Les 5 clés d’une reprise d’activité à l’ère du télétravail et du cloud

1/ Réexaminer les risques extérieurs

La première étape de l’adaptation du plan de secours consiste à passer en revue tous les risques pertinents. C’est-à-dire aller au-delà des habituelles catastrophes naturelles et des pannes techniques en intégrant les risques liés aux mesures sanitaires.

Le premier de ces risques est la disponibilité des personnels. Même si les entreprises mettent en place des procédures pour maintenir leur production, la maladie ou l’isolement d’un nombre potentiellement important de leurs salariés est un terrain inconnu. Tout comme elles ignorent l’impact que des éléments extérieurs peuvent à présent avoir sur le personnel, par exemple la fermeture d’une école.

Le second risque est que télétravail augmente la surface des cyberattaques. 

« Le problème pour la plupart des entreprises est que les salariés travaillent désormais depuis une connexion haut débit de qualité grand public, avec une sécurité de niveau grand public. »

« Le problème pour la plupart des entreprises est que les salariés travaillent désormais depuis une connexion haut débit de qualité grand public, avec une sécurité de niveau grand public », lance Richard Blandford, PDG de la société de services informatiques Fordway.

Cette situation, dit-il, accroît la vulnérabilité à la cybercriminalité, en particulier aux ransomwares, mais aussi au phishing, aux attaques par déni de service et aux attaques contre les infrastructures. Selon une étude menée l’été dernier par l’éditeur de logiciels de sauvegarde Acronis, 39 % des entreprises ont signalé des attaques par visioconférence. Les tentatives de phishing ont également augmenté.

Les entreprises de cybersécurité préviennent que les criminels exploitent également les opportunités liées au Covid, notamment les tests et les vaccins, dans leurs tentatives de phishing et de fraude. Les attaques par phishing peuvent conduire à des ransomwares, à des vols de données et à la perturbation des systèmes informatiques par des logiciels malveillants.

2/ Remettre à niveau les nouvelles faiblesses de l’informatique

Les plans de reprise d’activité classiques ont été imaginés comme une parade à la défaillance des systèmes informatiques sur site. Dans ce contexte, le travail à distance et l’exécution en cloud étaient vus comme des mesures de continuité des activités.

Désormais, les entreprises doivent tenir compte de la dégradation des services réseau, qu’il s’agisse des outils de VPN potentiellement attaquables, comme des défaillances dans les réseaux des télécommunications publiques. Avec un nombre croissant de télétravailleurs, ces défaillances passent d’un risque opérationnel à un risque stratégique.

Concernant le cloud, il faut prendre conscience que les hébergeurs, tout comme les fournisseurs de logiciels en ligne (SaaS), ne sont pas responsables des données de leurs clients. En cloud, les entreprises ont toujours besoin d’avoir des sauvegardes. Des sauvegardes proches de la source, pour redémarrer rapidement en cas d’incident mineur, des sauvegardes ailleurs, pour éliminer le risque de panne lié au lieu de production, et des sauvegardes sur un autre support, comme des bandes ou des disques durs physiquement déconnectés, pour éliminer le risque de cyberattaques qui se propagent par les réseaux.

Les entreprises doivent également garder la maîtrise des technologies clientes de leurs salariés. Elles doivent s’occuper de les sécuriser, de les mettre à jour, de les sauvegarder. Et, bien entendu, garder à l’esprit qu’il est plus difficile de remplacer un équipement défectueux chez un télétravailleur.

3/ Gestion des incidents en reprise d’activité : des communications plus compliquées

« L’un des grands défis du PRA depuis la crise pandémique est de savoir comment synchroniser les équipes, pour gérer l’incident et basculer des systèmes primaires vers les systèmes de secours. »

Reste à savoir si le plan de reprise d’activité, enrichi de la prise en compte des risques précédents, fonctionnera toujours.

« L’un des grands défis du plan de reprise d’activité depuis la crise pandémique est de savoir comment synchroniser les équipes pour gérer l’incident et basculer des systèmes primaires vers les systèmes de secours », prévient Peter Groucutt, directeur général de Databarracks.

De bonnes communications sont essentielles, mais la tâche se complique quand les membres de l’équipe d’intervention ne sont pas réunis au même endroit. Dans ce contexte, élaborer une structure de prises de décisions est précieux.

Les entreprises doivent vérifier que tous les membres de leur équipe d’intervention peuvent communiquer avec toutes les parties prenantes. Quels systèmes surveilleront-ils ? Quels utilisateurs notifieront-ils ? Les notifications de panne provenant des hébergeurs d’infrastructures en cloud ou du centre de sécurité parviennent-elles aux bonnes personnes ? Et qui sonnera le départ du plan de reprise d’activité ?

La gestion des incidents doit inclure des canaux de communications automatisés, par e-mail ou SMS, qui alertent le personnel quand les systèmes cessent de fonctionner.

4/ Les tests de reprise d’activité doivent prendre en compte un environnement distribué

Dès lors que la reprise d’activité concerne l’intervention de télétravailleurs ou la connexion à des ressources distantes, les entreprises doivent intégrer à leurs tests les liens de communication clés, y compris les VPN, ainsi que la connectivité au cloud.

« Vous devez effectuer régulièrement des tests de reprise après sinistre qui sont mesurés et approuvés, sans aucun compromis de bande passante », lance Stephen Young, directeur chez AssureStor. « En général, les services de PRA en cloud, souvent appelés DRaaS, sont les mieux outillés, car ils fournissent des fonctions de tests solides, qui peuvent se programmer régulièrement et qui simulent très bien les accès tels qu’ils se présenteront, avec la bonne bande passante. »

« Vous devez effectuer régulièrement des tests de reprise après sinistre, [...] mesurés et approuvés, sans aucun compromis de bande passante. »

Les entreprises doivent également tester dans leurs plans les processus de travail des salariés, qu’ils soient des télétravailleurs ou des personnels sur site. Par exemple, il convient de vérifier que tous puissent travailler malgré une panne du réseau mobile. Il faut également vérifier que les membres d’une équipe puissent collaborer à minima quand le réseau de communication principal est coupé.

« Pour le reste, les bases de la reprise après sinistre n’ont pas changé : il s’agit toujours de mesurer en combien de temps vous pouvez reprendre une activité normale (RTO) et avec des données qui datent de combien de temps (RPO) », dit Richard Blandford, de Fordway.

5/ Il faut mettre à jour la formation des équipes

Enfin, les entreprises doivent mettre à jour leurs plans de formation. Les salariés doivent recevoir une formation en matière de sécurité et de protection des données. Et il est peut-être pertinent qu’un plus grand nombre d’entre eux soient formés à la reprise d’activité. Les outils de formation virtuels se sont développés rapidement ces dernières années et se présentent comme une alternative moins chronophage aux exercices traditionnels de reprise d’activité.

Les RSSI préviennent que la prévention du phishing et de l’ingénierie sociale est plus difficile lorsque le collaborateur ne travaille pas au bureau. Comme le souligne Amar Singh, PDG de la Cyber Management Alliance, la sensibilisation à la sécurité repose en grande partie sur des conseils en face à face et une « tape sur l’épaule ». Les entreprises doivent donc prendre en compte cette problématique et adapter leurs efforts de formation en conséquence.

À la charge des DSI de vérifier que le contenu de ces formations reflète les pratiques de travail et les risques liés à la pandémie ou aux ressources en cloud. Par ailleurs, si des leçons ont déjà été tirées des exercices de reprise d’activité, du fonctionnement en télétravail, ou de l’utilisation de ressources en cloud, celles-ci doivent impérativement être partagées avec tous les collaborateurs.