TESTEZ ET AUGMENTEZ VOTRE RÉSILIENCE : COMMENT CONSTRUIRE VOTRE PROGRAMME DE TEST

Cyberrisk Management & Strategy

Publié le

Cette année a été exceptionnellement éprouvante pour les particuliers, les entreprises et les gouvernements du monde entier. Vivre et travailler en mode de crise a introduit toute une série de défis, certaines entreprises les relevant mieux et plus rapidement que d’autres. Quel est le dénominateur commun ? La réponse, dans la plupart des cas, est un fort réflexe de crise, construit au fil des ans grâce à un effort constant.

Les tests sont un élément important de la résilience opérationnelle et peuvent prendre de nombreuses formes, depuis les tests de reprise après sinistre pour assurer la continuité des services jusqu’aux simulations de crise de bout en bout pour examiner la prise de décision. Il permet de gérer les risques de manière proactive, d’intégrer le cadre de gestion des crises et d’améliorer en permanence les capacités telles que la continuité des activités, la gestion des crises, la reprise après sinistre (DR) et la résilience cyber. Il va sans dire que la formation joue un rôle important dans un tel programme d’essai.

« Une meilleure sensibilisation nourrit une culture organisationnelle qui englobe la résilience opérationnelle et, par conséquent, améliore la préparation de l’entreprise à faire face à l’adversité ».

D’une entreprise à l’autre, les bons programmes d’essai varient en nature, en ampleur et en complexité. En fonction de la structure et des activités de l’entreprise, les tests sont effectués à différents niveaux et endroits de l’organisation, avec la participation de parties externes (c’est-à-dire les fournisseurs critiques). En réalité, si les autorités de réglementation ne donnent que peu d’indications sur ce qui est « bon », les programmes sont souvent fragmentés et peuvent causer un véritable casse-tête.

 

PRINCIPES POUR LA CRÉATION D’UN PROGRAMME D’ESSAI RÉUSSI

Bien qu’il n’y ait pas de solution miracle pour créer un programme de test adapté, nous recommandons de suivre six principes directeurs pour en concevoir un qui soit efficace et adapté aux besoins de votre organisation. Le respect de ces principes pourrait améliorer considérablement les résultats du programme.

1. Penser à long terme

Lors de l’élaboration d’un programme de tests, il est primordial de définir ce que vous voulez atteindre en 3 ans. L’accent mis sur les résultats donne l’orientation requise tout en offrant la souplesse nécessaire pour remodeler le programme de tests chaque année afin de répondre aux changements tout en se concentrant sur l’objectif final. Commencez par de petits tests moins complexes, tels que des tests de fonctionnement, et passez à des exercices de simulation de crise très impliqués et réalistes.

2. Commencer par les menaces

Chaque test doit établir un lien avec la ou les menace(s) résultant d’un ou plusieurs scénarios d’incidents majeurs plausibles (et leurs impacts). Anticipez et comprenez les nouvelles menaces grâce à la surveillance du marché et tirez parti des rapports d’audit et des évaluations des risques lors de l’élaboration ou de la révision de votre programme.

3. Focus sur les services importants aux entreprises

Aligner les tests des dispositifs d’urgence existants sur les services commerciaux importants et les processus clés. Cela permet d’assurer la préparation en cas de situation à fort impact sur les entreprises et d’éviter les difficultés découlant d’un manque de vision de bout en bout.

4. Diversifier les tests

Les scénarios les plus probables et les plus impactants doivent être examinés avec différents groupes de parties prenantes par le biais de différents types de tests. Cela permet de s’assurer que la théorie fonctionne dans la pratique et que les différents réflexes sont ancrés dans l’ADN de l’organisation.

Pour obtenir plus d’avantages, il faut aller au-delà des plans d’urgence autonomes et des tests d’outils de communication et en examiner une combinaison avec les parties prenantes internes et externes, commerciales et techniques.

Le radar ci-dessus est un exemple indicatif de ce que serait un bon programme d’essai. Les catégories de menaces considérées sont aléatoires et pourraient être sélectionnées différemment, à condition de maintenir la diversification (mix-and-match).

Simulation de crise

Les simulations de crise examinent une situation de catastrophe hypothétique avec des parties définies et des cellules de stimulation multiples. Elles permettent de répéter l’établissement et la communication des besoins de rétablissement et de mener à bien les activités pertinentes. La simulation de crise peut être un exercice sur table (niveau 1), une simulation pratique (niveau 2), une simulation pratique de crise multi-cellules (niveau 3) ou une simulation pratique internationale multi-cellules avec plusieurs parties (niveau 4).

Le test de reprise de la zone de travail vérifie si les processus commerciaux complets de bout en bout peuvent être exécutés hors site, en s’assurant que tous les éléments d’un processus peuvent être complétés pendant un test et pas seulement les aspects techniques. Ils peuvent impliquer une équipe (niveau 2) ou un certain nombre d’équipes géographiquement dispersées (niveau 3) travaillant à partir des sites de récupération ou à domicile. Il convient de prendre en considération à la fois les tiers (c’est-à-dire les équipes externalisées) et les équipes internes.

Les tests de DRP informatique et de cyber gamme examinent pratiquement chaque étape d’un plan spécifique de reprise après sinistre ou testent les capacités de cyber criminalistique. Cela garantit la possibilité de récupérer des données, de restaurer un système informatique critique après une interruption de ses services, une panne informatique critique ou une perturbation complète due à des cyberattaques ou des perturbations informatiques. Ces tests peuvent être réalisés de manière autonome (niveau 2) ou dans le cadre d’une simulation de crise (niveau 3-4).

Les visites du plan de relance des entreprises pour les groupes/divisions/unités commerciales sont effectuées à la suite d’une révision majeure d’un plan ou d’une équipe et sont conçues pour améliorer la compréhension des processus de relance, des rôles et des responsabilités, et remettre en question la pertinence et l’exhaustivité du plan. Normalement, cela se fait sous la forme d’une session de révision et de remise en question avec le propriétaire du plan et un expert de la CB (niveau 1) ou pour tester l’efficacité des mesures spécifiques et des solutions de contournement prévues (niveau 2).

Les tests de communication en cascade permettent d’établir si les coordonnées sont exactes, de déterminer si les rôles et les responsabilités en cascade sont compris par le personnel et d’établir si les procédures documentées sont solides ou non. Ils peuvent être réalisés de trois manières : soit un test en direct autonome (par exemple, test de texte en cascade ; niveau 2), dans le cadre d’un exercice de simulation de crise (niveau 2-4), soit un audit comprenant un examen des plans et un entretien avec le personnel assumant des responsabilités clés (niveau 1).

5. Rester à jour

Révisez votre programme d’essai au moins une fois par an afin de vous adapter à l’évolution du paysage des menaces et, en fin de compte, de garantir la résilience opérationnelle. Assurez-vous que votre cadre de gestion de crise et vos plans d’urgence sont régulièrement améliorés en fonction des résultats des tests et des changements dans l’entreprise.

6. Engager and conduire

Impliquez différentes parties dans l’élaboration et la mise en œuvre de votre programme de test (par exemple, cyber, risque, opérations, DPD, juridique, champions de la résilience des entreprises, etc.) Utilisez l’IM pour partager les progrès et l’alignement avec la vision de résilience opérationnelle sur trois ans.

 

Quelle est la prochaine étape : comment structurer votre programme de tests ?

S’il n’est pas possible de prescrire un programme de tests sans mieux comprendre l’organisation des intérêts et plonger dans les spécificités d’un paysage de menaces, il est clair que l’investissement en temps et en ressources vaut la peine du point de vue de la résilience opérationnelle et de la réglementation.

« Ayant récemment traversé une pandémie, il est grand temps de maintenir l’élan et de continuer à promouvoir la bonne culture et les bons réflexes pour la prochaine crise majeure ».

Quelques conseils pour conclure

  • Soyez réaliste : lorsque la maturité le permet, visez des tests plus complexes et plus réalistes, car ils sont essentiels pour répondre efficacement aux événements réels et accroître la résilience de bout en bout. Cela signifie qu’il faut faire participer davantage de parties internes et externes aux exercices « en direct ».
  • Tirer parti des crises internes et du marchéSurveillez en permanence les événements qui se produisent sur le marché (incidents et crises majeurs) ainsi que vos incidents majeurs internes pour alimenter votre programme de tests, hiérarchiser vos menaces et concevoir vos scénarios en les rendant plus tangibles pour vos parties prenantes.
  • Engagez-vous tôt : Partagez la vision du test avec les principaux groupes de parties prenantes afin qu’ils comprennent le cheminement que vous voulez faire parcourir à l’organisation. Cela permettra d’améliorer la collaboration et, par conséquent, les résultats.
  • Faciliter à distance : Les accords de travail à distance ne doivent pas mettre en suspens l’ensemble de votre programme d’essai – utilisez des solutions de collaboration ou tirez parti des outils du marché pour réaliser les exercices. Cela est particulièrement pertinent pour les tests de cyberdistance et les tests de suivi du soleil. L’expérience montre que les solutions de travail numérique introduisent une participation plus démocratique et constituent un excellent moyen d’enregistrer les interactions.
  • Améliorer continuellement : Réfléchir aux tests en produisant des rapports post-tests et en définissant un plan d’action pour piloter et suivre les améliorations. Impliquez les principales parties prenantes dans tout le processus afin qu’elles comprennent la gravité des résultats et qu’elles contribuent à susciter des changements positifs.