LA CYBERCRISE UN CAUCHEMAR ?... Comment s’y préparer ? Comment la piloter ? Comment en sortir plus robuste ?
L’année 2020, et ce début d’année 2021 a consacré une augmentation drastique des cyberattaques touchant les organisations privées et publiques. Face à des situations de cybercrise où les systèmes bloqués et les données volées provoquent souvent la sidération, durant les premiers moments, des équipes dirigeantes, il convient de s’interroger sur les stratégies permettant de limiter l’impact de l’événement (autant que faire ce peu) sur les plans humains, matériels, socioéconomiques, environnementaux, réputationnels ; assurant de continuer l’activité puis de la reprendre au plus vite.
1. COMMENT S’Y PRÉPARER ?
1.1 ANTICIPATION
La question pour les organisations publiques et privées n’est plus de savoir si elles vont subir une cyberattaque ? Mais plutôt quand et comment cette cyberattaque pourrait se produire et les faire basculer dans la cybercrise?
Les circonstances et les conséquences d’une cyberattaque peuvent-elles être anticipées ? C’est-à-dire imaginées par avance de manière à préparer l’organisation, les actions et les procédures destinées à en atténuer l’impact.
Là réside l’enjeu essentiel de la démarche anticipative à mettre en place.
Cette démarche repose sur trois étapes clés :
· La première étape consiste à collationner l’ensemble des informations sur les cyberattaques ayant touché les organisations comparables ou relevant du même secteur d’activité.
· La seconde étape vise à décrire les scénarii possibles de cyberattaque :
o Les plus probables en fonction des vulnérabilités identifiées.
o Les plus dangereux relativement aux conséquences les plus importantes.
· La troisième étape repose sur la planification du dispositif de gestion et communication de crise à mettre en place : son organisation, son fonctionnement, ses objectifs en matière de continuité d’activité et de reprise d’activité en priorisant les infrastructures et les applications considérées comme critiques voire vitales.
1.2 DÉMARCHE
Cette démarche s’inscrit préférentiellement dans une approche globale des crises pouvant impacter les ressources et fonctions critiques de l’organisation cible.
L’identification et la hiérarchisation des risques pouvant menacer l’organisation fera alors apparaître en bonne place le risque cyber comme un risque majeur, voire stratégique.
L’organisation de crise à construire pour piloter la cybercrise viendra s’insérer dans un dispositif de gestion et communication de crise à établir, en amont, sur une architecture modulaire et agile au tour de fonctions standards (direction, secrétariat, communication) et ad hoc (anticipation/coordination) rassemblant les compétences requises pour traiter l’événement (DSI, CISO, DPO) et ses conséquences (fonctions opérationnelles et supports impactés.
2. COMMENT LA PILOTER ?
2.1 MONTER EN PUISSANCE - CONTINUER L’ACTIVITÉ - COMMUNIQUER
Lors d’une cybercrise, les cybermalveillants vont détériorer, rendre inopérants, inaccessibles, les systèmes d’information pilotant les activités opérationnelles et/ou supports.
Face à la sidération des premiers instants vécue par les dirigeants, la stratégie va se construire selon trois axes :
· Le premier axe se concentre sur la montée en puissance du dispositif de gestion de crise. Pour cela, il s’agit de qualifier l’événement notamment en ce qui concerne le bilan sur les systèmes d’information paralysés et déconnectés par sécurité, alerter les membres de la cellule de crise, rassembler les expertises internes et externes requises pour traiter l’événement sur le plan de ses causes et de ses conséquences, faire un premier point de situation, définir un objectif, lancer les actions.
· Le deuxième axe s’intéresse aux mesures de continuité d’activité à déployer jusqu’au rétablissement complet des systèmes d’information dégradés par l’attaque.
· Le troisième axe, fondamental, consiste à appuyer les actions de pilotage la crise et de continuité d’activité par une stratégie de communication cohérente sur les plans internes et externes en vue d’expliquer, rassurer, donner des perspectives à toutes les parties prenantes victimes des effets de la situation.
2.2 QUELS SONT LES SCÉNARII ?
En salle de crise, physique et/ou virtuelle (via une solution de gestion de crise ou un outil de visioconférence), après le premier bilan de l’attaque effectué, il convient d’imaginer rapidement les scénarii possibles (le plus probable, le plus dangereux) en fonction des conséquences évaluées, des cibles touchées, des hypothèses calendaires de rétablissement des systèmes d’information et de retour à la normale.
2.3 MATRICE SWOT
La matrice SWOT (strengths, weaknesses, opportunities, threats) est alors utilisée pour :
· Analyser les forces, les faiblesses de l’organisation attaquée face aux menaces identifiées que fait peser la situation sur l’organisation.
· Déterminer les actions visant à atténuer les faiblesses et contrer les menaces.
2.4 STRATÉGIE - DYNAMIQUE DE CRISE
Le pilotage de la crise se déploie alors via une stratégie visant :
· À la cohérence et la coordination des actions de sortie de crise avec la stratégie communication déployée pour les appuyer.
· Au feedback permanent avec l’ensemble des parties prenantes internes et externes.
· À l’anticipation systématique des phases suivantes de la dynamique de la crise (une crise comporte systématiquement trois phases : URGENCE/SAUVEGARDE, STABILISATION, SORTIE DE CRISE/RÉSILIENCE) notamment en ce qui concerne, les mesures de continuité d’activité et de reprise d’activité, les actions de communication.
2.5 COMMUNIQUER EN TROIS PHASES
Dans cette optique, la stratégie de communication se structure en trois phases :
· Dès la phase d’URGENCE/SAUVEGARDE, la stratégie de communication externe et interne est élaborée pour les trois phases de la crise et lancée pour la première phase.
· La stratégie de communication est ensuite déployée puis adaptée en fonction des évolutions de la situation en ayant le souci constant d’anticiper la phase suivante.
· Lors de la phase de RÉSILIENCE, la stratégie de communication post crise est élaborée selon trois temps : court terme, moyen terme, long terme.
3. COMMENT LA PILOTER ?
4 PRINCIPES
Comme dans toute crise pour garantir son caractère vertueux et efficient le pilotage de la cybercrise doit satisfaire quatre principes :
3.1 PRINCIPE DE COORDINATION
Le principe de coordination s’attache à synchroniser l’ensemble des actions de maîtrise et de sortie de crise entre les différents protagonistes :
• En interne, entre les départements du siège avec les échelons régionaux et locaux.
• En externe, avec l’ensemble des partenaires.
3.2 PRINCIPE DE COMMUNICATION
Le principe de communication veut que la communication de crise se déploie de manière cohérente en direction des parties prenantes internes et en externes.
3.3 PRINCIPE D’ANTICIPATION
Il s’agit là, sans doute, du principe majeur. Souvent cité, mais rarement explicité, ce principe repose sur trois axes :
• Le recueil, l’analyse, la qualification, le classement des informations.
• L’imagination des scénarii de crise les plus probables et les plus dangereux.
• La planification des actions et des ressources requises pour faire face aux scénarii critiques (scénarii à fort impact et probabilité).
3.4 PRINCIPE DE SIMPLICITÉ organisationnelle et opérationnelle
Ce principe prône la simplicité dans l’organisation et le fonctionnement du dispositif de gestion de crise.
La simplicité dans l’organisation est instaurée par le recours à une organisation de crise souple et modulaire autour de fonctions standards (DÉCISION, SECRÉTARIAT, COMMUNICATION) et d’une fonction ANTICIPATION-COORDINATION modulaire regroupant les expertises nécessitées par la situation.
Le corpus documentaire attaché (plans, guides, manuels) doit demeurer simple et pratique.
La simplicité dans l’action repose aussi sur l’utilisation d’une méthode d’aide à la décision permettant de réfléchir collectivement une situation pour déterminer un objectif de maîtrise et de sortie de crise.
4. COMMENT SORTIR DE LA CYBERCRISE PLUS ROBUSTE ?
Comment sortir plus robuste d’une expérience aussi néfaste ? Comment transformer en opportunité une situation, a priori défavorable. Les Chinois qui utilisent l’idéogramme « Wei-ji » qui signifie à la fois « danger » et « opportunité » pour désigner la crise nous montrent la voie à suivre.
Ainsi, dans toute crise résident des opportunités qui se révèlent essentiellement de deux ordres :
· D’ordre opérationnel en capitalisant sur le plan de l’organisation de gestion de crise et de la continuité d’activité à partir d’un retour d’expérience conduit, formalisé et documenté dans le mois qui suit l’événement.
· D’ordre réputationnel, en communiquant sur la maturité et les enseignements hérités de l’expérience via un plan de communication post crise à déployer sur les courts, moyens, longs termes.