Points clés
- La résilience organisationnelle des systèmes critiques va au-delà de la protection technique : elle intègre la capacité à fonctionner, décider et communiquer pendant et après un incident.
- La résilience n'est pas un état binaire (protégé/non-protégé) mais un continuum de capacités qui se renforce par l'expérience, les tests et l'apprentissage.
- Norsk Hydro a démontré en 2019 qu'une organisation peut survivre à une attaque majeure et se reconstruire si elle dispose d'une culture de résilience préalable.
- Le NIST Cybersecurity Framework 2.0 (2024) a intégré la fonction Govern qui place la résilience organisationnelle au même niveau que les capacités techniques.
- ASIS International définit la résilience organisationnelle comme la capacité à anticiper, absorber, s'adapter et se transformer face aux perturbations.
La transition de la protection technique vers la résilience organisationnelle représente une évolution majeure dans la manière dont les organisations abordent la sécurité de leurs systèmes critiques. La protection technique cherche à empêcher les incidents. La résilience organisationnelle accepte que certains incidents se produiront malgré les défenses, et prépare l'organisation à les absorber, y répondre et en tirer des enseignements sans être détruite dans le processus.
Cette distinction est fondamentale pour les arbitrages de direction. Un programme focalisé uniquement sur la protection peut créer une illusion de sécurité et négliger les capacités de détection, de réponse et de continuité qui sont les déterminants réels de l'impact d'un incident. NIST CSF 2.0 et ISO 27001:2022 reflètent cette évolution en équilibrant les cinq fonctions : Govern, Identify, Protect, Detect, Respond et Recover.
Les composantes de la résilience organisationnelle
La résilience organisationnelle autour des systèmes critiques repose sur cinq composantes complémentaires. La capacité d'absorption est la capacité à maintenir les fonctions essentielles pendant un incident, en mode dégradé si nécessaire. La capacité de détection est la capacité à identifier rapidement un incident, réduisant la fenêtre d'exposition. La capacité de réponse est la capacité à décider et agir efficacement pendant la crise, incluant la communication interne et externe. La capacité de récupération est la capacité à restaurer les systèmes critiques dans des délais acceptables. La capacité d'apprentissage est la capacité à tirer des enseignements et à s'améliorer après chaque incident ou exercice.
ASIS International (ASIS SPC.1-2009) et ISO 22316 formalisent ces composantes dans un cadre de management de la résilience organisationnelle applicable aux organisations de tous secteurs.
Le cas Norsk Hydro comme modèle de résilience
Lorsque LockerGoga a frappé Norsk Hydro en mars 2019, l'entreprise a fait un choix inhabituel : elle n'a pas payé la rançon et a documenté publiquement sa reconstruction. Cette transparence, qui a nécessité un courage organisationnel significatif, a servi la réputation de l'entreprise auprès de ses clients, partenaires et régulateurs. Elle a également produit une documentation de référence sur la reconstruction d'une infrastructure industrielle mondiale après un incident majeur.
La résilience de Norsk Hydro reposait sur plusieurs éléments préexistants : des sauvegardes hors ligne en bon état sur la plupart des sites, une culture d'entreprise capable de basculer en mode manuel dans les fonderies, et une communication de crise immédiate et transparente vers l'ensemble des parties prenantes. Ces éléments organisationnels ont été plus déterminants que la robustesse technique préalable.
Mesurer la progression vers la résilience
La résilience organisationnelle se mesure et se pilote. Les indicateurs pertinents incluent : le MTTD et MTTR sur les incidents réels, l'écart entre les RTO documentés et les RTO observés lors des tests, le taux de couverture des scénarios de crise testés annuellement, et le taux de recommandations post-incident traitées dans les délais. Ces indicateurs révèlent la progression réelle de la résilience organisationnelle et permettent des arbitrages d'investissement fondés sur des données.
Après les critiques de la CISA et du gouvernement américain sur des défaillances de sécurité dans des systèmes critiques Microsoft ayant permis des intrusions étatiques (Storm-0558, accès aux emails gouvernementaux), Microsoft a lancé la Secure Future Initiative en novembre 2023. Cette initiative, présentée comme la transformation la plus ambitieuse de la culture de sécurité de l'entreprise depuis le Trustworthy Computing de 2002, vise à intégrer la résilience dans chaque décision produit et opérationnelle — au-delà de la protection technique périphérique.
Airbus a développé un programme de résilience cyber dédié à ses systèmes critiques de conception et de production, incluant des exercices de simulation d'attaques sur les systèmes de CAO, des tests de continuité en mode dégradé dans les chaînes d'assemblage, et un programme de sensibilisation spécifique aux ingénieurs et techniciens qui utilisent ces systèmes. Ce programme, présenté lors de la conférence RSA 2023, illustre l'approche sectorielle de la résilience organisationnelle dans l'industrie de défense.
La Cyber Security Agency Singapore a publié en 2022 un cadre de résilience cyber pour les entités gouvernementales incluant des exigences de recovery capability sur les systèmes critiques, des obligations de test annuel et un processus de certification. Ce cadre, aligné avec NIST CSF, impose aux agences gouvernementales de démontrer non seulement leurs capacités de protection mais aussi leurs capacités de détection, réponse et récupération sur leurs systèmes les plus critiques.