Équipe cybersécurité supervision SOC centre opérations sécurité

Rendre son IT résiliente : la méthode d’une équipe ISO 27001

Rendre son IT résiliente, c’est passer de la question anxiogène « et si ça tombe ? » à un projet structuré en quatre étapes : cartographier ce qui existe, prioriser ce qui est critique, formaliser un plan de continuité et de reprise (PCA/PRA), puis maintenir le tout en conditions opérationnelles. C’est exactement la démarche qu’impose la norme ISO/IEC 27001 — et c’est la méthode que nous décrivons ici, applicable à une collectivité comme à une entreprise multi-sites.

Pourquoi la résilience IT est-elle devenue un sujet de direction générale ?

Parce que l’informatique n’est plus un service support : état civil, paie, gestion des délibérations, vidéoprotection, téléphonie, écoles — tout repose sur le réseau et les systèmes d’information. Une mairie touchée par un rançongiciel ne perd pas « des fichiers » : elle perd sa capacité à délivrer le service public, parfois pendant des semaines. Et le cadre réglementaire suit cette réalité : la directive NIS2, en cours de transposition en France, fait de la continuité d’activité une obligation pour des milliers de collectivités et d’entreprises (voir notre mémo NIS2 & CRA pour les collectivités).

La résilience n’est donc pas un projet technique de plus. C’est un arbitrage de gouvernance : qu’est-ce qui doit survivre à un incident, en combien de temps, et à quel coût ?

Par où commencer : comment cartographier son SI et ses risques ?

On ne protège pas ce qu’on ne connaît pas. La première étape est un diagnostic factuel, en trois inventaires :

  1. Les actifs : serveurs, applications métiers, liens d’accès Internet, équipements réseau, baies techniques, contrats. Dans la pratique, un audit réseau révèle presque toujours des équipements oubliés, des abonnements redondants et des configurations jamais documentées.
  2. Les dépendances : quelle application dépend de quel serveur, de quel lien, de quel prestataire ? C’est ici que se cachent les points de défaillance uniques — le lien fibre unique, l’onduleur unique, la personne unique qui « sait ».
  3. Les menaces et vulnérabilités : rançongiciel, panne électrique, coupure fibre, erreur humaine, défaillance d’un fournisseur. Chaque menace est croisée avec chaque actif critique pour estimer un niveau de risque.

Le livrable de cette phase est une cartographie hiérarchisée des risques — le document fondateur exigé par ISO 27001 comme par NIS2.

Câbles réseau et commutateur — cartographie des actifs du système d'information

Comment prioriser sans tout traiter en même temps ?

Le piège classique est de vouloir tout sécuriser d’un coup. La méthode ISO 27001 impose l’inverse : traiter les risques par ordre d’impact, avec deux indicateurs simples par service :

  • RTO (Recovery Time Objective) : combien de temps ce service peut-il rester indisponible ?
  • RPO (Recovery Point Objective) : combien de données peut-on accepter de perdre ?
Service RTO acceptable Priorité type
Téléphonie / accueil des usagers Quelques heures Très haute
Applications métiers (état civil, paie) 24 h Haute
Messagerie 24-48 h Moyenne
Sites web, portails d’information 72 h Modérée

Ce tableau se construit avec les directions métiers, pas seulement avec la DSI : c’est le métier qui sait ce qu’une heure d’indisponibilité coûte réellement.

PCA, PRA : quelle différence et que mettre dedans ?

Les deux plans sont complémentaires :

  • Le PCA (plan de continuité d’activité) répond à « comment continuer à fonctionner pendant l’incident » : lien de secours 4G/5G quand la fibre est coupée, redondance des accès, procédures dégradées en mode papier, téléphonie basculée sur mobile.
  • Le PRA (plan de reprise d’activité) répond à « comment revenir à la normale après » : restauration depuis des sauvegardes saines et testées, ordre de redémarrage des systèmes, critères de retour en production.

Trois exigences font la différence entre un plan qui rassure et un plan qui fonctionne : des sauvegardes hors ligne testées régulièrement (une sauvegarde jamais restaurée est une hypothèse, pas une garantie), des procédures accessibles même quand le SI est à terre, et des exercices au moins annuels, y compris de crise.

Supervision de la performance réseau et des liens fibre FTTO

Quel est le rôle d’un partenaire opérant selon ISO 27001 ?

Peu de collectivités ou de PME peuvent internaliser un RSSI, une supervision 24/7 et une expertise réseau, sécurité et télécoms. Externaliser une partie du périmètre vers un service managé opéré par une équipe travaillant selon les exigences ISO 27001 apporte trois garanties :

  1. Des processus déjà auditables : gestion des incidents, des changements, des accès et des journaux conformes à la norme — vous héritez de cette rigueur sans la construire vous-même.
  2. Une infrastructure conçue pour la résilience : pare-feu managé, SD-WAN interconnectant vos sites avec bascule automatique, secours 4G, authentification et traçabilité des accès réseau par serveur RADIUS.
  3. Un engagement contractuel : supervision, délais d’intervention et reporting sont écrits dans le contrat — pas dépendants de la disponibilité d’un agent.

Chez CityPassenger, ce périmètre managé couvre le WiFi, le LAN, le pare-feu, les liens fibre et la téléphonie, par abonnement et sans investissement initial : la résilience devient une charge de fonctionnement prévisible plutôt qu’un projet d’investissement à arbitrer.

Comment maintenir la résilience dans la durée (le « run ») ?

Un plan de résilience se périme en quelques mois si personne ne le fait vivre. La gouvernance en run tient en quatre rituels :

  • Revue trimestrielle des risques : nouveaux services, nouveaux prestataires, nouvelles menaces ;
  • Supervision et alerte continues sur le réseau et les équipements, avec des indicateurs suivis (disponibilité, incidents, délais de rétablissement) ;
  • Tests planifiés : restauration de sauvegardes, bascule sur lien de secours, exercice de crise annuel ;
  • Revue des accès : départs d’agents, comptes de prestataires, droits obsolètes.

C’est la boucle d’amélioration continue d’ISO 27001 : planifier, faire, vérifier, corriger. Un partenaire managé prend en charge la partie technique de cette boucle et vous livre les éléments de preuve — précieux le jour où un auditeur, un assureur ou l’ANSSI les demandera.

Cadrer votre projet de résilience : prendre rendez-vous avec un expert CityPassenger

FAQ

Faut-il être certifié ISO 27001 pour être résilient ?
Non. La certification est un aboutissement, pas un prérequis. Appliquer la méthode (cartographie, priorisation, PCA/PRA, amélioration continue) apporte l’essentiel du bénéfice. S’appuyer sur un prestataire qui opère déjà selon la norme accélère fortement la démarche.

Quelle est la première action à budget constant ?
Tester la restauration d’une sauvegarde critique et vérifier qu’il existe un lien de secours pour votre site principal. Ces deux vérifications coûtent quelques heures et révèlent immédiatement votre niveau réel d’exposition.

Combien de temps dure un projet de résilience ?
Comptez 2 à 3 mois pour le diagnostic et la priorisation, 3 à 6 mois pour les mesures techniques prioritaires (redondance, sauvegardes, segmentation, traçabilité des accès), puis un fonctionnement en continu. L’erreur est de le traiter comme un projet fini : c’est un régime, pas une cure.

Quel lien avec NIS2 ?
La continuité d’activité, la gestion des risques et la notification d’incidents figurent parmi les obligations de NIS2. Un projet de résilience bien mené produit précisément les livrables que la réglementation exigera. Détail dans notre article NIS2 & CRA : le mémo des collectivités.

Laisser un commentaire