Théâtre (et) Cyber

Même s’il y a beaucoup de Tartuffe et d’Harpagon dans le microcosme de la cybersécurité, il y a une différence fondamentale avec le théâtre. Certes, « il y a bien quelque chose de pourri au royaume d’Internet », et personne ne nie qu’une attaque ransomware peut-être une véritable tragédie pour une entreprise victime.

Mais fondamentalement, le théâtre classique obéit à la règle des trois unités qui est en totale opposition avec les caractéristiques des cyber-crises.

Unité de temps : L’action d’une pièce ne doit pas dépasser « une révolution de soleil »

Les cyberattaques, elles, sont à double temporalité. Les phases souvent invisibles de première intrusion, de repérage et de positionnement des acteurs malveillant au sein du Système d’Information (SI) peuvent durer plusieurs mois. De même, en cas de destruction de composants cœurs du SI, la reconstruction prendra également plusieurs mois.

Mais paradoxalement, l’attaque peut se jouer en quelques secondes ou minutes et la détection quasi-temps réel est clé pour bloquer l’intrusion ou la propagation au sein de son réseau. Cela explique pourquoi l’automatisation de la détection et de la réponse sont aujourd’hui une nécessité : la Direction des Systèmes d’Information (DSI) doit pouvoir dire à son ou sa responsable cyberdéfense « va, cours, vole et nous protège ! »

Unité de lieu : L’action d’une pièce doit se dérouler dans un même lieu

Le terrain de jeu des cyberattaques est l’entièreté du Système d’Information de l’entreprise victime, voire l’ensemble de sa chaîne d’approvisionnement (ses clients ou partenaires interconnectés). Contrairement à un ouragan, un incendie, ou même un accident grave, une crise cyber concerne plusieurs sites, potentiellement dans plusieurs pays ou continents. La vitesse des réseaux étant beaucoup plus rapide que le temps humain, il faut se préparer à une réponse globale : un dispositif 24h/24, des équipes locales dans chaque zone où l’entreprise opère. « To be or not to be prepared » fera alors la différence dans la capacité à endiguer la cyberattaque.

Unité d’action : tout tourne autour d’une action principale jusqu’au dénouement de la pièce

Malheureusement, une crise cyber peut avoir de graves conséquences métiers : arrêt du service pour les clients, arrêt des usines, impossibilité de facturer, communications coupées, etc. Autant de cellules de crises à gérer en parallèle, impliquant de multiples acteurs : ses clients, ses partenaires, les départements métiers, les autorités légales, la communication externe, la communication aux employés, le département IT …

Quand la Direction se lamente « Que diable faisons-nous dans cette galère ? », la DSI pourra toujours chercher des excuses « ô rage ! ô désespoir ! ô obsolescence ennemie », le RSSI lui, saura bien « qu’on ne badine pas avec la sécurité ».

Comment se préparer ?

La sécurité informatique n’est pas un but en soi : « il faut se protéger pour vivre, et non pas vivre pour se protéger ». C’est une recherche perpétuelle du compromis, du juste équilibre entre l’appréciation des risques et les moyens engagés afin de ne pas pénaliser l’agilité du business.

Mais c’est une démarche qui s’inscrit dans la durée, car les investissements devront suivre l’évolution de la menace. Ici, le cyber rejoint le théâtre, avec cette nécessité de se préparer, de répéter les mêmes procédures afin d’être prêt le jour J.

La responsable d’une association de CERT (Computer Emergency Response Team) me disait un jour : « Nous partîmes dix, mais par un prompt renfort, nous nous vîmes 1700 en arrivant au Campus Cyber ». Comme dans une troupe, la cybersécurité ne se fait pas seule : il faut des acteurs et de l’entraide.

« À la fin de l’envoi, je touche »

Enfin, pour que tout cela existe, il faut que les dirigeants soient conscients des risques cyber favorisés par un contexte géopolitique toujours plus tendu, et par un marché du cyber crime de plus en plus florissant. N’importe quel PDG, d’une TPE, d’une PME ou d’un grand groupe doit être sensibilisé, car « pour grands que soient les rois, ils sont ce que nous sommes : ils peuvent se tromper comme les autres hommes. »