3 questions à Gilles Noël & Jean-Félix Chevassu, Directeur des offres Cloud et Directeur des offres cybersécurité d'adista
Quelle est la valeur ajoutée d’une politique de sauvegarde ?
Gilles : Réduire la sauvegarde à la simple notion de copie de données, c’est passer à côté de l’essentiel. Car l’important n’est pas la sauvegarde mais les données qu’elle préserve. Les données sont au cœur des enjeux business et réglementaires, au cœur de l’innovation et de la compétitivité. Assurer leur disponibilité, leur intégrité et leur remise à disposition à travers des tests réguliers, doit vous permettre d’assurer votre continuité d’activité même en mode dégradé.
Jean-Félix : Vos sauvegardes sont des cibles prioritaires pour les attaquants, pour vous laisser sans solution de secours. Si vous êtes en mesure de restaurer vos données à partir de vos sauvegardes sans avoir à payer la rançon, non seulement vous économisez des coûts immédiats, mais vous protégez également la réputation de l’entreprise en montrant qu’elle est capable de gérer efficacement les crises. Votre politique de sauvegarde peut même devenir un avantage concurrentiel.
Selon le rapport « Veeam Data Protection Trends 2024 », environ 80% des entreprises n’ont pas de véritable plan de reprise d’activité (PRA) en place. Comment expliquer ce chiffre ?
Gilles : Beaucoup de dirigeants hésitent à investir dans des solutions dont la rentabilité est difficile à démontrer tant qu’ils n’ont pas subi de désastre. La mise en œuvre d’un PRA peut être coûteuse et nécessiter des ressources importantes, tant humaines que financières. Les entreprises peuvent avoir d’autres priorités plus immédiates et négliger la mise en place d’un PRA. . Ce n’est que le jour où vous en avez besoin que vous réalisez son caractère vital.
Jean-Félix : Malgré la multiplication et la médiatisation des incidents, bon nombre pensent qu’ils ne seront pas touchés. « Ça n’arrive qu’aux autres, nous n’avons jamais eu de problème ». Ce faux sentiment de sécurité impacte la culture d’entreprise. Les personnes responsables de la sécurité du SI se retrouvent encore trop souvent seules face à ces sujets, avec des ressources limitées. Pour imager la situation, comparez le PRA avec les gestes de premiers secours en cas de crise cardiaque. Plus vous avez de personnes impliquées et formées, avec des mises à jour de leurs compétences, plus vous mettez les chances de survie de votre côté.
Au-delà de la perte de données, quels sont les risques cachés d’une cyberattaque ?
Jean-Félix : L’un des principaux risques est l’interruption pure et simple de l’activité due à une paralysie de ses systèmes critiques et les pertes financières qui en découlent. Dans ce cadre, on sous-estime le risque et les coûts des litiges juridiques avec ses parties prenantes, par exemple pour des fabrications non-honorées. Et si en plus des données sensibles sont compromises, l’entreprise peut être tenue responsable et faire face à des poursuites et des amendes, notamment en cas de non-conformité à la législation (RGPD, NIS2, DORA, etc.).
Gilles : Une cyberattaque peut aussi créer un climat de stress, d’incertitude voire de défiance au sein de l’entreprise. Pourquoi la cyberattaque a fonctionné ? Est-ce dû à un manque d’investissements pour sécuriser le SI ? Pourquoi la restauration des sauvegardes est-elle si fastidieuse ? Ces questions sont légitimes et leurs réponses impactent directement la réputation de l’entreprise, la productivité et le moral des équipes.
Jean-Félix : Précisons aussi qu’en cas d’attaque réussie, se remettre sur pieds et renforcer la sécurité pour prévenir de nouvelles attaques peut avoir un coût considérable. Je ne peux que recommander un Bilan d’Impact sur l’Activité (BIA) pour identifier et hiérarchiser au préalable les services critiques et ressources essentielles : ceux qui doivent continuer coûte que coûte, ce qui peuvent attendre une demi-journée ou une journée et les autres.
