Résumé

La sophistication, la fréquence et la gravité croissantes des cyberattaques visant les entreprises et les services publics mettent en évidence leur caractère inévitable et l'impossibilité technique de garantir l’intégrité des systèmes informatiques critiques. Dans ce contexte, la cyber-résilience offre une alternative attractive au paradigme actuel de la cybersécurité. Nous définissons la cyber-résilience comme la capacité de résister, de se rétablir et de s'adapter aux chocs externes causés par les cyber-risques. Cet article vise à fournir une compréhension organisationnelle plus large de la cyber-résilience et des tensions associées à sa mise en œuvre, en utilisant les institutions financières comme étude de cas. Trois grandes catégories de pratiques associées à la cyber-résilience sont examinées : le sensemaking, la préparation à la réponse aux incidents et l'adaptation. Les données qualitatives proviennent d'un échantillon de 58 professionnels de la cybersécurité dans le secteur financier - un domaine particulièrement.

Financement

Ce travail a été soutenu par le Conseil de recherches en sciences humaines du Canada [numéro de subvention 435-2018-0615] et par le Global Risk Institute in Financial Services.

Introduction

Au cours des deux dernières décennies, les cyber-risques ont pris une ampleur potentiellement catastrophique, menaçant la survie d’organisations de plus en plus dépendantes des technologies numériques. Malgré des investissements considérables en cybersécurité, les organisations restent exposées à un barrage constant de menaces qui comprennent les rançongiciels, la fraude au président (Business Email Compromise), les attaques distribuées par déni de service (DDoS), les vols massifs de données personnelles ou l’acquisition frauduleuse de propriété intellectuelle. Pour répondre à la prolifération des cyber-risques et à l'efficacité limitée des approches conventionnelles de cybersécurité, les autorités régulatrices, les organismes de normalisation et les consultants en cybersécurité font une promotion accrue du concept de cyber-résilience, présenté comme un nouveau paradigme venant étendre le répertoire des techniques de gestion des risques.

En dépit d’une longue histoire dans les domaines de la science des matériaux, de l'écologie, de la psychologie et de la gestion des catastrophes naturelles, le concept de résilience reste encore peu mobilisé par les chercheurs en cybersécurité. Lorsqu'il est employé, il se rapporte principalement aux préoccupations techniques des informaticiens, dont les principales questions de recherche portent sur les caractéristiques techniques qui peuvent rendre les systèmes informatiques plus robustes aux attaques et sur les instruments de mesure qui peuvent être utilisés pour évaluer leur capacité à persister face à des situations d’adversité (Bodeau et Graubart, 2011). Ce n'est que récemment qu'un intérêt croissant s'est manifesté pour les activités organisationnelles de préparation, de réponse, de récupération et d'adaptation qui contribuent à améliorer la cyber-résilience d'une organisation (Sepulveda Estay et al., 2020).

Bien qu’il existe de nombreuses définitions de la cyber-résilience, celle qui met l’accent sur la capacité d’une organisation à résister aux perturbations causées par des cyber-attaques tout en maintenant ses fonctions essentielles, à retourner à un état normal de fonctionnement dans des délais rapides et à apprendre afin de s’adapter au nouvel environnement des cyber-risques semble la plus complète. Les pratiques organisationnelles et sociales qui influencent l'adoption de cette approche plus holistique restent toutefois encore largement méconnues. La plupart des publications scientifiques sur la cyber-résilience demeurent théoriques ou normatives, et cette contribution vise à en fournir une compréhension organisationnelle plus large. En particulier, comment les organisations interprètent-elles ce nouveau concept, qui pourrait être considéré comme l'une des dernières modes à toucher le domaine de la cybersécurité, et comment l'articulent-elles avec les cadres de cybersécurité existant?

En s’appuyant sur 58 entrevues réalisées dans cinq pays avec des professionnels de la cybersécurité issus du secteur financier (l’un des plus exposés et des plus matures dans le domaine), il est possible d’identifier trois catégories principales d’activités qui contribuent à renforcer la cyber-résilience des organisations : le sensemaking, la préparation, et l’adaptation. Cet article a pour objectif d’identifier quelques-unes des leçons apprises par ces experts lors de l’élaboration et de l’implantation des pratiques organisationnelles de cyber-résilience.

Les défis du sensemaking

Le concept de sensemaking a été formulé pour la première fois par Weick (1995) et fait référence à l’ensemble des processus par lesquels les individus et les organisations structurent l’inconnu afin de pouvoir agir face aux turbulences. La notion de sensemaking a été utilisée pour expliquer comment certaines organisations parviennent à maintenir des niveaux élevés de fiabilité face à des environnements complexes et des risques catastrophiques (Weick et Sutcliffe, 2015). Dans le contexte des cyber-risques, les capacités de sensemaking des équipes de cybersécurité sont mises à rude épreuve par la nature dynamique des menaces qui évoluent constamment au gré des innovations d’adversaires déployant des vulnérabilités inédites, et pour lesquelles aucune parade n’est immédiatement disponible.

Par contraste avec les gestionnaires qui affrontent des risques naturels plus faciles à modéliser et à prédire, les professionnels de la cybersécurité peuvent être déstabilisés à plusieurs étapes du processus de sensemaking : lorsqu’un incident perçu de prime abord comme mineur prend une ampleur considérable au fur et à mesure que des analyses approfondies démontrent une corruption systématique des systèmes, lorsqu’un incident déclenche une cascade de risques ou de conséquences négatives qui n’avaient pas été anticipées, ou lorsqu’un incident révèle une exposition aux risques qui avait été sous-estimée du fait de l’existence de systèmes informatiques déployés à l’insu de l’organisation par certaines équipes (le shadow IT ou informatique de l’ombre). Ces caractéristiques dégradent les capacités de sensemaking en rendant la sévérité des incidents plus difficile à évaluer, leurs ramifications internes et externes plus difficiles à anticiper, et la nature des mesures de réponse à mobiliser plus difficile à calibrer.

Les organisations cyber-résilientes sont celles qui prennent conscience des limites du sensemaking dans le contexte de la cybersécurité et développent une tolérance plus élevée à l’incertitude, reconnaissant que la prise de décision ne se fait pas toujours dans des conditions optimales et que les outils disponibles (comme les manuels de réponse aux incidents) doivent parfois être abandonnés pour laisser place à l’improvisation de solutions n’ayant encore jamais été testées ou formellement approuvées.

Se préparer à répondre aux crises

Cette capacité d’improvisation n’apparaît pas de manière spontanée dans les organisations. Elle résulte d’activités de préparation aux crises qui habituent les équipes et les individus à opérer dans des environnements hostiles et imprévisibles. Les répondants ont identifié quelques stratégies permettant de renforcer leurs capacités dans le domaine de la réponse aux incidents, comme l'embauche d’employés qui présentent des caractéristiques personnelles telles qu'une curiosité, une créativité et une flexibilité supérieures à la moyenne. Ces qualités permettent aux équipes de cybersécurité d'identifier des signaux faibles dans d’énormes quantités d'information, de s'écarter des procédures établies lorsque des situations inédites se présentent, et d'improviser rapidement des solutions qui n'avaient pas été envisagées auparavant. Sans être téméraires, ces praticiens s’accommodent facilement d’environnements décisionnels imparfaits et ne sont pas sujets à l'effet de stupeur qui peut retarder la prise de décision, causer un effet de panique, voire paralyser l’organisation (Staal, 2004). Ils doivent être de bons communicateurs afin de traduire les approches techniques pour qu'elles soient comprises par tous les membres de l'organisation et d’expliquer les raisons qui justifient l’adoption de mesures intrusives ou radicales, surtout lorsqu'elles n'ont jamais été envisagées auparavant. Ils doivent également disposer d’excellentes capacités d’écoute, afin de pouvoir intégrer les points de vue multiples - et parfois contradictoires – de leurs collègues à leurs propres décisions.

Au-delà des caractéristiques individuelles, les participants ont noté que la diversité était de plus en plus valorisée dans les équipes qui gèrent les cybercrises. Certaines organisations mettent sur pied des équipes multidisciplinaires qui font appel à un large éventail d'expériences, de points de vue, et de compétences afin de s'assurer que leurs décisions n’ignorent pas les signaux faibles ou n'écartent pas des approches hétérodoxes en raison d’une pensée monolithique.

Les répondants ont souligné l'importance de la communication comme outil de cyber-résilience. En pratique, une communication efficace passe par des réseaux organisationnels internes et externes denses qui améliorent la rapidité et l'efficacité des flux d’information. Malgré la tendance naturelle de nombreuses institutions financières à segmenter l'expertise et à imposer le secret en cas de crise (ce qui nuit au sensemaking), une forte proportion des personnes interrogées a souligné les bénéfices d'avoir accumulé et entretenu un capital social élevé et des liens faibles au sein de l'organisation pour mieux faire face aux incidents imprévisibles (Granovetter, 1973). Pour certains, cela signifie affecter des experts en cybersécurité au sein des diverses lignes d’affaire afin de mieux comprendre leurs cultures et leurs contraintes technologiques, mais aussi tenter d’incorporer des pratiques élémentaires de sécurité dès le stade de la conception des technologies et des procédures opérationnelles. D'autres participants ont créé des « Centres de fusion » regroupant diverses unités de sécurité (fraude, cybersécurité, sécurité physique, continuité des activités) afin de consolider les capacités de détection et de prise de décision. Des campagnes de sensibilisation et des « Programmes d'ambassadeurs » de la cybersécurité peuvent également créer des réseaux internes qui peuvent être activés en temps de crise. Dans un autre secteur, Netflix est allé encore plus loin en lançant un programme de réservistes dans le cadre duquel des gestionnaires de crise auxiliaires sont formés au sein des divers services de l'organisation afin de décentraliser et d’amplifier l'expertise en matière de sensemaking et de réponse aux incidents (Joshi, 2020).

Les réseaux de partenaires externes jouent un rôle déterminant dans la cyber-résilience d’une organisation. Les institutions financières sont intégrées dans un dense réseau de partenariats commerciaux et techniques. Leurs processus de détection et de réponse aux incidents reposent sur leur capacité à collecter rapidement des informations externes à l'organisation et à accéder à des « capacités d’appoint » qui viendront compléter leurs ressources internes, tout en limitant les frictions bureaucratiques ou contractuelles. La fonction première des réseaux externes reste le partage du renseignement, des meilleures pratiques et des meilleures stratégies de réponse. Un répondant a utilisé l'analogie médicale de l'inoculation pour décrire l'utilité du partage de l'information entre les institutions financières, tout en reconnaissant que cette approche n'offre de protection que contre les menaces connues. De nombreux répondants ont fait l'éloge du partage du renseignement comme étant l'une des stratégies les plus efficaces pour stopper l'effet de contagion qui peut déstabiliser l’ensemble du système financier une fois que les attaquants ont découvert une vulnérabilité affectant le secteur.

Les manuels de réponse aux incidents (ou playbooks) sont l'un des principaux outils utilisés par les professionnels de la cybersécurité pour guider la réponse aux cyberattaques. Un manuel de réponse peut être défini comme « une liste de contrôle séquentielle des étapes et actions requises pour répondre avec succès à des types d'incidents et de menaces spécifiques » (van der Kleij et al., 2022). Les playbooks permettent aux équipes de réponse aux incidents d'appliquer de manière routinière et systématique des procédures formelles lorsqu'elles sont confrontées à des incidents prévisibles et connus, afin qu'elles puissent concentrer leurs ressources cognitives sur des décisions stratégiques. Plusieurs répondants ont mis en garde contre une dépendance excessive à l'égard des playbooks, qui ne peuvent pas anticiper toutes les surprises rencontrées lors d’incidents réels. Ils ont souligné qu'une organisation cyber-résiliente doit être prête à s'écarter d'un playbook, parfois radicalement, pour adapter sa réponse à des conditions inattendues. Cette mise en garde reflète la méfiance des praticiens expérimentés qui estiment que ces documents peuvent conférer un faux sentiment de sécurité dans des circonstances extrêmes et paralyser le processus de réponse en excluant des mesures inhabituelles mais efficaces.

Apprendre pour s’adapter dans un environnement instable

Les rapports produits par l’industrie de la cybersécurité décrivent souvent la cyber-résilience comme un ensemble d'activités et de processus facilitant la réponse immédiate à un incident (Dupont, 2019). Cependant, le but ultime de la résilience n'est pas simplement la survie jusqu’à la prochaine crise, mais l’adaptation pour atteindre un nouvel équilibre opérationnel. Dans ce contexte, les répondants ont réfléchi à ce qui a favorisé ou entravé les processus adaptatifs de l’organisation post-crise.

La principale source d’adaptation découle de l'apprentissage qui a lieu après une crise inattendue ou après un incident de routine mal géré. De nombreux incidents mineurs qui ne sont jamais portés à l'attention de la presse ou des simulations qui mettent en œuvre des scénarios hypothétiques peuvent également révéler l'inadéquation des mesures de sécurité et des procédures d'intervention existantes. Les leçons tirées de ces événements par ceux qui ont participé à leur gestion et leur atténuation sont généralement consignées dans des rapports post-mortem ou de retour d’expérience. Les documents auxquels nous avons eu accès résumaient les causes de l'incident, son impact sur l'organisation et ses clients, la manière dont il a été résolu, les leçons tirées et les adaptations nécessaires. Mais il était difficile d'évaluer comment ces informations avaient été intégrées aux pratiques de cyber-résilience de l'organisation. Faisant écho à cette impression, un répondant a regretté l’absence d’un outil technologique qui permettrait de puiser dans la mémoire organisationnelle accumulée que ces rapports contiennent, incluant un historique des plus ou moins bonnes décisions prises lors des crises et de leurs résultats. Afin de s'assurer que toutes les données nécessaires à la mise à jour des cadres de sensemaking et de réponse établis soient recueillies, en particulier les plus sensibles et les plus embarrassantes, qui s’avèrent incidemment les plus utiles, quelques répondants ont insisté sur la nécessité de créer un environnement « d’apprentissage sans faute » pour les employés à l'origine d'un incident ou impliqués dans sa gestion.

Conclusion

En partageant certaines de leurs idées et pratiques, des professionnels de la cybersécurité travaillant dans l'un des secteurs les plus exposés aux cyber-risques ont souligné les tensions inhérentes à la mise en œuvre de la cyber-résilience, qui est trop souvent réduite des expressions à la mode et à des cadres normatifs superficiels. Concrètement, la cyber-résilience s'inscrit plutôt dans un réseau complexe d'interactions reliant des systèmes techniques, des processus organisationnels et des comportements humains, et met en lumière les tensions et les contradictions que doivent surmonter les organisations et les équipes chargées de sa mise en œuvre. Dans le contexte actuel d’incertitude structurelle face à des cyber-risques en constante mutation, les stratégies de cyber-résilience demeurent l’une des approches les plus prometteuses afin d’assurer la survie des organisations. Un solide socle de connaissances et de données probantes reste toutefois encore à développer et à consolider afin de mieux comprendre dans quelles conditions ces promesses peuvent se réaliser.

Références

Bodeau, D., et Graubart, R. (2011). Cyber resiliency engineering framework. McLean: The MITRE Corporation.

Dupont, B. (2019). The cyber-resilience of financial institutions: Significance and applicability. Journal of Cybersecurity, 5(1), 1-17. doi:10.1093/cybsec/tyz013

Granovetter, M. (1973). The strength of weak ties. The American Journal of Sociology, 78(6), 1360-1380.

Joshi, S. (2020). Reservist model: Distributed approach to scaling incident response. Enigma Conference. Repéré à https://www.usenix.org/conference/enigma2020/presentation/joshi.

Sepúlveda Estay, D. A., Sahay, R., Barfod, M. B., et Jensen, C. D. (2020). A systematic review of cyber-resilience assessment frameworks. Computers & Security, 97, 1-15. doi:10.1016/j.cose.2020.101996

Staal, M. (2004). Stress, cognition and human performance: A literature review and conceptual framework. NASA Ames Research Center. Repéré à https://ntrs.nasa.gov/archive/nasa/casi.ntrs.nasa.gov/20060017835.pdf.

van der Kleij, R., Schraagen, J. M., Cadet, B., & Young, H. (2022). Developing decision support for cybersecurity threat and incident managers. Computers & Security, 113, 1-15. doi: 10.1016/j.cose.2021.102535.

Weick, K. E. (1995). Sensemaking in organizations. Thousand Oaks: SAGE Publications.

Weick, K. E., & Sutcliffe, K. M. (2015), Managing the unexpected: Sustained performance in a complex world – Third edition. Hoboken: John Wiley & Sons.

Méthodologie

Cette étude repose sur des entrevues qualitatives semi-dirigées pour saisir l'expérience des professionnels de la cybersécurité qui font face régulièrement à des cyberattaques dans le secteur financier. Nous avons interrogé 58 répondants issus de 37 organisations. Une approche d'échantillonnage ciblé a été adoptée pour obtenir une diversité de points de vue et d'expériences à travers cinq dimensions spécifiques (géographie, type d'institution, taille de l'institution, rôle de l'interviewé et expérience de l'interviewé) et pour s'assurer que diverses perspectives du réseau de la cyber-résilience étaient adéquatement représenté. La diversité géographique de l'échantillon tient compte à la fois de la nature mondiale des défis de la cyber-résilience auxquels sont confrontées les institutions financières et des caractéristiques culturelles ou réglementaires locales qui peuvent favoriser des pratiques nationales différentes. Les répondants ont été interrogés au Canada, aux États-Unis, au Royaume-Uni, aux Pays-Bas et en France. Certaines organisations avaient une vaste présence internationale, opérant sur des dizaines de marchés, tandis que d'autres maintenaient une empreinte locale. La taille des institutions pour lesquelles les personnes interrogées travaillaient variait également de manière significative - certaines d'entre elles avaient un chiffre d'affaires annuel inférieur à un milliard de dollars US, tandis que les bénéfices d'autres pouvaient atteindre cinq à dix fois ce montant - ce qui entraîne des niveaux variables de ressources et d'expertise disponibles pour mettre en œuvre des pratiques de cyber-résilience. Le secteur financier fournit divers services à des clients particuliers et commerciaux. Pour en tenir compte, l'échantillon comprenait des professionnels de la cybersécurité qui travaillent pour des banques, des compagnies d'assurance, des fonds de pension et des places de marchés. Les sociétés de conseil et de réponse aux incidents qui fournissent des services de cybersécurité aux entreprises financières et les régulateurs qui supervisent leurs activités ont également été interrogés. Les postes occupés par les personnes interrogées incluaient des directeurs de la sécurité de l'information (CISO), des directeurs des risques (CRO), des directeurs de centres d'opérations de sécurité (SOC), des équipes d'intervention en cas d'incident (CSIRT) et des unités de continuité des activités, en passant par des responsables d'équipes de tests de pénétration et des red teams, ainsi que des conseillers en gouvernance et en sécurité informatiques. L'expérience professionnelle dans un rôle de gestion ou de réglementation des cyber-risques allait d'une demi-année à plus de trente ans. Le tableau 1 donne un aperçu des caractéristiques socio-démographiques et professionnelles des répondants.

Les entretiens ont été réalisés entre août 2018 et novembre 2020 en personne (36), par appel téléphonique ou vidéoconférence (21), ou par courriel (1). Treize répondants (22 %) étaient des femmes. Les entretiens ont duré 57 minutes en moyenne (fourchette : de 31 à 90 minutes). Ils ont été enregistrés et transcrits en vue d'une analyse qualitative, à l'exception de trois entretiens dans des lieux publics (café ou restaurant) où le niveau sonore était trop élevé pour permettre l'enregistrement, et où des notes manuscrites ont été prises à la place. Les entretiens transcrits ont ensuite été importés dans NVivo 12 de QSR International, un logiciel d'analyse qualitative qui facilite l'exploration, le codage et la visualisation de grandes quantités de données non structurées.

Tous les entretiens ont suivi un scénario similaire : les répondants devaient d'abord expliquer comment ils définissaient la cyber-résilience, puis se souvenir de la cyber-attaque la plus grave qu'ils avaient subie. Ces questions ont été posées au début de l'entretien afin de susciter des souvenirs spécifiques et concrets d'événements perturbateurs uniques à l'organisation du participant et de la manière dont ces événements ont été gérés. Un objectif indirect était de minimiser le recours des participants à des déclarations génériques ou à des cas très médiatisés, réponses qui sont souvent utilisées pour détourner les questions portant sur un sujet sensible ou pour lequel l'organisation n'a pas de réponse. Le script de l'entretien comprenait ensuite des questions sur les technologies et les procédures (y compris les normes) utilisées pour favoriser la cyber-résilience, le rôle joué par les partenariats public-privé et l'expertise externe, les obstacles organisationnels à la cyber-résilience, l'impact du facteur humain sur la cyber-résilience et les aspects réglementaires de la cyber-résilience. Une dernière question ouverte permettait aux répondants de signaler tout thème qui, selon eux, avait été négligé.

Tableau 1. Statistiques descriptives des répondants