Cyber-résilience : repenser l'exhaustivité pour une sécurité plus efficace !

Face à un métier de RSSI soumis à une pression croissante en raison de la multiplication et de l'ingéniosité des menaces, les organisations doivent apprendre à prioriser. Et surtout, disposer des indicateurs métiers pertinents pour sécuriser les éléments IT les plus critiques.

Quel que soit le secteur d'activité, la majorité des processus de l'entreprise s'appuient sur des ressources informatiques - qu'il s'agisse des processus de production (chaîne d'assemblage, logistique, etc.) ou des fonctions support (ventes, RH, marketing, DAF, etc.). Dès lors, face à la massification des cyberattaques, il semble évident que les organisations cherchent à sécuriser l'ensemble de leur système d'information.

Cybersécurité : exhaustivité ne rime pas forcément avec efficacité

Tous ces processus n'ont pas la même criticité selon l'entreprise concernée.

Ainsi, une société industrielle doit impérativement disposer d'une chaîne de production opérationnelle, car celle-ci constitue la source directe de ses revenus. À l'inverse, d'autres processus, comme les processus administratifs, sont souvent moins critiques pour elle. En revanche, un cabinet d'expertise comptable doit absolument pouvoir s'appuyer sur ses outils administratifs et financiers pour fonctionner efficacement et répondre aux demandes de ses clients.

Un paradigme qui peut sembler évident. Et pourtant, combien d'organisations continuent de chercher l'exhaustivité dans la sécurisation de leur infrastructure IT ? Au risque d'épuiser les équipes de cybersécurité, dont plus de la moitié se déclarent proches du burn-out, selon SoSafe. Et surtout de manquer de ressources suffisantes : budgets limités, pénurie de compétences en cybersécurité, etc. Les organisations doivent se rendre à l'évidence : une protection à 100 % du SI est mission impossible. La clé de la cyber-résilience repose donc sur l'établissement des priorités en fonction de la criticité des processus par rapport au coeur de métier des organisations.

L'architecture d'entreprise au service de la cyber-résilience

Implicitement, la cyber-résilience repose sur une approche systémique qui consiste à cartographier précisément les interactions entre les actifs technologiques et les activités stratégiques de l'entreprise. En croisant la cartographie des infrastructures informatiques avec celle des processus métiers, les organisations peuvent identifier avec une grande précision les zones les plus sensibles et les points critiques de leur écosystème numérique.

Cette approche stratégique, au coeur des missions de l'architecte d'entreprise, permet une allocation judicieuse des ressources en cybersécurité. Les efforts et les investissements sont ainsi orientés prioritairement vers les zones névralgiques, évitant le piège d'une protection uniforme et souvent inadaptée.

A l'opposé d'une démarche exhaustive (généralement contre-productive), cette méthode ciblée offre une protection renforcée là où elle est vraiment nécessaire. Elle réduit par ailleurs les dépenses superflues sur des aspects moins critiques. Ce modèle garantit un équilibre optimal entre sécurité et efficacité opérationnelle, assurant une meilleure résilience globale de l'organisation face aux menaces cyber.

Communication efficace et gouvernance éclairée

Cette double perspective métiers et IT apporte une nouvelle dimension à la gouvernance de la cybersécurité. Elle favorise une communication plus fluide entre les différents services de l'organisation, tout en rendant les enjeux de la cybersécurité plus clairs et compréhensibles pour les comités de direction. Cette transparence favorise une meilleure allocation des ressources dédiées à la cybersécurité et à l'obtention de budgets supplémentaires, tout en contribuant à la réduction des primes d'assurance cyber.

Plus globalement, il s'agit de transformer une contrainte technique (la cybersécurité) en un véritable levier de pilotage stratégique (la cyber-résilience). Cela nécessite une méthodologie rigoureuse et structurée, alignée sur les recommandations réglementaires et les normes (NIS2, DORA, NIST, ...) - et reposant sur une démarche collaborative.

Le processus repose sur plusieurs étapes clés : établir des cartographies détaillées des infrastructures IT et des processus métiers, évaluer de manière approfondie les risques ainsi que les dépendances avec les tiers, et planifier la résilience à travers des tests réguliers, des plans de continuité et de reprise d'activité. La gestion proactive des incidents cyber, combinée à un contrôle continu du dispositif, complète ce cadre. Ces mesures permettent aux organisations de maintenir ou de reprendre leurs activités, même en cas d'attaque avérée.