Pourquoi est-il possible de négocier lors de cyberattaque
La question est posée et, en fonction de l’interlocuteur qui répondra à celle-ci, la réponse variera peu. « Nous ne paierons pas. »
Alignement conscient ou non sur les éléments de langage habituellement utilisés par les autorités, les entreprises et les entités qui font face, pourtant, à un dilemme particulier.
Face à une cyberattaque où le chantage existe, il convient de revenir aux fondamentaux de la gestion de crise et, en particulier, à un outil méconnu : la négociation de crise.
Face à une cyberattaque où le chantage existe, il convient de revenir aux fondamentaux de la gestion de crise et, en particulier, à un outil méconnu : la négociation de crise.
En période de crise, la posture dérogatoire mobilisée se nomme la gestion de crise. Elle se caractérise par la mise en place d’une organisation dédiée composée d’une ou plusieurs cellules de crise.
Les attendus de cette organisation sont simples et clairs : gérer les impacts sur les personnes, les activités, l’image et la réputation, la responsabilité et, le cas échéant, l’environnement. Ce serait oublier la multitude de parties prenantes internes et externes impliquées dans la résolution, impactées de manière directe ou indirecte par l’attaque, à informer de la réalité de l’acte de malveillance.
Face à un acte de malveillance (une attaque cyber est, par définition, un acte de malveillance opéré par un ou plusieurs individus au sein d’une organisation constituée ou non dans le but d’atteindre un ou plusieurs objectifs), il existe plusieurs façons d’opérer et d’agir.
Une attaque cyber suit les mêmes grandes lignes que les modes opératoires des malveillants. Nous ajoutons bien entendu la dimension technique à cette attaque où la dimension humaine prend pourtant tout son sens. Le point de départ d’une attaque cyber est et restera toujours un être humain.
Celui qui appuiera sans hésiter sur la touche « Enter » pour lancer son attaque et attendre tranquillement la réaction de sa cible. Et la réaction de celle-ci est variée, variant de l’état de sidération à celui de déni, en passant ensuite par une vague d’émotions oscillant entre la colère et la peur des conséquences.
Cet attaquant sait également qu’en fonction de la cible visée et de son importance, les grands moyens vont être déployés pour minimiser les conséquences de son acte et essayer de lui faire commettre une erreur pour le repérer.
Il y a à ce jour une telle attractivité pour ce domaine qu’une littérature sans fin, des salons et des ateliers fleurissent de toute part, donnant à l’occasion un état des lieux de nos soi-disant forces et encore plus de nos faiblesses.
La négociation de crise n’est pas toujours invitée
à la table de la gestion de crise cyber.
Sans doute, car la discipline est méconnue. Sans doute parce que, pour beaucoup, elle se borne à la prise en compte de la demande de rançon. Sans doute aussi parce que la ligne stratégique affichée est « nous ne paierons pas ». Sans doute, enfin, parce que beaucoup pensent savoir négocier face à un cyberattaquant.
Négocier en période de crise ne s’improvise pas.
C’est une véritable expertise associée obligatoirement à une éthique simple et directe : expliquer à un malveillant (quel qu’il soit) qu’il ne peut pas faire ou obtenir obligatoirement ce qu’il désire malgré le rapport de force installé au début de la période de crise.
Et cela dans un cadre où la confidentialité est la règle, où le silence médiatique est la clé. Face à un acte de malveillance « cyberattaque », la gestion de crise ne peut seulement se résumer à une réponse technique.
Certes, celle-ci est importante dans la compréhension du périmètre affecté, voire infecté. Elle a pourtant des limites, car, même si l’attaquant laisse derrière lui quelques traces de son mode opératoire, la compréhension de son ou de ses objectifs n’est pas toujours prise en compte.
“ Le point de départ d’une attaque cyber est
et restera toujours un être humain. ”
Lilian Laugerat
Négocier en période de gestion de crise revient à expliquer à l’autre (dans ce cas l’attaquant) qu’il ne peut pas faire obligatoirement ce qu’il veut et que, si un accord doit intervenir, celui-ci s’effectuera selon certaines modalités.
La négociation de crise entre de plain-pied dans la partie communication.
Il ne s’agit ni de la communication de crise vers les médias ni de la communication en période de crise vers les parties prenantes touchées.
C’est un véritable moyen de créer un lien avec l’origine de l’attaque et d’en comprendre les objectifs. Négocier, c’est avant tout échanger, et pas seulement sur le montant de la rançon.
La vraie difficulté sera alors de décrypter le contenu des échanges. En effet, pas de son de voix, que des mots écrits de manière mécanique avec peu d’émotions palpables. Une sorte de monstre froid avec lequel il faudra pourtant dialoguer (le dialogue fait également partie de la négociation) tout en cherchant à comprendre quelles sont alors les véritables intentions.
Décrypter cet ensemble ne s’improvise pas.
Comprendre un auteur d’acte de malveillance demande
une ouverture d’esprit particulière et une acceptation complète
d’une situation inédite.
Ne pas mobiliser une compétence de négociation de crise dès le début d’une cyberattaque réduit une partie du champ des possibles. Ne surtout pas croire que la négociation de crise pourra tout résoudre. Comme toute discipline liée à la gestion de l’humain, c’est la perfection de l’imperfection.
La mobilisation de cette expertise permet, dans une grande majorité des cas, d’ajouter une variable supplémentaire à l’équation de gestion, voire de résolution de la crise.
S’improviser négociateur entre dans le registre de la faute à éviter. Elle décrédibilise la fonction et les futures possibilités offertes.
Négocier en silo en oubliant les principes de la
gestion de crise est également une erreur à éviter.
La négociation de crise s’inscrit donc véritablement dans la stratégie de gestion d’une crise cyber. Elle apparaît comme une option à l’instar de toutes les autres disciplines entrant dans le champ de la résolution ou, tout du moins, dans la gestion des multiples impacts et dans la communication vers les parties prenantes.
En d’autres mots, ne pas l’intégrer, c’est déjà créer un décalage dans la réponse à apporter.
Lilian Laugerat
Lilian Laugerat est un expert en sûreté et en gestion de crise. Il dirige le cabinet de conseils SOLACE, spécialisé dans l’analyse des risques sûreté et la posture de gestion de crise. Solace est une entité de Cecys Group, filiale du Groupe Goron. Lilian LAUGERAT a une expérience opérationnelle dans le domaine du renseignement et des interventions en zones sensibles. Il a été membre du Groupe d’Intervention de la Gendarmerie Nationale (GIGN) de 2000 à 2006, où il a occupé en particulier les fonctions de chef de la cellule de négociation de crise Il a également été instructeur OACI (Organisation de l’aviation civile internationale) pour la formation des négociateurs de crise à travers le monde.
En savoir plus : https://www.solace.fr/
COMPLÉMENT : LES POINTS CLÉS DE L’INTÉGRATION DE LA NÉGOCIATION EN PÉRIODE DE CRISE CYBER
Intégrer le négociateur ou l’équipe de négociation au sein du dispositif de gestion de crise dès le constat de la réalité de la cyberattaque.
Intégrer la négociation de crise au sein de la stratégie globale et non pas seulement comme un moyen pour négocier le montant d’une éventuelle rançon.
Préparer les hypothèses de travail en prenant en compte la totalité des impacts et les attentes de toutes les parties prenantes.
Valider les options favorables et défavorables avant d’engager une négociation avec le point de contact proposé.
INTERVIEW DE LILIAN SUR LA NEGOCIATION DE CRISE
Comentarios