Résilience IT : toujours garantir la continuité d'activité
Le 15 juin 2021, CIO a diffusé sous forme de webconférence la CIO.expériences « Résilience IT : garantir la continuité d'activité face aux crises » réalisée en partenariat avec Akamai, Check Point, Cohesity, Darktrace, Rubrik, VMware / Soluceo et Zendesk.
PublicitéComment la Société Générale, Fraikin, Rabot Dutilleul, l'AIFE (Agence pour l'informatique financière de l'État) et l'AP-HP (Assistance Publique - Hôpitaux de Paris) garantissent leur résilience ? Chacun a des obligations de continuité d'activité qui supposent une résilience IT. Tous en ont témoigné sur la CIO.expériences « Résilience IT : garantir la continuité d'activité face aux crises » réalisée par CIO en partenariat avec Akamai, Check Point, Cohesity, Darktrace, Rubrik, VMware / Soluceo et Zendesk. Par ailleurs, en partenariat avec MyFrenchStartUp, Christophe Foret a présenté sa start-up, C-Risk. Cette webconférence a été diffusée le 15 juin 2021 et est aujourd'hui disponible en replay intégral.
Carlos Gonçalves, CTO du groupe Société Générale, a été le grand témoin de la matinée. Intervenant au fil de la matinée, il a notamment commenté les résultats de l'étude Comment bâtir un système d'information à l'épreuve des crises ? réalisée par CIO en amont de la webconférence.
« La résilience passe avant tout par la prévention » a martelé Philippe Rondel, cyberévangéliste chez Check Point.
Pour Philippe Rondel, les organisations de manière générale se protègent très peu, préférant investir leurs ressources sur la détection. Il estime également qu'une partie des difficultés viennent de la multiplication des produits de sécurité. « Cela introduit une complexité, qui débouche ensuite sur une mauvaise gestion », déplore-t-il. Opter pour une approche unifiée, que ce soit au niveau des terminaux, du réseau ou du cloud, évite en partie ces pièges. « Si possible, il faut consommer la sécurité différemment, à travers une plateforme, ce qui simplifie aussi les déploiements et l'utilisation », observe Philippe Rondel. Il met néanmoins en garde contre le fait d'ajouter simplement des solutions à l'existant, ou de croire qu'un nouvel outil va tout résoudre.
Dans le domaine de la sécurité, machine learning et deep learning sont pleins de promesses, « capables de faire un travail précis mieux qu'un humain », selon Philippe Rondel. « Nous avons développé une soixantaine de moteurs. Combiner les résultats de ces derniers apporte une meilleure protection, moins de faux positifs. » La prévention est nécessaire, il ne faut pas uniquement chercher à détecter et soigner, rappelle-t-il. « La prévention passe par la protection active, mais aussi par d'autres choses, comme la diminution de la surface d'attaque. »
Publicité
« Protection et sécurité des données au service de la résilience IT » a été le sujet de l'intervention de Pierre-François Guglielmi, alliances field CTO chez Rubrik.
Dans des infrastructures hautement disponibles, très redondantes, avec de la réplication, de la reprise automatique en cas d'interruption, la place des sauvegardes peut sembler remise en question. Pourtant, comme le rappelle Pierre-François Guglielmi, ces dispositifs ne couvrent pas tous les cas de figure autour de la perte de données. « Dans de tels environnements, ce qui se passe sur les machines et les applications est répliqué, y compris une corruption de données ou un ransomware. Il faut donc se prémunir face à de tels cas, et la sauvegarde a un rôle à jouer », affirme-t-il.
Si la sauvegarde n'est plus optionnelle, il faut également penser à rendre cette infrastructure elle-même résiliente. Pour Pierre-François Guglielmi, cela signifie notamment faire en sorte que tous les rôles soient distribués, s'assurer que les données soient distribuées et sécurisées, sans oublier le catalogue. L'inverse en somme des infrastructures traditionnelles, en silos. Il faut aussi savoir s'adapter à la nouvelle donne du côté des environnements à sauvegarder, avec des données diverses, réparties dans de nombreuses localisations. Enfin, appliquer des couches de données supplémentaires aux sauvegardes est une précaution utile à l'heure où certains ransomwares s'attaquent en priorité à celles-ci : faire en sorte par exemple que les données sauvegardées soient immuables, avoir une copie hors site et éventuellement hors ligne, prévoir une authentification forte, systématique et du chiffrement de bout en bout.
Laurent Dasnoy, responsable du pôle opérations et sécurité informatique de Rabot Dutilleul a raconté comment survivre à un ransomware.
Groupe familial de construction, Rabot Dutilleul s'appuie notamment sur une infrastructure d'hyperconvergence dans deux datacenters. L'entreprise avait mis en place un plan de reprise des activités orienté informatique (PRI), utilisant les fonctionnalités natives du système d'hyperconvergence, avec des snapshots répliqués d'un datacenter à l'autre. Mais le 22 juillet 2020, elle a été touchée par le rançongiciel NetWalker.
« La quasi-totalité de nos serveurs était chiffrée, nos sauvegardes en agence aussi, les réplications et sauvegardes en datacenter étaient effacées », se souvient Laurent Dasnoy. Il a raconté ensuite comment l'incident avait été géré, puis comment les données ont pu être récupérées, à la fois grâce à une société spécialisée et grâce au mécanisme de snapshot et réplication. Après cette expérience, l'entreprise a renforcé son arsenal avec des solutions de détection, « qui permettent de voir venir les choses » selon Laurent Dasnoy, et elle a également revu son infrastructure de sauvegarde.
« 2020 a changé à jamais l'écosystème des menaces » a observé Xavier Daspre, consultant avant vente sécurité EMEA chez Akamai.
Avec environ 325 000 serveurs répartis chez ses clients, Akamai opère un réseau d'envergure mondiale, initialement conçu pour accélérer la diffusion de contenus. Depuis quelques années, l'entreprise a également mis ses capacités au service de la sécurité, pour bloquer les attaques au plus près de leur point d'origine. De par sa position, Akamai a observé une évolution des menaces en 2020, liée tout d'abord à l'augmentation du trafic. « Nous avons relevé des pics à 180 Tb/s, là où la moyenne sur de grands événements était à 80 Tb/s », confie Xavier Daspre. Dans ce contexte, les pirates se sont attaqués aux points sensibles : sites de vente en ligne, hôpitaux, jeux en ligne, mais aussi, plus nouveau, les points de terminaison VPN. « La surface d'attaque a augmenté et les cibles se sont diversifiées », résume Xavier Daspre.
En termes d'attaques, les dénis de service se sont amplifiés : +40% sur le T4 2020 par rapport au T4 2019, avec des attaques DDoS as-a-Service. Les attaques applicatives ciblées ont aussi grimpé de 20%. « Les entreprises ont souvent été un peu vite dans leur passage sur le Web, que ce soit pour mettre en place une stratégie omnicanale ou déployer le télétravail », déplore Xavier Daspre, « ce qui a laissé des ressources exposées. » En 2021, il insiste sur la nécessité de poursuivre les mesures de sécurité classiques, comme la mise en place de pare-feu applicatifs ou de protection contre les attaques DDoS.
Armand Foulquier, responsable de la division « infrastructures transverses » de l'AIFE (Agence pour l'Informatique Financière de l'État), a détaillé comment « éprouver la continuité d'activité ».
L'AIFE est un service à compétence national, chargé de mettre en oeuvre le service d'informatique financière de l'État : ses travaux portent notamment sur les dépenses et la comptabilité (Chorus), la facturation électronique (Chorus Pro), des plateformes d'APIs (Piste) et d'échange. « Les besoins de disponibilité varient selon les applications », explique Armand Foulquier. Pour Chorus par exemple, il faut pouvoir basculer en moins de 48h en cas de désastre majeur, et la perte de données tolérée est de 24h. « Nous avons construit les mécanismes pour répondre à ces besoins, testés complètement chaque année. »
En 2013, l'agence a connu un incident sur un datacenter privé, entraînant un arrêt complet de Chorus. « Des travaux ont généré une chaleur qui a déclenché le système anti-incendie, et les gaz ont provoqué une onde de choc qui a touché la baie de stockage, perturbant uniquement l'infocentre Chorus », a relaté Armand Foulquier. Il a ensuite expliqué comment cette crise avait été résolue, avec des arbitrages pour redémarrer dans les meilleurs délais. « Il y a toujours un équilibre à trouver, pour tenir le besoin sans dépenser plus que nécessaire », estime Armand Foulquier. Plus récemment, l'un des sites gérés par l'agence, marches-publics.gouv.fr, a été indisponible en raison de l'incendie sur le datacenter OVH à Strasbourg. « En raison d'un défaut de conception, désormais corrigé, la bascule automatique n'a pas pu se faire », a expliqué Armand Foulquier. Le service a pu rapidement être rétabli. De ces expériences, l'AIFE a tiré deux enseignements : d'abord, la nécessité de bien concevoir ses plans de reprise, mais aussi de bien les tester, même si ces tests sont complexes à mener.
« Découvrez les avantages d'une stratégie de Cloud Hybride » a incité Guillaume Dubois, président de Soluceo.
« Les entreprises rencontrent des difficultés pour gérer le cloud on-premises, mais elles en ont aussi à aller vers le cloud public », a constaté Guillaume Dubois. Pour leurs données, les DSI cherchent à bénéficier de la flexibilité et de l'évolutivité de ce dernier, tout en maintenant un niveau de sécurité proche du on-premises. « Le cloud hybride a du sens, notamment pour la sécurisation de la donnée et pour la rendre disponible aux utilisateurs », estime Guillaume Dubois. Celui-ci a ensuite cité quelques chiffres issus d'études VMware, montrant que les architectures hybrides facilitaient l'adoption du cloud public. « Ces solutions sont plus rapides et efficaces en termes de ROI que la transition directe d'un modèle on-premises vers le cloud public », souligne Guillaume Dubois.
Celui-ci a ensuite détaillé les différents avantages de la solution de cloud hybride VMware : la capacité à choisir son mode de consommation IT, avec une maîtrise des coûts ; scalabilité ; possibilité de promouvoir sa propre politique de sécurité et résilience, le cloud public pouvant alors aussi bien servir de site de secours qu'accueillir la charge supplémentaire en cas de pic d'activité.
Carlos Gonçalves, CTO du Groupe Société Générale, a été le grand témoin de la matinée et a présenté une vision où la résilience est un enjeu stratégique.
Présent dans 61 pays, le Groupe Société Générale propose des services financiers à plus de 30 millions de clients. En pleine transformation digitale, le groupe mise sur le cloud, l'open banking, les données et l'intelligence artificielle pour se développer. Toutefois, en tant que banque, sa crédibilité dépend de « la capacité à fournir des services sécurisés et résilients », comme l'a rappelé Carlos Gonçalves. « La résilience, c'est un état d'esprit : il faut la prévoir d'emblée dans l'architecture de nos systèmes », affirme le CTO. Il rappelle ensuite que les banques sont soumises à des obligations réglementaires sur leurs datacenters, de façon à assurer la reprise des activités en cas d'incident majeur. À cela s'ajoutent d'autres scénarios plus complexes, comme les ransomwares. « L'IT doit être capable de reprendre les activités en cas de menace », résume Carlos Gonçalves. Par le passé, les investissements se concentraient sur la détection et la prévention. Maintenant, les efforts se portent sur la préparation. « Il faut se mettre dans la situation où cela nous est arrivé, pour savoir comment réagir », insiste le CTO.
Pour cela, la résilience est testée, pas seulement au niveau IT mais au niveau du management, avec des exercices de gestion de crise impliquant la direction générale et le département de gestion des risques. « Un point important dans la résilience, c'est l'écosystème, et la résilience de vos partenaires », a ensuite rappelé Carlos Gonçalves, soulignant que la résilience est l'affaire de tous. Il a également abordé la résilience d'un point de vue applicatif, évoquant les applications cloud natives, « résilientes by design », mais aussi le mainframe. Carlos Gonçalves a aussi parlé du télétravail - y compris pour les traders, avant de finir sur un bilan des enjeux et menaces actuels.
« Préserver son patrimoine data - Préserver, sauvegarder et archiver les données au coeur de la valeur de votre entreprise » a plaidé Jean-Baptiste Grandvallet, system engineer chez Cohesity.
Si la protection des données n'est pas un sujet nouveau, l'explosion des ransomwares et le travail à distance remettent au goût du jour certaines pratiques comme la sauvegarde, a pointé Jean-Baptiste Grandvallet. Dans le même temps, les environnements IT ont évolué, devenant de plus en plus hybrides. « Le cloud est aussi une dimension importante, à prendre en charge au niveau de la sauvegarde », rappelle-t-il. Jean-Baptiste Grandvallet a ensuite évoqué les attentes des clients en matière de sauvegarde : d'abord, une fiabilité accrue face aux ransomwares, mais aussi la capacité à avoir une solution transverse, capable de gérer cloud et multicloud.
« Il s'agit aussi d'aller plus loin que la simple restauration des données, pour en tirer de la valeur », indique Jean-Baptiste Grandvallet. Cela passe par une plateforme globale, qui casse les silos de données existants, mais aussi par la possibilité d'installer des applications au plus près des données, avec une marketplace qui donne accès à ces dernières. « Les clients s'en servent pour vérifier la conformité, classer des données, faire de la gouvernance, des tests ou des recettes », illustre Jean-Baptiste Grandvallet.
Didier Perret, RSSI de l'AP-HP (à gauche), et Laurent Treluyer, DSI de l'AP-HP (à droite), sont revenus sur « la résilience en pratique en milieu très sensible ».
Avec 39 établissements, principalement en Île-de-France, 100 000 collaborateurs dont plus de 20 000 médecins, l'AP-HP est l'un des plus gros centres hospitaliers, de recherche et de formation médicale d'Europe. Après avoir décrit la diversité des systèmes d'information d'une telle structure, Laurent Treluyer a évoqué la façon dont l'IT de l'AP-HP a traversé la récente crise sanitaire : hausse très importante des appels au SAMU, passage d'une partie du personnel en télétravail, téléconsultations, nouveaux projets comme Covidom ou mise en place de SI-DEP, le portail collectant les données de test des laboratoires. Didier Perret a ensuite expliqué comment l'AP-HP se préparait à différents types de crises : incident sur un datacenter, coupure inopinée du réseau ou encore ransomwares, avec beaucoup de veille, de prévention et de détection, « pour couper les chaînes de compromission », ainsi qu'un dispositif de réponse.
L'AP-HP se prépare également avec des exercices de gestion de crise, et venait tout juste d'achever le premier lors de cette conférence. « Nous avons simulé une attaque sur un établissement, ce qui nous a permis de développer nos scénarios sanitaires et techniques », a relaté Didier Perret. « Nous avons beau nous protéger, un hôpital reste un système ouvert, qui accueille du public, a de nombreux systèmes branchés vers l'extérieur. Ce qui est important, c'est la capacité de réaction de l'organisation », a souligné Laurent Treluyer, rappelant que le but de tels exercices est d'apprendre. « Ce qui est déstabilisant, c'est le nombre d'informations et de sollicitations diverses à gérer - on ne peut pas cacher une cybercrise dans un hôpital. Il ne faut pas hésiter à prévoir une cellule cybercrise, pour que les équipes opérationnelles puissent faire leur travail tranquillement », confie le DSI.
« La Cyber IA Autonome pour redéfinir la sécurité de l'entreprise » a été présentée par Hippolyte Fouque, directeur commercial de Darktrace.
L'accélération de la transformation digitale et la sophistication croissante des attaques ont entraîné une hausse des alertes de sécurité, qui ne peuvent plus être traitées par des équipes submergées. Télétravail, convergence OT-IT ont augmenté la surface d'attaque, note Hippolyte Fouque, avec des attaques qui peuvent même se diffuser d'une organisation à une autre. « Les attaques sont également de plus en plus subtiles, avec des pirates qui menacent de divulguer vos données si vous ne payez pas la rançon », poursuit-il.
Face à ces difficultés, l'intelligence artificielle apparaît comme un remède. « Elle permet de détecter, de répondre et d'investiguer de manière autonome n'importe quel type d'attaque, sur l'ensemble des environnements d'une organisation », affirme Hippolyte Fouque. Il souligne également que l'IA ne bloque que les comportements suspects, sans empêcher l'activité normale. « C'est une approche chirurgicale, ciblée et très rapide », estime Hippolyte Fouque, citant l'exemple de l'écurie de Formule 1 McLaren et plusieurs autres situations vécues chez les clients de Darktrace.
Benoit Baudier, DSI du groupe Fraikin, est revenu sur comment Fraikin a réagi à une attaque par ransomware.
Entreprise de location de véhicules industriels présente en France et en Europe, Fraikin a subi très récemment une cyberattaque, le 11 mai dernier. « Il s'est vite avéré qu'il s'agissait d'un ransomware », a expliqué Benoit Baudier. Une première pour l'entreprise par son ampleur. Les équipes IT ont aussitôt cloisonné les différents serveurs pour limiter les dégâts, protégeant ainsi ses filiales, clients et partenaires. « Aucune donnée n'a été détruite, corrompue, volée ou altérée », indique le DSI, précisant que c'était le premier point qui a été vérifié.
Grâce aux sauvegardes réalisées par son hébergeur, IBM, Fraikin a pu rétablir progressivement ses activités, après s'être assuré que ces sauvegardes étaient saines. Benoit Baudier a ensuite raconté les actions mises en oeuvre pour résoudre la crise, notamment l'activation du plan de continuité, important d'un point de vue métier, ainsi que la communication. Enfin, il a souligné qu'à la différence des exercices de gestion de crise, lorsqu'on vit réellement une telle situation, cela s'étale sur bien plus longtemps, nécessitant de prendre en compte le stress et la fatigue des équipes.
« Comment offrir la meilleure qualité de service pour plusieurs directions métiers, même en pic d'activité ? » a été détaillé par Tahina Ralison, chef de projets SI de l'OFII (Office français de l'immigration et de l'intégration - à gauche), et Sophie Pietremont, directrice marketing Europe du Sud de Zendesk (à droite).
Sophie Pietremont a choisi d'aborder la continuité de service sous l'angle de l'expérience collaborateur, souvent mise à mal lors des événements récents. Pour cela, elle s'est appuyée sur le témoignage de l'OFII (Office français de l'immigration et de l'intégration), client de Zendesk. Cet établissement public sous la tutelle du ministère de l'Intérieur assure notamment l'accueil des demandeurs d'asile et immigrés, la gestion de l'immigration régulière, l'intégration et l'aide au retour volontaire, 140 000 personnes faisant appel à ses services.
Tahina Ralison a d'abord expliqué les enjeux auxquels était confrontée la DSI de l'OFII : apporter de l'autonomie aux utilisateurs, pour être en mesure de répondre rapidement à leurs demandes tout en aidant les équipes IT à gérer les pics d'activité. Pour y répondre, l'établissement s'est appuyé sur la solution Zendesk, qui permet notamment d'orienter rapidement les demandes vers les bons interlocuteurs et propose également un portail d'assistance en self-service, accessible y compris en télétravail. Tahina Ralison a partagé les résultats probants obtenus grâce à ce projet, avec 80% des demandes résolues dès la première réponse, une prise en charge en 4 heures maximum et seulement 4% de tickets réouverts.
En partenariat avec MyFrenchStartUp, Christophe Foret a présenté sa start-up, C-Risk.
Créée fin 2017, C-Risk est une startup spécialisée dans la quantification financière des risques cyber. « Nous proposons des solutions et des services managés aux entreprises, afin qu'elles puissent mesurer en termes financiers et métiers les risques cyber auxquels elles sont confrontées », a expliqué Christophe Foret. Le but est de faciliter la prise de décision, dans un contexte où les entreprises dépensent entre 5 et 15% de leur budget IT en solutions de sécurité. « Elles peuvent ainsi mieux allouer leurs ressources et leur temps à lutter contre les risques cyber. » Cette approche a pour particularité de mettre en oeuvre le standard FAIR (Factor Analysis of Information Risk).
Article rédigé par
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire