Gérer les risques
Aujourd'hui et demain

Cyberprévention

Gestion de crise cyber : vers une gouvernance plus collaborative

À la suite du Covid et à l’heure du conflit russo-ukrainien, un nouvel état d’esprit se généralise dans les organisations pour faire face aux crises cyber. DG, DSS, DSI, RSSI et directions métiers se mobilisent selon des configurations adaptées à la typologie de la crise. Dans cette configuration, chacun à son rôle à jouer.

« La semaine dernière, la Russie a averti l’Occident que les cyberattaques contre ses infrastructures risquaient de conduire à une confrontation militaire directe, explique Kevin Bocek, vice-président de la stratégie de sécurité et du renseignement sur les menaces chez Venafi, un fournisseur de solutions de cybersécurité. Cela montre que les cyberattaques et les attaques militaires directes sont maintenant perçues comme une seule et même chose dans les conflits modernes. » Pour les organisations occidentales, le spectre de la menace se diversifie. Outre le terrorisme, la radicalisation et les risques climatiques, notamment avec la canicule précoce que nous subissons actuellement, le conflit militaire russo-ukrainien intensifie les problèmes de souveraineté alimentaire, énergétique, industriel, logistique et technologique déjà posés par la reprise post-covid. Quelles en sont les répercussions sur l’art de gérer les crises cyber dans les entreprises ?

la-russie-a-averti-l-occident-que-les-cyberattaques-contre-ses-infrastructures-risquaient-de-conduire-a-une-confrontation-militaire-directe

La Russie a averti l’Occident que les cyberattaques contre ses infrastructures risquaient de conduire à une confrontation militaire directe. © Yohan Marion / Unsplash

Des entreprises plus fortes, mieux préparées, plus efficaces

De fait, selon l’étude 2021 La gestion de crise des entreprises résilientes de Deloitte, 60 % des responsables de la gestion de crise estiment que les entreprises sont confrontées à davantage de crises aujourd’hui qu’il y a dix ans. Par ailleurs, sachant que 90 % des entreprises qui implémentent une organisation de gestion de crise le font après une crise. « Près d’un quart (24 %) des sondés cite l’efficacité de la direction et de la prise de décision comme l’un des défis majeurs de la gestion de crise auxquels est confrontée leur entreprise », note-t-on dans l’étude.

Ajoutons que se préparer en amont réduit sensiblement l’impact négatif d’une crise. À condition que la direction et les administrateurs s’impliquent dans la définition d’un plan de crise et qu’ils participent à des simulations. Sur ce terrain, 84 % des répondants déclarent que leur entreprise dispose d’un plan de gestion de crise, en plus des autres efforts de résilience que sont les plans de continuité des activités (PCA) et de gestion des incidents. En Europe, 80 % des personnes interrogées déclarent participer à des exercices de crise avec des tiers (fournisseurs, partenaires, clients…), examiner les plans de crise de leurs tiers ou les deux.

DSS, DSI, RSSI en mode collaboratif

« Les directeurs sécurité-sûreté (DSS) savent que la protection de l’entreprise passe par une sécurité maîtrisée, constate Stéphane Volant, président du Club des directeurs de sécurité des entreprises (CDSE). Ils travaillent donc désormais en bonne intelligence avec leurs collègues directeurs des systèmes d’information (DSI) et responsables de la sécurité des systèmes d’information (RSSI). » Ces professionnels de la gestion de crise s’emploient au quotidien à sensibiliser l’ensemble des collaborateurs et préparer en permanence l’entreprise aux pires scénarios et à imaginer l’impensable, à manager l’incertitude.

À cet égard, un nouvel état d’esprit se généralise dans les organisations : « Avec la crise du Covid, la guerre des égos entre DSS, DSI ou RSSI est vraiment dépassée. Les gens comprennent que chaque personne a son propre rôle à jouer dans la gestion d’une crise, souligne Franck Da Vitoria, DSS chez Tech Data, un distributeur grossiste en solutions numériques qui réalise 55 milliards de dollars de chiffre d’affaires et 22 000 collaborateurs, dont 900 en France (voir notre interview ci-dessous). Pour être opérationnelle, la gestion de crise doit être coconstruite et collaborative. » Pour illustrer ce nouvel état d’esprit, la première question des parties prenantes à la cellule sera : « Comment puis-je t’aider ? » En clair, l’approche collaborative de la gestion de crise vise en premier lieu à résoudre la crise puis à préserver l’entreprise. « Toute personne capable d’aider à remplir ces deux objectifs verra sa collaboration alignée sur celle du DSS et du président », reprend Franck Da Vitoria.

sebastien-viou-directeur-cybersécurite-produits-chez-stormshield

Sébastien Viou, directeur cybersécurité produits chez Stormshield. © Stormshield

PME et ETI : la nécessaire implication de la DG

« Dans un monde idéal, l’entreprise aura les moyens d’employer un DSS, un DSI et un RSS », avance Charles Broussaudier, directeur associé chez Adequancy, un cabinet spécialisé en management de transition. Mais l’approche de la gestion de crise cyber varie considérablement selon la taille et l’activité de l’entreprise. « Au mieux, la PME dispose d’un DSS si son métier réclame de mettre l’accent sur la sécurité-sûreté. Ou d’un DSI si son activité est fortement liée au digital, décrypte Sébastien Viou, directeur cybersécurité produits chez Stormshield, un éditeur français de logiciels cybersécurité, issu en 2013 du rachat et de la fusion par Airbus Defence and Space d’Arkoon Network Security et NetASQ. Dans les deux cas, la direction générale (DG) a un rôle moteur à jouer, autrement, rien ne fonctionnera. » C’est même un prérequis pour décrocher la certification ISO/CEI 27001 ‘‘Technologies de l’information – Techniques de sécurité – Systèmes de gestion de sécurité de l’information’’.

« Les deux priorités de la cellule de crise seront alors la sauvegarde et la restauration des données et des configurations des équipements du système d’information. Les entreprises pensent souvent à sauvegarder mais rarement à restaurer leurs données et leurs configurations ! D’où l’intérêt de tester ces procédures, poursuit Sébastien Viou. Sous l’égide de la DG, la cellule de crise va mobiliser, outre le DSS ou le DSI, les différents services afin de prendre les décisions les plus favorables. La gestion de crise s’oriente de plus en plus vers une gouvernance multi-métier. »

Erick Haehnsen

 

franck-da-vitoria,-dss-chez-tech-data

Franck Da Vitoria, DSS chez Tech Data. © Tech Data

Franck Da Vitoria (Tech Data) : « La configuration de la crise s’adapte à la typologie de l’incident »

Interview du DSS chez Tech Data, un distributeur grossiste en solutions numériques qui réalise 55 milliards de dollars de chiffre d’affaires et 22 000 collaborateurs, dont 900 en France.

Comment gérez-vous la gouvernance de la gestion de crise cyber ?

Notre gouvernance s’attache à la gestion de crise en général. Le cyber représente un des risques potentiels. Au niveau mondial, nous avons une première trame pour nous préparer à la gestion de crise avec les outils qui nous conviennent. Mais nous avons aussi des outils ‘‘régionaux’’ au niveau français. En France, nous avons constitué il y a trois ans une cellule de crise ‘‘respirante’’ qui mobilise un réservoir de sachants soit incontournables soit ponctuels selon la typologie de la crise.

Qui sont les parties prenantes de la cellule ?

Outre le DSS, le DSI et le RSSI, la cellule mobilise la DG, les RH, la communication interne et externe, les finances (pour chiffrer l’impact de la crise) ainsi que le marketing pour échanger avec les clients ainsi que les directeurs métier pour faire le point avec les branches qui seront touchées, dresser l’état des lieux et remonter l’information. C’est en cela que la cellule est ‘‘respirante’’ car il faut appréhender le sujet de la crise avec les bons intervenants.

Entre le DSS, le DSI et le RSSI, qui a le ‘‘lead’’ sur la gestion de crise ?

Le DSS. À partir de là, je m’entoure des personnes nécessaires afin de travailler de façon transversale par rapport au problème rencontré. La cellule fonctionne autour d’un axe stratégique qui se focalise sur le retour à la normale et la continuité d’activité. Et d’un axe opérationnel pour résoudre le problème technique sur le terrain.

Qu’en est-il de votre système de Mass-Alerting ?

Il sert uniquement à alerter les collaborateurs aussi bien par serveur voval, SMS, mails que par application smartphone. Son utilisation est préparée en amont grâce à des exercices organisés en collaboration avec le service communication. Il s’agit d’un travail d’adhésion bien perçu par le personnel.

La cellule de crise est-elle devenue complètement virtuelle ?

Elle est hybride : à la fois physique et distancielle. Mais depuis la crise du Covid, nous travaillons davantage à distance. La rapidité étant le maître-mot.

Qui met à la disposition de la cellule de crise les fiches de consignes à distribuer ?

Lorsque la cellule de crise se mobilise, un tableau de bord affiche tous les risques identifiés en amont dans chaque domaine. Pour chaque risque, dans chaque branche, il y a une fiche des premiers réflexes, une fiche guide de gestion de crise et une fiche communication. L’idée, c’est d’enclencher immédiatement les premières actions nécessaires pour commencer à respirer en situation de stress et ne pas être submergés par l’urgence.

En amont de la crise, qui conçoit, planifie et organise les exercices de simulation de crise cyber ?

Nous restons dans une démarche collaborative aux niveaux stratégique et opérationnel. Le DSS met en place l’exercice ainsi que la mobilisation de la cellule. Quant au DSI et au RSSI, ils contribuent à l’aspect opérationnel. Quels serveurs utiliser ? Selon quelle typologie de connexion ? Pour remonter quelles données, quelles explications ?

Incluez-vous dans la boucle un Risk Manager ?

En France, nous n’avons pas de solution assurantielle satisfaisante car, comme le recommande l’Agence nationale de la sécurité des systèmes d’information (ANSSI), les rançons ne doivent pas être payées aux cyberpirates. En clair, le crime ne doit pas être une source de profit. Cette recommandation a d’ailleurs été validée par le gouvernement. Évidement, la réparation du préjudice émanant d’une cyberattaque est bien plus onéreuse que le paiement d’une rançon du point de vue des assureurs. D’ailleurs, les pirates savent de mieux en mieux dimensionner le montant de leur rançon en fonction de l’entreprise. Les niveaux de rançon sont donc plus cohérents. Il faut savoir que les grands groupes internationaux peuvent disposer de couvertures assurantielles à l’étranger pour couvrir le risque cyber. Même en France. Ce qui avantage les grands groupes par rapport aux ETI et PME

Propos recueillis par Erick Haehnsen

Commentez

Participez à la discussion