Ecrit en collaboration avec Chloé Chabanol, Senior Manager Cyber et Aurélie Ceyrat, Senior Consultant Cyber.

Face à la montée en puissance des risques cyber et à l’inflation règlementaire gravitant autour de la cyber-résilience, nombreuses sont les entreprises à s’interroger sur les moyens dont elles disposent pour mieux détecter, mieux prévenir et mieux lutter contre les cyberattaques. La clé de la résilience réside pour nous dans une bonne préparation et notamment dans la mise en place d’exercices de simulation de crise. Ces exercices d’entrainement permettent à la fois de répondre aux exigences de mise en conformité avec la règlementation, de (re)positionner la cyber au niveau stratégique et global d’une entreprise et enfin d’apprendre à gérer des situations complexes, dans un environnement mouvant et sans visibilité.

S’entraîner… pour répondre à ses obligations

Nous assistons depuis quelques années à une multiplication de textes officiels visant à rendre les entreprises plus résilientes, notamment face aux risques cyber. Pour démontrer qu’elles sont en règle, les entreprises doivent fournir des preuves de mise en conformité avec l’ensemble de ces textes. Réaliser un exercice de crise cyber permet de générer des preuves de mise en conformité et donc de répondre à plusieurs exigences règlementaires en une seule fois.

S’entraîner… pour repositionner la cyber au bon échelon

Les problématiques cyber sont traditionnellement incarnées en France par un RSSI (Responsable de la Sécurité des Systèmes d’Information), dont le périmètre est encore, très généralement, purement IT. Il est pourtant fondamental de comprendre que la cyber va bien au-delà d’une dimension purement opérationnelle et technique, et englobe des enjeux beaucoup plus vastes – atteinte à l’image, organisation de l’entreprise, questions juridiques, assurances à mettre en place, communication interne et externe, RH etc. Finalement, toute l’entreprise est concernée : les métiers, les fonctions support ainsi que le board.

Les exercices de gestion de crise cyber aident les entreprises à prendre conscience de ces multiples implications, à la fois horizontales et verticales et donc à repositionner la cyber à un niveau plus stratégique et plus global de leur organisation. Concrètement, il s’agit de repenser la fonction RSSI pour que celle-ci soit à même, en cas de crise, d’orchestrer l’ensemble de ces parties prenantes, de dialoguer aussi bien avec des opérationnels qu’avec des décideurs (Directeur Général, Directeur des Affaires Financières, Directeur des Ressources Humaines…) et d’avoir le positionnement hiérarchique correspondant à l’importance de ces responsabilités. Il s’agit également de (ré)investir le top management : grâce aux exercices de crise, le COMEX ou le CODIR prennent la pleine mesure des enjeux et de la portée d’une crise cyber et sont donc logiquement plus disposés à consacrer davantage de moyens humains, financiers et techniques à la lutte contre la cybercriminalité.

S’entraîner… pour apprendre à gérer l’inconnu

Patrick Lagadec, chercheur français spécialiste de la gestion du risque et de la gestion de crise, estime que « les exercices de simulation sont indispensables pour préparer nos dirigeants à savoir appréhender une situation où les repères disparaissent  »[1]. Ceci est particulièrement vrai en ce qui concerne les crises cyber. Confrontées à des types d’attaque encore relativement nouveaux, peu préparées et surtout très contraintes, en particulier sur le plan légal, les entreprises qui tentent de se défendre doivent apprendre à agir selon la « théorie du moindre mal » et à accepter que chaque décision aura à la fois un impact positif et un impact négatif. En effet, gérer une cyberattaque revient à être confronté à une suite continue de prises de risque, d’arbitrages très complexes et de dilemmes cornéliens (paie-t-on la rançon demandée pour déchiffrer les postes de travail ou serveurs infectés sans certitude que les hackers tiennent parole ? Doit-on couper l’accès à Internet pour stopper une exfiltration de données, au risque de bloquer des applications stratégiques pour le business ?…). Cela implique une vraie résilience sur le plan comportemental mais aussi organisationnel : les décideurs doivent être entourés des bons conseillers qui sauront anticiper et accompagner, dans tous les domaines, les conséquences de chaque décision prise.

Au-delà de la pure mise en conformité, les exercices de gestion de crise cyber sont donc un moteur puissant pour (ré)investir le top management et un sponsor concret permettant le repositionnement de la cyber au niveau stratégique d’une entreprise.

[1] « Les exercices de simulation, une voie essentielle d’apprentissage », La Lettre des Cindyniques, n° 34 (2001).

Pour en savoir plus sur le sujet, n’hésitez pas à me contacter.