Lundi de la cybersécurité : Les fondamentaux de la gestion de crise cyber
25 mai 2023
Par Gérard Peliks, intervenant du MBA Management de la Cybersécurité
Les crises cyber sont devenues inévitables. Comment les anticiper ? Sont-elles imprévisibles ou peut-on les repérer avant qu’elles ne surviennent ? Quels sont les réflexes qu’il faut maitriser lorsqu’une attaque se produit dans votre datasphère ?
Non, la bonne question à débattre n’est pas : « Qui est coupable ? » alors que le monde s’écroule autour de votre organisation. Les bonnes questions concernent la technique, la gouvernance, le juridique, la communication. Et pour cela la cellule de gestion de crise doit inclure, au moins un décideur pour la suite des actions à décider, un technicien, un membre des relations humaines ; un membre de la communication et des chefs de projets pour déterminer ce qu’on dit et ne dit pas aux clients, aux partenaires, au personnel de l’organisation, à la presse.
Si votre organisation n’est pas préparée à gérer la crise, arrive un phénomène de sidération puis la panique s’installe. L’existence de votre organisation est menacée. Si votre organisation est préparée par des exercices de gestion de crise, vous saurez comment réagir et sortir de la crise par le haut.
Je donne la plume à Laurane Raimondo
La survenue d’une crise, cyber ou non, est par essence déstabilisante. Nul ne l’attend, beaucoup la craignent et certains ne s’en remettent pas. Pourtant, les crises sont porteuses d’opportunités. Dans une société où tous les rouages doivent être parfaitement huilés pour faire tourner la grande machine, un grain de sable suffit à bloquer des pans entiers de nos activités.
La « machine numérique » ne fait pas exception, au contraire. Plus les activités humaines dépendent d’elle, plus elle se complexifie, plus sa vulnérabilité croît. Par tradition, lorsque survient la cybercrise, c’est au domaine technique que la responsabilité est imputée.
Pourtant, nous utilisons tous ces outils. Mais peu cherchent à les comprendre et préfèrent confier les rênes aux « spécialistes » tout en pestant lorsque la machine se bloque suite à une mauvaise manipulation et râlant contre la technologie et leur propre incapacité à comprendre l’origine du problème, parfois pourtant d’une simplicité déconcertante.
Les cyber incidents
Souvent mineurs, de plus en plus régulièrement majeurs, ils surprennent encore tout le monde et ont une particularité : il ne suffit pas qu’un organisme soit attaqué pour déclencher une volonté de montée en compétence en interne. Beaucoup se sentent « sécurisés » une fois la crise surmontée, se disant « nous avons été touchés une fois, peu de chance de l’être une seconde fois ». L’aspect « invisible » de la menace pèse : un attentat terroriste est spectaculaire, le sang coule, les médias se déchaînent ; une attaque cyber est souvent silencieuse, les dégâts provoqués par certaines d’entre elles peuvent commencer longtemps avant d’être découverts, durer et coûter extrêmement cher. Cette croissance exponentielle des cyberattaques et leur sophistication permanente doivent nous alerter : nous devons réapprendre à vivre avec la menace, extérieure mais aussi intérieure.
« Le principal danger est placé entre la chaise et le clavier »
Souvent on entend que « le principal danger est placé entre la chaise et le clavier ». La sécurité aussi ! Peu importe la hauteur et l’épaisseur des murs d’une forteresse, un pan de bois aurait une efficacité équivalente si quelqu’un ouvre la porte de l’intérieur. Idem si une taupe est abritée dans ladite forteresse, des informations précises suffisent à la faire tomber. Tout système a ses failles, donc partir du principe qu’il tombera à un moment donné est l’attitude la plus responsable et sécurisante à adopter, si elle n’est évidente. Nous sommes intrinsèquement tous en charge de cette responsabilité car c’est bien nous, humains, qui devront sortir de cette crise, sinon indemne, plus résilients. Pour cela, un tableau des risques et menaces doit être brossé pour tracer un chemin de réflexion. Le rapprochement comme la différenciation de la cybercrise avec la crise « classique » devrait être abordé pour essayer d’en extraire une méthodologie d’approche spécifique avec une certitude : la réponse ne peut être uniquement technique.
Anticiper les risques cyber deviendra la clef
Anticiper deviendra la clef, savoir que tôt ou tard l’incident nous touchera. Cette anticipation doit tout d’abord être d’ordre juridique : l’Union européenne et la France en particulier se veulent pionnières en la matière en essayant de donner un cadre à l’« environnement cyber », chose délicate. Le pan technique n’est bien sûr pas à négliger, il est sur la ligne de front lors d’une attaque mais pas le seul. La transversalité de la cybercrise doit se retrouver dans la cellule de crise, technique et gouvernance deviennent alors indissociables. Si nous tâtonnons encore, la question des formations issues de nos expériences donneront des clefs aux acteurs de demain, d’où une nécessité d’entraînement à travers des simulations de gestion de crise cyber. Simulation = intégration de l’humain dans la réponse qui doit, pour fédérer et permettre de sortir de la crise, être organisée et efficace.
Cyberattaque : l'importance d'une communication de crise adaptée
Autre composante de celle-ci, la communication de crise. Extrêmement différente d’une communication de crise classique, elle doit impérativement s’adapter au contexte spécifique de la cybercrise. Tout ceci favorisera, une fois le retour à l’équilibre, le dessin d’un schéma de sortie de crise serein et permettra à l’organisme touché de recouvrer une pleine santé et d’organiser sa résilience à travers les retours d’expérience, indispensables même si une règle reste de rigueur : aucune crise ne se ressemble.
Le temps n’est plus où la question cyber était pensée en vase clos, elle doit s’ouvrir : à tous de s’en saisir.
Qui est Laurane Raimondo, notre intervenant cybersécurité?
Auteure des ouvrages Les Fondamentaux de la gestion de crise cyber, rédigé avec un panel d’experts (2022, Ellipses) et de La protection des données personnelles en 100 questions-réponses (2020, Ellipses), Laurane Raimondo a commencé sa carrière au Conseil de l’Europe, dans l’unité de protection des données, avant d’enseigner dans le master Relations Internationales de l’Un iversité Jean Moulin Lyon 3.
Recevant le Prix du Gouverneur militaire de Lyon pour ses travaux en 2019, puis de la Femme chercheure cyber du CEFCYS en 2021 et enfin du Livre FIC en 2022 pour son premier ouvrage, elle continue aujourd’hui l’enseignement et prend en sus la direction du MSc Relations Internationales et Cyberespace à l’Ileri Paris tout en restant advisor du CyberCercle, stratégiste en confiance numérique pour l’ONG iCON et dirigeant une entreprise de conseil spécialisée dans la protection des données et la cybersécurité.
Les « Lundi de la cybersécurité »
Organisés par Béatrice Laurent et Gérard Peliks, intervenant du MBA Management de la Cybersécurité Devinci Executive Education avec la logistique en présentiel ou en distanciel de l’université de Paris, les « Lundi de la cybersécurité » se tiennent un lundi par mois, de 18h à 20h. Entre 150 et 200 participants assistent et peuvent aussi, à la suite de la présentation, poser des questions aux intervenants. S’ensuivent des débats très intéressants entre experts du sujet traité.