top of page

La crise cyber à 360°, sinon rien…

En 2017, en tant que négociateur au GIGN, je gère le premier ransomware (rançongiciel) pris en charge par la Gendarmerie et je vais découvrir la « tarte Tatin » de la cybercrise.


Je mets le doigt dans un engrenage qui va, contre l’avis de ma hiérarchie de l’époque, me pousser à gérer la crise de manière systémique en outrepassant mes prérogatives de départ…


Un homme avec un casque de réalité virtuelle appuie sur une vitre tactile. Au centre de l'image une sphère de connection. Autour du cercle les inscriptions suivantes : Big data et une série de chifre avec décimals
La crise cyber à 360°, sinon rien

Dans le récit qui va suivre, toute ressemblance avec des organisations, des personnes ou des faits réels serait absolument fortuite… 🙂


Bordel organisé


Il est 7 h 30 du matin, un samedi, et l’incident informatique qui bloque la production et la prise de rendez-vous de cette entreprise est technique. Il touche toutes les branches de la société et, par extension, ses clients et fournisseurs.


Les dirigeants sont dans le brouillard, ils posent des questions auxquelles ils n’auront pas, dans l’immédiat, de réponses. Ce qui est censé ressembler à une cellule de crise est plus proche d’une scène de ménage professionnelle.


Les émotions sont aux commandes; c’est normal dans ces moments-là, et nous ne sommes qu’à la quinzième minute après que le responsable informatique eut exposé l’ampleur des dégâts.


Un dirigeant demande au responsable commercial de se préparer à contacter les clients et les fournisseurs, et au directeur des opérations de mettre en œuvre les plans de continuité des activités (PCA).


Seul hic, toutes ces informations sont sur les ordinateurs, qui sont eux-mêmes inaccessibles…


Qu’à cela ne tienne, l’assureur arrive et pose une somme importante pour couvrir les pertes et, surtout, pour payer la rançon de 1 million d’euros en Bitcoin demandée par les pirates informatiques. Les actionnaires demandent au PDG de régler le problème rapidement. Ce dernier se tourne vers son directeur de la sécurité de l’information, lequel doit faire face à une myriade d’acteurs techniques qui ont autant de questions que de réponses et qui ne sont pas en mesure de donner un délai de redémarrage des opérations naturellement.


Là-dessus, la responsable du service des communications demande ce qu’il faut dire précisément en interne et en externe, car ça commence à parler dans les unités de production, et deux journalistes ayant eu vent d’une cyberattaque ont appelé le standard du siège.


Le responsable du service juridique le met en garde au sujet du discours à produire, car, dit-il, nous sommes tenus par des contrats qui font en sorte que notre responsabilité pourrait être engagée en ce qui concerne notre gestion de l’incident.


La tension est à son comble…


Toute la souplesse de l’organisation se cristallise au fil des minutes et des mauvaises nouvelles…


La crise « technique »

ne trouvera d'issue favorable

que par une bonne gestion humaine.


Mais voyons plutôt ce qui aurait pu être mis en place en amont pour éviter d’en arriver à un point où la résilience d’une organisation se rapproche de 0.



Charité bien ordonnée commence par soi-même


Se préparer pour faire face à une crise cyber se limite souvent à donner du budget à son responsable des technologies de l’information (TI), à donner une formation de deux jours par an au comité de direction (CODIR) et à charger la personne responsable de la responsabilité sociétale de l’entreprise (RSE) (environnement, bien-être au travail, etc.) de mettre en place des PCA.


Être réellement prêt est une autre paire de manches… Pour cela, il faut avoir :


  • Une doctrine et un plan de gestion de crise uniformes dans l’organisation;

  • Un organigramme de cellule de crise et un processus de déclenchement de cette dernière;

  • Une chaîne d’alerte et des personnes d’astreinte bien convenues;

  • Les documents essentiels (PCA, liste clients/fournisseurs) déconnectés du réseau et accessibles;

  • Des canaux de communication clairs et prêts à l’usage en cas de crise cyber (téléphonie, visioconférence);

  • Une expérience pertinente, soit avoir vécu au moins une fois par an un exercice majeur de gestion de crise cyber.


Conclusion


Il y a une réelle différence entre se préparer et être prêt. Malheureusement, on l’apprend souvent à ses dépens lors d’un incident réel. N’attendez pas d’avoir des moyens considérables ou de pouvoir organiser un exercice majeur avant de commencer à structurer votre gestion de crise.


Les bons réflexes et les bonnes pratiques peuvent se mettre en place de manière simple, à petite échelle au départ pour les tester. Ils pourront ensuite être dupliqués au sein de l’organisation tout entière.

Nul besoin d’être une grande entreprise pour avoir un plan de gestion de crise, car c’est l’adaptabilité de la structure qui assurera sa survie en cas d’incident majeur… quelle que soit sa taille.


Il y a trois façons de traverser une crise : s’éteindre, s’abîmer, s’améliorer.


Choisissez votre camp!


Article rédigé par David Corona

David Corona, expert en gstion de crise et en négociation, est un ex-négociateur du Groupe d’intervention de la Gendarmerie nationale (GIGN) et cofondateur de l’agence In-Cognita, spécialisée en gestion de crise cyber et en négociations à fort enjeu.



COMPLÉMENTS :


LES 4 PILIERS

Pour aller plus loin et en même temps se rapprocher de l’essence de la gestion d’une crise cyber, il faudrait structurer son organisation de crise selon les piliers suivants :


  1. Pôle Décisions (gère la stratégie et les conséquences des actions pour piloter la crise);

  2. Pôle Opérations (constitue le bras armé des décisionnaires sur le terrain);

  3. Pôle Coordination (gère les interactions au sein et en dehors de la cellule de crise, organise les points de situation et la logistique);

  4. Pôle Chronologie (représente la main courante de la crise et servira pour le retour d’expérience et/ou l’exploitation judiciaire des actions et des prises de décision).


Un poste pour chacun et chacun à son poste. Une cellule de crise se déclenche en comité restreint et s’étoffe au fur et à mesure des événements afin d’éviter la cacophonie de départ.


On peut donc y ajouter par la suite et dans un temps court les responsables des communications, des finances, des ressources humaines, de la sûreté/sécurité, juridiques…


Le cas échéant, il est judicieux de se faire accompagner de manière périphérique par des spécialistes de la gestion émotionnelle et psychologique ainsi que par un(e) négociateur(-trice) au besoin.


Mais, dans tous les cas, lors du premier tour de table et jusqu’au dernier, le dirigeant devra parler en dernier afin de ne pas inhiber les collaborateurs, de pouvoir bénéficier de leur libre parole et ainsi d’avoir un maximum d’éléments pour prendre ce qu’il estime être la bonne décision.



LES 5 CONSEILS DE LA CRISE CYBER


  1. Respirez avant de vous jeter dans l’action, vous allez avoir besoin de tous vos neurones et d’un recul suffisant pour vous engager correctement dans la crise.

  2. Ne répondez pas aux hackers (pirates informatiques) en cas de demande de rançon. Vous le ferez éventuellement quand vos équipes seront réunies et prêtes à agir.

  3. Mettez en place une structure de gestion de crise au sein de votre organisation (doctrine, chaîne d’alerte, coordination, décisions, chronologie, documents essentiels déconnectés du réseau et accessibles).

  4. Agissez aussi vite que possible et aussi lentement que nécessaire. L’émotion n’est pas un bon pilote dans la crise.

  5. Entraînez-vous en équipe aussi souvent que possible lors de cas fictifs inspirés du réel et tirez-en des enseignements qui doivent si possible se transformer en actions correctrices.



Comentarios

Formations disponibles

bottom of page