L’identification et la cartographie des processus clés

Commençons par une définition du régulateur : la Banque Centrale Européenne définit la cyber-résilience comme la capacité à se protéger et à reprendre rapidement les activités en cas de succès d’une cyber-attaque. Cette définition a amené de nombreuses entreprises à adopter une vision à 360° sur le sujet (prévention, gestion de crise, reconstruction, continuité d’activité, etc.) à travers le prisme d’une cyberattaque concrète sur les processus clefs de l’entreprise. La nouveauté réside surtout dans le fait de centrer toute l’analyse sur les chaines métier critiques, encore faut-il les connaitre. L’identification et la cartographie des processus clés représentent souvent la partie la plus complexe d’un Programme de cyber-résilience. Et il n’y a malheureusement pas de méthode systématique : liste établie par la Direction des risques, décision du Directeur des opérations, recyclage des analyses d’impact sur l’activité, critères établis lors d’audits régulateurs, etc. Une chose est certaine, cette liste ne peut être établie par l’équipe cybersécurité dans son coin et nécessite d’impliquer les métiers au plus tôt dans la démarche.

Analyser la cyber-résilience d’une chaine métier : la méthode A.R.M.

La cyber-résilience d’une chaine métier peut être « améliorée » en agissant sur plusieurs paramètres : 1/ l’évitement de l’attaque, 2/ la reconstruction rapide, 3/ le maintien d’activité métier pendant l’attaque. Par conséquent de nombreuses entreprises ont structuré leur Programme de cyber-résilience autour des indicateurs A (AVOID), R (RECOVER) et M (MAINTAIN), permettant de cibler une menace à la fois. Bien évidemment, la plupart des initiatives actuelles travaillent sur des scénarios Ransomware (Ryuk, Maze, Sodinokibi, etc.).

A – AVOID [Eviter la cyber-attaque]

Il s’agit tout d’abord d’évaluer le niveau de résistance des chaines métier face aux menaces cyber redoutées. Le Framework ATT&CK est de plus en plus souvent utilisé ici et cet indicateur peut tout simplement correspondre au pourcentage de techniques utilisées par l’attaquant contre lesquelles la chaine métier est protégée (par exemple : la chaine est protégée contre 60% des techniques d’attaque utilisées par les groupes ransomware du moment). Le niveau d’assurance exigé diffère d’une entreprise à l’autre : même si la plupart des entreprises travaillent encore via auto-déclaration, il est possible d’intégrer dans la démarche une revue de preuves ou des audits Redteam pour fiabiliser les résultats.

R – RECOVER [Savoir reconstruire vite]

Il s’agit ensuite d’évaluer le temps de reconstruction de la chaine métier en cas d’attaque (par exemple : la chaîne peut être remontée en 9h après une attaque de type ransomware). Ce temps peut évidemment être différent d’une attaque à l’autre : destruction souvent restreinte aux systèmes Microsoft, possibilité d’utiliser les sauvegardes ou non, vérifications d’intégrité nécessaires après reconstruction, etc. Cela nécessite une analyse fine des impacts de chaque attaque étudiée. Attention, lors de la cartographie, il faut considérer la reconstruction de TOUS les assets impactés par l’attaque. On constate souvent que quelques assets spécifiques peuvent doubler ou tripler le délai de reconstruction global. Ici aussi, le niveau d’assurance exigé diffère d’une entreprise à l’autre : il est possible de travailler sur papier, mais le test de reconstruction réel est clairement la meilleure option pour se rassurer.

R – MAINTAIN [Maintenir l’activité métier]

Il s’agit enfin d’évaluer les capacités du métier à travailler en dégradé avant le retour à la normale. C’est un indicateur purement métier, évidemment différent d’un secteur et d’une chaîne à l’autre : il peut s’agir de transactions, de réception de colis ou d’un nombre de passagers en fonction du secteur et de la chaine choisie. Pour le calculer, il est nécessaire de travailler avec le métier sur l’hypothèse d’une indisponibilité long-terme de la chaine critique et d’évaluer le pourcentage de l’activité pouvant être délivrée d’une autre manière. Pour comprendre l’approche de manière théorique, et volontairement provocatrice : un processus métier vulnérable à une attaque cyber, mais dont l’activité peut être maintenue sans SI pendant quelques jours, nécessite-t-il réellement d’augmenter les investissements en cybersécurité ? C’est le type de sujet qu’un Programme de cyber-résilience doit permettre d’arbitrer.

La plupart des stratégies et Programmes de cyber-résilience sur le marché embarquent évidemment cette phase récurrente d’évaluation, en ajoutant au fil des années des menaces cyber et des chaines métier à analyser. Elles pilotent en parallèle un ensemble de projets de cybersécurité, IT et métiers permettant d’augmenter le niveau de résilience. Les Programmes les plus matures maintiennent également des catalogues de solutions permettant d’accélérer la démarche et d’améliorer le scoring des différents métiers (coffres-forts de données, sauvegardes standardisées, partenariats de place, solutions de repli métier mutualisées, etc.).

Nous l’avons vu, une stratégie de cyber-résilience embarque de multiples compétences : la filière cybersécurité pour sélectionner les menaces et évaluer la robustesse des chaines, les métiers pour choisir les chaines critiques et travailler sur la continuité d’activité, l’IT et le Plan de Continuité d’Activité (PCA) pour la gestion de crise et l’évaluation des capacités de reconstruction. La meilleure solution est d’héberger ce type de Programme directement au niveau de la Direction des Opérations, afin d’influer sur toutes ces filières. Or, en réalité, ces Programmes se structurent plutôt actuellement au niveau au niveau du RSSI ou de la Direction des Risques. La clé dans ce cas est de déployer une gouvernance efficace qui permette à toutes les parties-prenantes de rester dans leur domaine d’expertise.

Cet article La Cyber-Résilience, une opportunité pour rapprocher la cybersécurité et les métiers est apparu en premier sur RiskInsight.

Un appui pour le management…

L’activité principale d’une cellule PMO est de consolider des données afin de réaliser le reporting du programme. Le suivi des 6 axes de pilotage (qualité, délai, coûts, risques, ressources et changements) apporte au management les éléments nécessaires d’aide à la décision. Mais limiter le rôle de la cellule à cette seule activité de coordination crée une distance avec les équipes opérationnelles. Cette distance limite la remontée d’informations fiables de la part des équipes et rend impossible toute conduite du changement efficace.

…mais également pour les acteurs opérationnels

La constitution d’une cellule composée d’équipes de pilotage et d’équipes de réalisation assure un pilotage efficace, sans perturbation de l’activité récurrente. De plus, l’autonomie de cette cellule permet de réaliser rapidement les arbitrages nécessaires et d’accélérer la prise de décision. Cette autonomie et cette indépendance dans la prise de décision augmentent le risque d’effet tunnel. Il devient alors indispensable de réaliser une conduite du changement forte auprès des équipes en fin de programme.

Le dialogue en réponse à la résistance au changement

La cellule PMO est souvent confrontée à la réticence des chefs de projet qui la perçoive comme un acteur interférant dans leur relation avec le management. L’ajout de ressources techniques à la cellule minimise ces résistances. Cette structure permet d’apporter le support nécessaire en termes de communication et de gestion du changement. Les équipes opérationnelles restent autonomes sur leur périmètre et disposent d’un relai opérationnel garantissant la cohérence technique. Ce relai restant toutefois éloigné des équipes, il ne peut pas garantir la fiabilité de l’avancement qui lui est remonté.

Imposer la légitimité de la fonction et assurer la perception de sa valeur ajoutée

Il est courant pour une cellule PMO d’être perçue comme une couche additionnelle « superflue » de la gestion de projet. Si la légitimité du PMO dépend en partie de son positionnement hiérarchique et de sa proximité avec le management, il est nécessaire d’asseoir son existence auprès des opérationnels. L’implication de relais dédiés dans les équipes opérationnelles permet de créer un lien fort avec la direction de programme. Il convient dès lors d’en faire un vecteur privilégié de communication pour l’ensemble des acteurs. Partager avec l’ensemble des contributeurs les synthèses réalisées permet de leur fournir la visibilité sur l’importance des informations qu’ils transmettent. Ces contacts réguliers permettront d’inclure les contributeurs lors de la construction des outils de pilotage, de prendre en compte leurs remarques et ainsi de s’inscrire dans une dynamique d’amélioration continue. En effet, au travers de ces contacts réguliers, la cellule PMO récupérera des clés de compréhension parfois absentes des reportings et autres échanges de mails. Cette proximité avec l’ensemble des acteurs permet à la cellule PMO d’être perçue comme un acteur du programme à part entière.

Pour assurer la pérennité de la fonction de PMO, il faut aller au-delà des fonctions « classiques » de coordination. Des alternatives existent telles que les « métarègles » décrites par F. Jolivet*. L’implication d’acteurs dédiés aux côtés des équipes opérationnelles permet d’imposer cette cellule comme un acteur nécessaire et reconnu de tous.

* « Manager l’entreprise par projets : Les Métarègles du management par projet », François Jolivet

Cet article Quelle place pour la cellule PMO dans les programmes de transformation ? est apparu en premier sur RiskInsight.