top of page

Cyber : comment parler le DG couramment

Quand une crise cyber (grave) survient, le responsable de la sécurité du système d’information (RSSI) doit se couper en deux.


Le technicien règle les problèmes et le diplomate- soutien-pour- DG-stressé monte au dernier étage.


Conseils pratiques pour rester en vie.

Un homme mu, vêtu d'un veston-cravate s'adresse à des collègues ou despatrons lors d'une réunion.
Cyber : comment parler le DG couraremment

La crise cyber est souvent redoutée, à juste titre, par les directions générales (DG) tant la matière est complexe, touffue, jargonnante à souhait, et peut avoir naturellement des conséquences très graves pour la survie même de l’entreprise.


Le directeur général réquisitionne le RSSI non seulement pour qu’il résolve le problème, mais aussi pour qu’il le lui explique, qu’il éclaire les pistes de résolution, bref, qu’il l’aide à comprendre.


Une large gamme d’événements peut affecter le fonctionnement normal de l’entreprise et la conduire à

mettre en place une cellule de crise.


Il n’existe qu’une seule fonction dans l’entreprise qui concentre la quasi- totalité des événements potentiellement malveillants, déclenchés à distance, facilement et anonymement : c’est l’informatique.


Aucune autre fonction – direction des ressources humaines (DRH), finance, production, juridique, etc. – n’est dans cette situation.


Quand la crise cyber survient, c’est donc toute l’entreprise qui est attaquée. La direction générale a besoin de comprendre, sans être une spécialiste, pour prendre les bonnes décisions jusqu’au retour à la normale. La personne la mieux placée pour l’informer est le RSSI, à condition qu’il soit bilingue informatique- DG.


Le premier des impératifs pour le RSSI est de comprendre parfaitement le fonctionnement général de l’entreprise et où sont les enjeux majeurs. Et, bien souvent, la vision informatique ne suffit pas.

On se souvient de la cyberattaque NotPetya , qui a touché notamment un grand nom de l’industrie française. À l’heure du bilan, quelques semaines plus tard, le même jour, les informaticiens parlaient aux

assises de Monaco de la fin du monde et d’une crise absolument majeure, tandis qu’au même moment, la présidente du conseil de surveillance évoquait devant un parterre de patrons rassemblés à Bercy qu’il

s’agissait d’un incident certes fâcheux, mais qui n’était pas de nature à remettre en cause en quoi que ce soit l’existence même de l’entreprise.


En cas de crise informatique grave, mais qui n’a in fine qu’un impact limité sur la survie de l’entreprise,

parler de crise majeure,

c’est perdre la confiance de la DG.



Il est donc indispensable de bien comprendre où sont les vrais enjeux en allant plus souvent à la rencontre de l’équipe dirigeante et des patrons du risque, des métiers, de la finance et de la DRH.

 

Le deuxième impératif est de savoir s’exprimer clairement, de façon pédagogique, en présentant les enjeux, les risques, les délais et toutes les conséquences en aval d’une cyberattaque sévère avec précision et autorité, dans un langage compréhensible pour un Comex.




 

Enfin, il faut savoir accompagner dans le temps une direction générale en difficulté en l’éclairant en permanence sur la cinétique de résolution du problème. Combien de temps vont prendre la résolution de la difficulté et le rétablissement du service, de la qualité et de la réputation?

 

Ce besoin d’accompagnement peut-être assez facilement identifié en effectuant des exercices de gestion de crise en direction générale, donc sur table et en temps accéléré, en insistant sur le tandem DG-équipe technique et en faisant comprendre aux uns et aux autres que ce qui se conçoit bien s’énonce clairement.

 

À défaut d’accompagnement, le risque est de désorienter la direction générale d’une entreprise en cas de crise sévère et de prendre des décisions en sautant des étapes critiques, juridiques ou en communication interne ou externe, voire en cassant l’esprit d’équipe à l’intérieur même des effectifs.

 

Le bon moyen de progresser dans cette voie et sans doute d’organiser un premier exercice de gestion de crise DG, sur un thème technique, comme la cybersécurité, réalisé en temps accéléré. En effet, les scénarios complexes nécessitant une action soutenue dans le temps, la direction générale pose le problème de la réalisation d’exercices d’entraînement tant il est difficile de capter l’attention d’une équipe de direction générale au-delà de 1 h 30 min environ.


Il est donc souhaitable d’organiser un exercice en jouant, par exemple, deux jours de crise en une heure (des outils d’animation de gestion et d’exercices de crise le permettent), ce qui présente plusieurs avantages.

 

Le premier, bien entendu, est de réaliser un exercice complexe en un temps contraint, donc en se concentrant sur les principales décisions.

 

Le second est de forcer naturellement l’ensemble des participants à être très actif tant les décisions à prendre sont nombreuses. L’expérience montre qu’il n’y a pas un moment de repos. Accélérer le temps, c’est mettre de la pression.


Enfin, cette bonne pratique maintenant assez bien répandue dans les directions générales des grands groupes permet de réaliser des exercices DG sans douleur, notamment à des fins de conformité, comme l’exigeront de plus en plus les différentes réglementations touchant la gestion des risques et la cybersécurité. Ces différentes règles prennent toutes en compte la composante DG dans la gestion de crise, qui doit offrir toutes les garanties de confiance pour les certificateurs, donc les clients.


Enfin, un bon dialogue entre la direction générale et l’équipe de crise permet aussi de faire descendre le message apaisant d’une entreprise préparée, qui devient dans de nombreux cas une véritable valeur employeur très utile quand les recrutements se font de plus en plus difficiles.


La bonne compréhension des véritables enjeux au niveau de la direction générale et la clé. Seule cette compréhension permet d’éviter les faux pas, les malentendus et, en aval, les mauvaises décisions. Les différents acteurs de la crise doivent donc faire l’effort d’entrer en contact avec l’équipe de direction à froid, de s’approprier cette matière et d’élever le niveau du discours en conséquence. La direction générale accepte aussi de jouer des exercices de crise dans une forme adaptée, permettant ainsi une bonne coopération entre les différents acteurs.


Article rédigé par Vincent Balouet Vincent Balouet est le fondateur de Maîtrise des Crises Analyses En savoir plus https://www.maitrisedescrises.com/


COMPLÉMENTS

4 recommandations pour parler le DG courramment


  1. Comprendre où sont les risques et les enjeux majeurs pour l’entreprise.

  2. Bien s’exprimer, avec autorité et précision.

  3. Faire des exercices  réguliers en direction générale en temps accéléré.

  4. Profiter de ce bon fonctionnement pour mettre à profit la confiance dans l’entreprise.



pa



Comments

Formations disponibles

bottom of page