La cybersécurité est devenue avec le temps un pilier de l’informatique. Plus le temps passe, plus les données se numérisent et par conséquent, il est devenu primordial pour une entité de se protéger face aux cyberattaques et d’assurer sa pérennité.
Mais est-ce que la cybersécurité pourra éternellement assurer ses fonctions ? Depuis peu, la notion de “cyber résilience” émerge et se fait de plus en plus connaître. Alors, qu’est-ce que la cyber résilience ? Est-ce qu’elle va remplacer la cybersécurité ? La compléter ? C’est ce que nous allons voir à travers cet article.
Qu’est-ce que la cyber résilience ?
Les premières apparitions de la cyber résilience se font en 2016 avec la sortie de la réglementation Network Information Security (NIS). En effet, on y évoque la “résilience des réseaux et des systèmes d’information”. Mais qu’est-ce que cela signifie ? D’après IBM, il s’agirait de “la capacité à continuer à produire les résultats escomptés malgré des cyber-événements compromettants, tels que des cyberattaques, des catastrophes naturelles ou des récessions économiques”. En d’autres termes, cela se réfère à la capacité d’une entreprise à maintenir la prestation de ses services à ses clients en dépit d’une interruption de ses activités due à une cyberattaque, une panne de réseau ou une catastrophe naturelle.
L’émergence de la cyber-résilience a entraîné l’élaboration de réglementations, parmi lesquelles figure la Digital Operational Resilience Act (DORA), ciblant spécifiquement le secteur financier, identifié comme l’un des dix-huit secteurs critiques selon la réglementation Network Information Security 2 (NIS2), qui constitue une extension de sa prédécesseure, la NIS1. »
Il est naturel de se demander pourquoi est-ce que la cyber résilience émerge lorsque nous avons déjà la cybersécurité ? Quel a été le processus, le cheminement qui nous a conduit jusqu’ici ? Pour s’en rendre compte, il faut remonter dans le temps et étudier de plus près ce qui s’est passé dans le monde du numérique au cours des dernières décennies.
Des cyberattaques plus dangereuses et plus nombreuses
On pourrait passer beaucoup de temps à parler des très nombreuses cyberattaques qui ont eu lieu depuis l’avènement de l’informatique. Certaines étaient des tests pour montrer les vulnérabilités du réseau mondial, d’autres des erreurs de manipulation ou encore des attaques menées par des personnes qui peuvent souvent être malveillantes. Au fil des années, le nombre de cyberattaques n’a fait que croître. Non seulement elles sont plus nombreuses mais aussi plus dangereuses et cela pour plusieurs raisons.
Jusqu’au début des années 2000, peu de personne n’avait accès à un ordinateur parce que cela coûtait cher et ce n’était pas aussi utile qu’aujourd’hui. La présence d’équipements informatiques se concentrait surtout au sein des entreprises, des gouvernements et des armées. Ce qui signifie qu’une cyberattaque touchait moins de monde, même si cela arrivait que des attaques fassent beaucoup de dégâts comme avec le virus “I LOVE YOU”, qui était un des premiers vers informatiques (et aussi un des plus connus). Depuis l’expansion d’internet, l’arrivée des ordinateurs et autres équipements dans les foyers, et la numérisation de l’information, le champ des possibilités pour les attaquants n’a fait qu’augmenter. Ils peuvent désormais s’attaquer aux entreprises, aux gouvernements ou encore à un citoyen comme lors de l’attaque WannaCry, qui est une des plus grandes attaques de ransomware à ce jour.
Ce n’est pas un secret, mais beaucoup d’attaquants sont attirés par l’appât du gain. Plus il y a de potentielles victimes, plus il y aura d’argent à gagner. Prenons le cas d’une banque, il y a moins d’efforts à déployer à tenter de pénétrer le réseau informatique d’une banque depuis son ordinateur chez soi qu’à la braquer, surtout qu’il y a plus gros à gagner. En effet, attaquer le réseau informatique d’une banque donne accès à toutes les informations et à tous les comptes bancaires, tandis que braquer une banque reviendrait à attaquer une seule parmi de nombreuses infrastructures de cette dernière.
Avec la démocratisation d’internet et des équipements informatiques, n’importe qui peut aujourd’hui avoir accès à un certain nombre de technologies et de ressources. Tout est maintenant accessible en quelques clics. Si on ajoute à tout cela l’appât du gain évoqué précédemment, la prolifération des cyberattaques était inévitable.
Malheureusement, les systèmes de défense ont pris du retard , notamment parce qu’il faut du temps pour les concevoir, les déployer et les mettre en place tandis que pour les attaquants, comme on l’a dit, presque tout est disponible sur internet. Certes il y a des moyens très efficaces pour contrer les cyberattaques, mais rien n’est infaillible, surtout que le mode d’apprentissage en cybersécurité est celui par l’échec. En d’autres termes, il faut qu’une attaque ait lieu pour développer de nouvelles solutions plus robustes. Cependant, au vu du retard que les systèmes de défense ont, de la facilité et simplicité avec laquelle les personnes malveillantes ont accès aux ressources et peuvent lancer des attaques plus dangereuses, plus dévastatrices et plus sophistiquées, il a fallu prendre des mesures afin d’avoir un coup d’avance.
Quel avenir pour la cybersécurité ?
Aujourd’hui, les entreprises et autres entités savent se défendre face aux cyberattaques car il existe des systèmes de défense très puissants mais, on l’a vu, rien n’est infaillible. C’est là que la cyber résilience intervient. Elle vient s’insérer dans la continuité de la cybersécurité en apportant des aspects d’anticipation, de préparation, de réponse et de récupération au sein de l’unité de défense des organisations. Cela passe par plusieurs étapes telles que la gestion des risques, la gestion de crise ou encore l’élaboration de plans de continuité et de reprise d’activités.
Étant une discipline émergente, la cyber-résilience nécessitait un cadre réglementaire pour prévenir tout éventuel excès. À la fin de l’année 2022, l’Union européenne a approuvé et publié des réglementations telles que NIS2 et DORA, visant à promouvoir un niveau élevé de cyber-résilience pour les entités européennes, en particulier dans le cas de DORA pour les entités financières. En novembre 2023, l’Union européenne a ratifié le Cyber Resilience Act (CRA), mettant l’accent sur la sécurisation des objets connectés. Cette initiative marque une étape significative dans le renforcement des mesures de protection contre les cybermenaces, soulignant l’engagement continu envers la cyber-résilience et la sécurité numérique au sein de l’Union européenne.
La cybersécurité a encore de beaux jours devant elle, mais il faut aujourd’hui voir plus loin, en anticipant les attaques et en ayant un coup d’avance sur les attaquants puisqu’on aujourd’hui nous reconnaissons le risque d’attaque et d’interruption des services critiques des entreprises et autres organisations. Nous pouvons désormais affirmer que nous entrons dans l’ère de la cyber résilience, cette discipline qui vient compléter et prendre le relais là où la cybersécurité a atteint ses limites.