Identification and mapping of key processes

Let’s start with a definition from the regulator: the European Central Bank defines cyber-resilience as the ability to protect oneself and to quickly resume activities in the event of a successful cyber-attack. This definition has led many companies to adopt a 360° vision on the topic (prevention, crisis management, reconstruction, business continuity, etc.) through the prism of a concrete cyber-attack on key business processes. The novelty lies above all in the fact that all the analysis is focused on critical business chains, even though it is still necessary to know them. Identifying and mapping key processes is often the most complex part of a Cyber Resilience Program. Unfortunately, there is no systematic method: a list drawn up by the Risk Department, a decision by the Director of Operations, recycling of business impact analyses (BIA), criteria established during regulatory audits, etc. One thing is certain, this list cannot be drawn up by the cybersecurity team in its own corner and requires the involvement of the business lines as early as possible in the process.

Analyzing the cyber-resilience of a business chain: the A.R.M. method

The cyber-resilience of a business chain can be improved by acting on several parameters: 1/ avoidance of the attack, 2/ rapid reconstruction, 3/ maintenance of business activity during the attack. As a result, many companies have structured their Cyber Resilience Program around 3 indicators: A (AVOID), R (RECOVER) and M (MAINTAIN), making it possible to target one threat at a time. Of course, most current initiatives are working on Ransomware scenarios (Ryuk, Maze, Sodinokibi, etc.).

A – AVOID

The first step is to assess the level of resistance of business chains to the feared cyber threats. The ATT&CK Framework is increasingly used here and this indicator can simply correspond to the percentage of techniques used by the attacker against which the business chain is protected (for example, the chain is protected against 60% of the attack techniques used by the ransomware groups of the moment). The level of assurance required differs from one company to another: even if most companies still work via self-declaration, it is possible to integrate a review of evidence or Redteam audits into the approach to make the results more reliable.

R – RECOVER

The second step requires assessing the reconstruction time of the business chain in the event of an attack (for example, the chain can be reassembled in 9 hours after a ransomware attack). This time can obviously be different from one attack to another: destruction often restricted to Microsoft systems, possibility to use backups or not, integrity checks necessary after reconstruction, etc. This requires a detailed analysis of the impacts of each attack studied. Be careful, when mapping, it is necessary to consider the reconstruction of ALL the assets impacted by the attack. It is often observed that a few specific assets can double or triple the overall reconstruction time. Here again, the level of insurance required differs from one company to another: it is possible to work on paper, but the real reconstruction test is clearly the best option for reassurance.

R – MAINTAIN

The last step requires assessing the ability of the business lines to work in a degraded mode before returning to normal. This is a purely business indicator, which obviously differs from one sector and chain to another: it can be a question of transactions, reception of parcels or number of passengers depending on the sector and the chosen chain. To calculate it, it is necessary to work with the business on the assumption of long-term unavailability of the critical chain and to evaluate the percentage of the activity that can be delivered in another way. To understand the approach in a theoretical, and deliberately provocative way: does a business process vulnerable to a cyberattack, but whose activity can be maintained without an IS for a few days, really need to increase investments in cybersecurity? This is the type of topic that a Cyber Resilience Program must be able to arbitrate.

Most Cyber Resilience Strategies and Programs on the market obviously embrace this recurring assessment phase, adding over the years cyber threats and business chains to be analyzed. At the same time, they are managing a series of cybersecurity, IT and business projects to increase the level of resilience. The most mature Programs also maintain catalogs of solutions to speed up the process and improve the scoring of the various business lines (data safes, standardized backups, market partnerships, shared business fallback solutions, etc.).

As we have seen, a cyber-resilience strategy involves multiple skills: the cybersecurity department to select threats and assess the robustness of chains, the business lines to select critical chains and work on business continuity, IT and the Business Continuity Plan (BCP) for crisis management and assessment of reconstruction capacities. The best solution is to host this type of Program directly at the Operations Department level, in order to influence all these channels. However, these Programs are currently structured at the level of the CISO or the Risk Management Department. The key in this case is to deploy effective governance that allows all stakeholders to remain within their area of expertise.

Cet article Cyber-resilience, an opportunity to bring cybersecurity and business closer together est apparu en premier sur RiskInsight.

« Allo Bernard ? C’est Jacques ! Ton pro est sur répondeur, heureusement Philippe avait ton perso.

Désolé de te réveiller, mais  notre SI est tombé. Apparemment, une mise en production s’est mal passée. Quelle application ? Aucune idée.

Philippe m’a chargé de mobiliser la cellule de crise. Du coup, tu peux regarder la procédure et appeler Simone avant de venir s’il te plait ? Rappelle-moi si tu ne retrouves pas le numéro. J’espère qu’elle sera là, c’est vraiment la galère on est en pleine clôture.

Envoie-moi un SMS pour me dire quand  tu arrives. Au fait, tu sais où on se retrouve ? Non ? À l’Atlantis, salle du conseil. On verra en arrivant comment on prévient les collaborateurs.»

Bien que fictives, ces quelques lignes – qui évoqueront peut-être à certains des souvenirs – mettent en évidence les points clés d’un début efficace de gestion crise et les difficultés afférentes.

En effet, les différents acteurs doivent réussir à se contacter, relayer une information exacte, obtenir de la visibilité sur les disponibilités et, éventuellement, alerter massivement les collaborateurs ; alors même qu’ils sont en situation de stress, pas ou peu préparés, que les procédures et annuaires sont oubliés voire non mis à jour et que les moyens de communication habituels ne sont pas forcément disponibles.

Impossible dès lors de s’assurer que l’alerte a été correctement transmise jusqu’aux derniers maillons et que la mobilisation suffit à adresser la crise rencontrée. Sans parler de la probable difficulté à informer l’ensemble des collaborateurs de l’organisation.

Au vu de ces difficultés, le recours à un outillage spécifique à ces premières phases de crise peut se révéler pertinent.

Industrialiser l’alerte : des outils offrant de nombreuses fonctionnalités couvrant différents aspects de la gestion de crise

On distingue classiquement deux besoins d’alerte distincts lorsqu’une organisation doit faire face à une crise. Le premier est de monter le plus rapidement possible la cellule de crise appropriée à la nature du sinistre. Le second est d’alerter largement ses collaborateurs –  éventuellement organisés en différentes populations – de façon pro active, tout en s’enquérant de leur condition (ce que ne permet pas l’usage d’un numéro vert).

Pour ce faire, il est possible de recourir à ce que les américains appellent un EMNS : Emergency Mass Notification System, ou outil d’alerte et de communication d’urgence, qui vise à éviter les écueils décrits plus haut grâce à différentes fonctionnalités.

En amont, un tel outil permet de définir des schémas d’alerte, listant les personnes à prévenir (sans limitation de nombre), l’éventuelle escalade, les moyens de communication à utiliser (mail, téléphone, serveur vocal interactif, sms voire fax, en distinguant les canaux principaux de ceux à activer en cas d’échec), et enfin la teneur du message, qui peut bien sûr être adaptée le jour J.

En cas d’alerte à déclencher, la personne d’astreinte dispose de différents moyens d’activation. Le principal est un portail internet, mais il est aussi possible de lancer une activation par d’autres médias (téléphone, sms, etc.).

Une fois l’alerte lancée, l’outil permet de suivre la progression du processus : échec ou succès des appels, retours des personnes contactées, etc.

Cette richesse fonctionnelle a pour contrepartie l’exploitabilité de la solution. Les interfaces sont riches et leur maitrise n’est pas immédiate, du moins en ce qui concerne le paramétrage.

La mise en place d’un tel outil peut aussi demander un investissement non négligeable, voire un développement spécifique pour assurer l’interface avec des éléments du SI de l’organisation comme l’annuaire des contacts. Les coûts d’entrée peuvent donc être élevés.

Au quotidien le coût est principalement constitué de l’abonnement, ces outils étant le plus souvent proposés en mode SaaS, notamment pour ne pas les exposer aux mêmes risques que ceux des clients. Les communications sont facturées à l’usage.

Un marché des EMNS loin d’être uniforme à travers le monde

Ces outils se sont principalement développés aux Etats-Unis, sous l’impulsion de réglementations fédérales (NFPA 72 2012 et DoD UFC 04-021-01). En mars dernier, le Gartner a mené une revue des EMNS présents sur le marché américain, qui a recensé plus de 50 fournisseurs ; 13 ont fait l’objet d’une étude détaillée, et 4 ont été positionnés dans le quadrant des leaders : Everbridge, MIR3, SendWordNow et AtHoc .

Pour autant, aucun de ces acteurs majeurs n’est présent en Europe, où l’on trouve généralement un acteur prépondérant par pays : Fact24 en Allemagne, AlarmTilt au Luxembourg, DolphinSystemsSikado en Suisse, etc.

Certains, comme Fact24 et AlarmTilt sont néanmoins présents sur le marché français, mais celui-ci reste atypique. Peu développé, il est en effet essentiellement adressé par des acteurs du telemarketing ou de la relation client qui ont su adapter leurs plates-formes à la transmission d’alertes (par exemple la solution GALA, qui équipe la majorité des préfectures, basée sur l’offre ContactEveryOne d’Orange ou la solution push SMS de Jet Multimedia).

Se positionnent également des acteurs issus de la surveillance et de l’alerte industrielle, avec des outils en mesure de s’interfacer avec différents canaux de communication pour proposer un service équivalent à un EMNS.

Consulter le marché pour trouver l’outil qui saura accompagner une organisation de crise définie au préalable

Avant d’envisager le recours à un EMNS, il est nécessaire d’être au clair sur sa gestion de crise et sur les modalités d’alerte et d’information de ses collaborateurs : acteurs mobilisés, messages délivrés, information avec acquittement de collaborateurs, etc. Comme à chaque fois, l’outil doit venir accompagner un processus en place, et non pas permettre de le définir.

Une fois ce pré-requis atteint,  le recours à EMNS est de nature à accélérer les phases d’alerte et accompagner le dispositif de crise. Ceci est d’autant plus vrai pour les organisations de grande taille, géographiquement réparties ou ayant des modalités d’astreinte complexes.

Reste dès lors à trouver le bon outil, qui saura répondre au besoin, être disponible le jour J, et dont on est sûr que les communications seront transmises, le tout à un coût raisonnable. Pour y parvenir, il faudra se demander quelles sont les fonctionnalités qui serviront à accompagner la gestion de crise, et être en mesure de les distinguer de celles qui constitueront un plus. Puis consulter le marché sur cette base pour trouver l’outil adéquat.

Cet article Alerter en cas de crise : faut-il passer par un EMNS (Emergency Mass Notification System)? est apparu en premier sur RiskInsight.