LMi-MAG29 mars - Flipbook - Page 50
DOSSIER
Cybersécurité
qui est, là aussi, une initiation à la gestion de crise
cyber. Enfin, il n’oublie pas de mentionner tous les
contenus favorisant cette cyberrésilience fournis par
les acteurs du privé, incluant les éditeurs et les divers
prestataires spécialisés.
L’indispensable analyse des risques
Pour une efficacité opérationnelle, il faut déjà démarrer par une analyse des risques à en croire la majorité
de nos interlocuteurs interviewés dans ce dossier, c’est
le pilier central de toute stratégie de défense. « Sans
une analyse des risques, c’est compliqué de faire de la
cyberrésilience. La première question est de savoir où
sont les données… L’Anssi préconise des outils et des
méthodologies pour toutes les entreprises. L’analyse des
risques est transversale et concerne tous les métiers »,
rappelle Jérémie Schram. Cette analyse des risques doit
être également associée à la threat intelligence, comme
le rapporte Raphael Marichez, afin de savoir quel type
d’acteurs vous menace. D’autre part, sans cette initiative,
l’entreprise peut vite dépenser une fortune pour protéger des éléments futiles tout en laissant ses actifs les
plus critiques sans surveillance. Point important, il faut
également disposer d’un système de sauvegarde avancée
et surtout qui fonctionne avec des services associés de
APPROFONDIR
REMPAR25 : UN EXERCICE DE CRISE
CYBER D’UNE AMPLEUR INÉDITE
Article
tinyurl.com/rempar25-exercice
BIENVENUE DANS SENCY-CRISE
INITIATION À LA GESTION DE
CRISE CYBER POUR LES PETITES
ET MOYENNES STRUCTURES
Article
tinyurl.com/sency-crise
50 / mars / avril / mai 2026
reprise d’activité, ce qui est loin d’être le cas pour nos
interlocuteurs. « Mettre en œuvre un PRA est déjà une
étape importante mais il faut s’assurer de son efficacité
par des tests. La cyberrésilience, c’est certes cette capacité à maintenir les fonctions vitales, mais c’est aussi de
pouvoir redémarrer les systèmes », indique sur ce point
Pierre-Yves Hentzen, PDG de Stormshield. C’est d’autant plus important que seulement 8 % des entreprises
se disent vraiment prêtes à redémarrer, d’avoir cette
capacité totale de reconstruction après l’attaque selon
le dernier baromètre du Cesin.
Plus largement, l’efficacité opérationnelle doit reposer
sur une utilisation optimale des outils de sécurité mais,
là encore sur le terrain, c’est bien loin d’être le cas ;
Sébastien Viou constate au contraire une sous-utilisation des outils. Il reconnaît par ailleurs que bien trop de
solutions circulent dans les entreprises, de l’ordre de 30
à 50 dans les grands groupes en moyenne. De son point
de vue, il faut privilégier les solutions qui répondent à
80 % des besoins et donc ne pas trop s’éparpiller vers
des applications qui fonctionnent certes bien dans leur
tâche, mais qui n’interagiront jamais entre elles et dont
le coût final peut vite grimper en les cumulant.
Hackers éthiques
En outre, la cyberrésilience doit toujours s’accompagner
de formations et de sensibilisation auprès des utilisateurs, c’est ce que pratique régulièrement Eric Vautier,
RSSI du groupe ADP (Aéroports de Paris) que nous avons
rencontré lors de la soirée des remises de prix des personnalités IT de l’année, tout comme le partage d’informations entre pairs et l’organisation de bug bounty pour
tester, via des hackers éthiques, la sécurité numérique
des équipements et solutions. A cela, la conformité participe bien évidemment à cette efficacité opérationnelle
même si l’application des différents règlements - de NIS 2
à DORA en passant par le CRA (Cyber Resilience Act) est, pour certains, un casse-tête administratif de plus et
participe à l’inflation généralisée. Il faudra bien répercuter tous ces coûts liés à la réglementation quelque part.
A noter que le CRA, en forçant fabricants et éditeurs à
pratiquer la security by design, pourrait avoir un impact
réellement positif pour la supply chain, l’une des sources
d’attaques les plus redoutées aujourd’hui.
Enfin, pour tous nos interlocuteurs, la cyberrésilience
ne peut pas fonctionner si la direction générale n’est pas
impliquée et qu’elle ne donne pas les moyens nécessaires
et du temps.
