Il n’aura fallu que de quelques heures pour que deux data centers d’OVH soient détruits dans la nuit du 9 au 10 mars, l’un totalement et l’autre partiellement. Cet événement ne concerne a priori qu’un périmètre physique restreint, et pourtant il représente une masse de données considérable du fait de la fonction du site. En effet, ces structures hébergeaient et géraient une grande quantité de données clients, notamment des entreprises, des associations et des organisations gouvernementales françaises et internationales.

Concrètement, l’entreprise française estime qu’environ 15 000 clients, soit 464 000 noms de domaines, ont été impactés via une indisponibilité de leurs sites internet, de leurs applications mobiles et autres messageries électroniques, avec pour certains un risque de perte définitive de leurs données.

OVHCloud a rapidement multiplié les communications et actions pour restaurer au plus vite la situation d’avant crise : redémarrage des serveurs, offre commerciale, migration vers d’autres sites… Du côté des clients, certains ont paru démunis et dépendants des résultats de l’état des lieux réalisé par OVH, alors que d’autres ont rapidement montré leur autonomie vis-à-vis de la continuité de leur activité (par exemple data.gouv.fr).

La cybersécurité, n’est pas qu’un terme galvaudé dû à une surmédiatisation, mais c’est bien un enjeu réel et universel

Dès le début de l’année 2021, Guillaume Poupard, directeur de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) annonce le ton sur BFM TV : on assite à une « explosion totale » des menaces. Chiffre à l’appui : en seulement 3 ans les attaques de ransomware (aussi appelés rançongiciels) ont, au moins, quadruplées en France.

Cependant, la cybermenace est souvent perçue comme étant un risque abstrait et diffus par les entreprises et les particuliers. Pour preuve : alors qu’en 2019, 67% des entreprises étaient victimes de cyberattaques, seulement 10% étaient aptes à y faire face. Et 50% des décideurs informatiques estimaient qu’au-delà d’une heure d’arrêt de l’activité, les revenus de l’entreprise pourraient en être lourdement affectés.

Cet incendie, inédit par son envergure et par son imprévisibilité, aura peut-être pour effet bénéfique de déclencher une prise de conscience sur le rôle fondamental de la sécurité du système informatique dans son ensemble : physique (hardware) et numérique (software). En effet, sécuriser son système d’information (SI), c’est protéger le savoir de l’entreprise. Dans les faits, cela se traduit notamment par un fonctionnement interne performant, une disponibilité des informations auprès des clients, une intégrité des sujets de recherche et développement…

Toute organisation doit être activement responsable de la Sécurité de son SI

Comme évoqué précédemment, certaines entreprises se sont démarquées par la rapide remise en état de leurs sites web. On peut y reconnaître une préparation assidue qui aboutit à une réactivité saluée par leurs utilisateurs et partenaires. Cette anticipation des risques se traduit notamment au sein d’un plan de continuité d’activité (PCA) et d’un plan de reprise d’activité (PRA), travaillés et régulièrement testés par le responsable de la sécurité des systèmes d’information (RSSI).

Plusieurs autres bonnes pratiques et outils peuvent être mis en place au sein de votre entreprise pour accroître la sécurité de son SI. Bien qu’une politique de SSI ne soit pas duplicable telle quelle d’une entreprise à l’autre du fait des spécificités de chaque organisation, il reste des orientations clés à appliquer.
Voici des exemples d’actions répartis en 3 niveaux d’accessibilité à mettre en œuvre en fonction de votre besoin, de vos moyens et de votre profil de risque, que vous agissiez pour le compte d’une TPE ou pour un grand groupe international :

Ce sujet stratégique doit cependant rester proportionnel aux structures qu’il sert et aux risques qui les menacent

Une entreprise avec plus de 25.000 salariés, de multiples filiales, une pléthore de partenaires externes ne doit certainement pas avoir le même niveau de sécurité de son SI qu’une TPE composée de 5 salariés. De la même manière, un artisan n’a pas les mêmes besoins de sécurité SI qu’une entreprise dont le cœur d’activité est lié à des logiciels informatiques. Les vulnérabilités sont très variables et, par conséquent, les moyens financiers, humains et organisationnels mis à disposition doivent l’être aussi.

En effet, les solutions sont multiples pour limiter l’occurrence des risques et les diminuer lorsqu’ils surviennent. Il conviendra de trouver les mesures qui sont les plus adaptées à votre profil de risque, car toutes ces mesures ont un coût et il faudra être en capacité de défendre ce budget face à un investissement potentiellement plus porteur de valeur ajoutée immédiate, comme le lancement d’un nouveau produit. Effectivement, la sécurité SI fait partie des dépenses invisibles tant que tout va bien… Ou lorsque la menace n’a pas été détectée.

En tant que générateur, manipulateur ou transmetteur de données, la sécurité de celles-ci vous incombe au même titre que vos partenaires. Notre préconisation pour vous protéger est d’aborder la sécurité de votre SI comme une assurance de votre patrimoine. La dépense doit être proportionnelle à votre situation et les moyens mobilisés doivent être régulièrement actualisés pour répondre aux évolutions des risques. Ainsi, votre sécurité informatique pourra vous sauver de la faillite lors du prochain événement « exceptionnel », et vous pourrez même attirer la confiance de nouveaux clients.

Auteurs : A Richard-Bôle & A Prat

Si vous êtes intéressés par ce sujet, vous pouvez approfondir ces informations en consultant le site de l’ANSSI ou en nous contactant.