ne pas prendre conscience de ces vulnérabilités au pire moment, à savoir pendant une attaque.

L’énergie et le temps investis pour consolider sa résilience des données sont importants mais se révèlent payants sur le long terme. Être doté de capacités avancées de résilience des données est un atout qui aide ces entreprises à afficher une croissance annuelle de leur chiffre d’affaires supérieure de 10 % à celle des entreprises encore à la traîne.

L’impact de la résilience des données sur la croissance n’est pas automatique. Mais elle a forcément des conséquences directes sur l’ensemble des processus. Avec le temps, les cybermenaces deviendront plus complexes et l’empreinte des données ne se réduira pas de sitôt. Toutes les entreprises seront confrontées à ces problèmes, c’est pour cela qu’il ne faut plus attendre pour agir, avant qu’une cyberattaque survienne.

Pour compléter votre information sur la résilience des données avec iTPro.fr :