Il y a quelques jours, un incident de cybersécurité affectant une entreprise andorrane a été rendu public. Selon les informations communiquées, une partie de linfrastructure technologique de lentreprise a été compromise. Les protocoles internes de réponse ont été immédiatement activés, avec la participation de spécialistes en cybersécurité.
Les autorités compétentes ont également été informées, notamment lAgence andorrane de protection des données, lAgence nationale de cybersécurité dAndorre et le Groupe des délits technologiques de la police.
Le communiqué envoyé aux clients indiquait qu’un accès non autorisé à certaines données internes et aux données personnelles de certains clients aurait pu se produire. Jusqu’à présent, il n’existe aucune preuve d’une utilisation frauduleuse de ces informations.
Ce qui se passe réellement lorsque les systèmes tombent en panne
Aujourdhui, presque toutes les entreprises dépendent de leurs systèmes numériques pour fonctionner : la facturation, la gestion interne, la logistique, le service client ou les démarches administratives. Tout passe par un type de logiciel ou de plateforme.
Lorsquun de ces systèmes est compromis, le problème nest pas seulement technique, il est opérationnel, car lentreprise ne peut plus travailler normalement.
Et c’est là que la plupart des organisations sont prises au dépourvu, car la question importante n’est pas de savoir si l’entreprise dispose de copies de sauvegarde. La question est de savoir ce qui se passe entre le moment où l’incident survient et celui où tout recommence à fonctionner.
Sauvegarde, récupération et continuité ne sont pas la même chose
Certaines entreprises pensent quavoir des copies de sauvegarde suffit, que si quelque chose arrive, on restaure la sauvegarde et cest tout. Mais la réalité est souvent bien différente.
Pour comprendre comment fonctionne réellement la récupération après un incident, il existe quatre concepts clés quil convient de connaître :
RPO – Quelle quantité de données puis-je perdre ?
Le Recovery Point Objective indique jusqu’à quel point dans le temps les informations peuvent être récupérées. Cela dépend du moment où la dernière copie de sauvegarde a été effectuée avant l’incident. Si la sauvegarde était effectuée une fois par jour, tout ce qui s’est passé au cours des dernières heures peut être perdu à jamais.
RTO – Quand les systèmes reviennent-ils ?
Le Recovery Time Objective est le temps nécessaire pour remettre les systèmes en marche. Cela peut être une question d’heures ou de jours, selon la complexité de l’infrastructure et si le processus a été planifié à l’avance.
WRT – Quand revient la normalité ?
Même lorsque les systèmes sont à nouveau disponibles, l’entreprise ne peut souvent pas reprendre son activité immédiatement. Le Work Recovery Time est le temps supplémentaire nécessaire pour vérifier les données, réviser les processus et s’assurer que tout fonctionne correctement.
MTPD – Combien de temps lentreprise peut-elle tenir ?
Le Maximum Tolerable Period of Disruption est la durée maximale pendant laquelle une organisation peut supporter un arrêt total avant que les conséquences ne deviennent critiques : perte de clients, non-respect des contrats, problèmes juridiques ou inviabilité financière.
Ces quatre concepts expliquent pourquoi la récupération après un incident ne dépend pas seulement du fait davoir des copies de sauvegarde, mais davoir planifié tout ce qui se passe après.
Le moment de vérité
Dans de nombreuses organisations, les questions précédentes ne trouvent de réponse que le jour où un incident se produit. Cest alors que lentreprise découvre si les copies peuvent être entièrement restaurées, si la récupération est assez rapide et si limpact opérationnel est acceptable.
Cest pourquoi la protection des données et la continuité des activités ne peuvent pas être uniquement une question technologique. Elles nécessitent une planification, des tests de récupération périodiques et des objectifs clairs définis avant que quoi que ce soit ne se produise.
Les questions que toute entreprise devrait se poser maintenant
Les incidents de cybersécurité peuvent affecter nimporte quelle entreprise, quels que soient sa taille ou son secteur. Ce qui fait la différence, ce nest pas seulement la capacité à les éviter, mais le fait de savoir exactement comment réagir lorsquils se produisent.
Trois questions simples pour commencer :
- Combien de temps notre activité pourrait-elle être interrompue si les systèmes cessaient de fonctionner ?
- Quelle quantité dinformations pourrions-nous perdre sans que cela naffecte gravement lentreprise ?
- Savons-nous réellement combien de temps il faudrait pour tout récupérer, non seulement les systèmes, mais lensemble de lexploitation ?
Si vous navez pas de réponse claire à lune de ces questions, il est peut-être temps de les revoir. Il ne faut pas attendre que quelque chose arrive pour savoir ce que vous feriez si cela se produisait.
