« Prévenir plutôt que guérir » : cela s’applique aussi aux risques cyber, qui doivent désormais être pris en compte dans la stratégie globale de prévention des risques en entreprise. Les entreprises ont désormais tout intérêt à intégrer le risque cyber dans leur plan de continuité d’activité ou « PCA ». L’objectif : pouvoir continuer son activité le jour où une cyberattaque survient. Comment élaborer et mettre en œuvre un PCA ? Passons au crible le fonctionnement de ce document qui décrit la marche à suivre en cas de crise, notamment en cas de cyberattaque affectant le système d’information d’une entreprise.
Le plan de continuité d’activité est un document stratégique majeur qui prépare les entreprises à affronter les différentes crises qu’elles auront à traverser.
Le PCA concerne tous les types de risques auxquels une entreprise peut être confrontée : naturels, financiers, cyber, sociaux, épidémiques, etc. Son rôle est d’identifier précisément les risques qui pèsent sur une entreprise afin de mettre en place la stratégie et les processus permettant de continuer son activité en cas de crise avérée.
Les cyberattaques étant en forte croissance ces dernières années, avec des conséquences multiples sur la vie des entreprises, le risque cyber est désormais intégré au PCA.
Il l’est uniquement pour certaines entreprises comme « les établissements de crédit, les entreprises d’investissement, les établissements de santé, les opérateurs d’importance vitale » (source : SGDSN, Secrétariat général de la défense et de la sécurité nationale). L’élaboration d’un plan de continuité d’activité fait cependant partie des bonnes pratiques identifiées par l’ANSSI pour se prémunir des cyberattaques et assurer sa cybersécurité.
Les autres bonnes pratiques identifiées par l'ANSSI :
Connaître les risques cyber et s’y préparer, continuer à fonctionner et limiter l’impact d’une attaque sur son entreprise : c’est là tout l’enjeu d’intégrer le risque cyber à son PCA.
Le PCA contient les risques cyber identifiés, les ressources à solliciter, les procédures et les responsabilités de chacun en cas de cyberattaque et dans la mise en œuvre du PCA. Il dresse la liste des méthodes, outils et moyens opérationnels sur lesquels l’entreprise pourra s’appuyer pour maintenir ses activités essentielles suite à une cyberattaque, même en « mode dégradé ».
Le PCA doit permettre de répondre à des questions très concrètes :
Le PCA permet d’éviter la paralysie de l’entreprise en cas de cyberattaque. Au gain de temps s’ajoute également un gain d’efficacité. Mieux préparée, l’entreprise pourra activer son PCA en cas d’attaque cyber et tenter d’en limiter les conséquences (les pertes commerciales et financières liées à l’interruption des activités et à la remise en fonctionnement des infrastructures et services impactés, par exemple).
Prendre conscience des risques et de leurs conséquences est une première étape pour les éviter ou, à défaut, en limiter l’impact. D’autre part, vu l’ampleur des menaces, développer une bonne prise en compte des risques cyber est un avantage concurrentiel non négligeable pour une entreprise.
Deux options existent :
Étape par étape, l’entreprise doit faire figurer différents éléments dans son PCA :
Le PCA liste très précisément les actions à mettre en place en cas d’attaque affectant tout ou partie du système d’informatique d’une entreprise et les moyens permettant à l’entreprise de maintenir son activité, par exemple :
Le PCA est un document vivant et évolutif. Il doit lui-même faire l’objet d’une maintenance opérationnelle, être mis à jour en fonction de l’évolution de l’infrastructure informatique de l’entreprise (changement de logiciels métiers, structuration de la politique de sauvegarde de données, etc.) et de la menace cyber. Son efficacité doit également être testée régulièrement, avec différents scénarios.
Avec ces mises à jour et ces tests, la TPE ou PME peut s’assurer que les dispositifs préconisés dans son PCA sont effectivement appropriés, lui permettront de faire face avec efficacité et de poursuivre son activité en cas de crise cyber majeure. Si ce n’est pas le cas, des mesures correctives et des améliorations doivent être apportées au PCA.
En permettant aux entreprises d’affronter les crises cyber et d’en limiter l’impact sur leur activité, le PCA est un outil de résilience numérique. Il contribue également à diffuser une culture de la prévention des risques au sein des entreprises. La préparation n’empêche pas la crise, mais elle permet de mieux l’affronter !
Sources :