A l’occasion du Forum International de la Cybersécurité, notre chroniqueuse Anne Doré analyse ce qu’il manque aujourd’hui à nos entreprises et à leurs dirigeants pour changer la donne en matière de gestion de crise cyber.
A lire aussi : Les Etats-Unis font de la cybersécurité une priorité nationale
Pourtant le constat est là et il suffit de suivre les statistiques et suivre la presse économique ou nationale pour comprendre que toutes les entreprises et organisations territoriales – qu’elles que soient leurs tailles – ont fait ou feront l’objet d’une attaque cyber. Pire, la récidive est possible même très probable puisqu’en pénétrant une fois au sein de votre organisation, votre adversaire a forcément collecter d’autres failles ou des informations donnant envie de revenir !
La question n’est donc plus de savoir quand une organisation sera attaquée mais si votre organisation sera prête à faire face et à gérer une telle crise !
Si l’existence de certains départements de gestion de crise au sein de certaines organisations peut rassurer, il est important de garder en tête le fait que la cyber sécurité n’est pas une crise comme les autres ! Outre le fait qu’elle exige une réaction rapide, pertinente et efficace, la réponse apportée peut varier selon la nature des risques générés et les scénarios de crise préalablement définis.
L’adversaire est organisé, souvent professionnel, et les enjeux sont économiques, financiers, industriels et, ou informationnels. La sophistication et la diversité des dispositifs mis en œuvre obligent à développer une défense organisée
Il est donc primordial que chaque entreprise anticipe et dispose de réponses propres aux risques métier préalablement validés.
Anticiper, préparer et gérer : le triptyque vertueux
La crise cyber a pour objectif de gérer une atteinte à des systèmes informatiques réalisée dans un but malveillant. Mais les conséquences des attaques numériques ne se limitent pas au cyberespace. Elles peuvent avoir des effets sur les personnes physiques – Cf. les attaques des CHU – ou des conséquences économiques ou industrielles (ex. production, supply chain).
Gérer une crise requiert un apprentissage permanent pour une résilience toujours plus forte afin de limiter l’impact et revenir en mode opérationnel normal dans les meilleurs délais.
L’apprentissage permanent est un des maître mots de la gestion de crise. Apprendre de ces expériences ‘fictives’ ou réelles pour se renforcer et développer la résilience de l’entreprise est un facteur clé de réussite pour mieux gérer la prochaine crise et sensibiliser toujours plus l’ensemble des collaborateurs, dirigeants inclus naturellement.
Mais comme nous l’avons décrit dans la ‘Méthode de gestion de crise’[1], cet apprentissage passe par la mise en place d’un cycle nominal consistant à anticiper, préparer et prévenir la crise et d’un cycle de gestion de crise. Ces deux cycles interviennent à des moments différents mais sont interdépendants et ont pour objectif commun d’améliorer en permanence la capacité de résilience de l’organisation.
Le cycle de gestion de crise, préalablement défini dans le cycle nominal, vise à déterminer la démarche à suivre en cas de crise. La priorité absolue est de contenir l’attaque pour préserver les ressources de l’entreprise et pouvoir basculer au plus vite en phase de remédiation afin de limiter les effets négatifs au maximum.
Cet apprentissage et la mise en place de cette dispositif vertueux résulte de l’efficacité et opérabilité du retour d’expérience (RETEX) à chaud et froid des exercices de crise et des crises elles-mêmes. Il en ressort forcément des améliorations stratégiques ou opérationnelles (RH, équipements, outils, soutien, organisation…) qui devront être injectées dans la gouvernance de l’entreprise et notamment celle de la gestion de crise.
Mais au-delà de cette approche vertueuse, chaque crise cyber doit être perçue comme une opportunité pour s’améliorer et d’accélérer sa transformation.
Pourquoi et comment faire de la crise une opportunité
Dans une étude publiée en avril 2020[2], le cabinet de stratégie BCG démontre que les entreprises les plus rentables depuis la crise de 2008, indépendamment du pays ou du secteur d’activité, ont traversé quatre phases : « la gestion de la turbulence, la stabilisation, la reprise et la poursuite de l’accélération ».
A l’issue de la crise, il faut donc posséder une vision claire et précise des points forts et des points faibles à renforcer pour les intégrer dans la conception et la réalisation de nouveaux projets ou de nouveaux produits. Cette démarche doit aller au-delà d’un retour à la gestion nominale de l’entreprise et doit être intégrée dans sa stratégie.
Dans son livre, Nassim Nicholas Taleb va d’ailleurs plus loin et affirme que les entreprises ne devraient pas être résilientes, pour éviter de revenir dans une situation d’avant crise. Les entreprises devraient être « anti-fragiles », à savoir qu’en situation « post crise », elles doivent être différentes de celle avant la crise, différentes de la situation nominale d’avant crise.
Le vrai enjeu pour rendre l’entreprise plus résiliente sont les failles identifiées, les usages nés durant la crise à implémenter en post-crise.
Par ailleurs, une crise est une opportunité de renforcer une image de marque, d’apporter une autre dimension à la gestion des ressources humaines ou de renforcer la relation avec ses partenaires et ses clients.
Le rôle clé des dirigeants : DG et membres du Comex en action
Force est de constater une nouvelle fois que la cyber sécurité comme la gestion d’une crise cyber requièrent une approche transversale et 360° et impactent la stratégie et le plan opérationnel et de développement de l’entreprise.
Le DG et les membres du Comex doivent donc veiller à ce que ces éléments soient intégrés dans la stratégie et le plan de développement de l’entreprise et être impliqués à tous les stades, de la préparation à la gestion à la prise et le RETEX.
En effet si une mauvaise gestion de crise peut alourdir immédiatement le bilan pour l’entreprise, il peut aussi avoir des conséquences pour les dirigeants qui pourraient se voir reprocher par les investisseurs d’avoir négligé ou sous-estimé l’ampleur et les conséquences d’une crise cyber.
La gestion de crise et sa préparation sont donc un volet à part de la gouvernance de la cyber sécurité et plus largement celle de l’entreprise.
[1] https://www.va-editions.fr/cybersecurite-c2x35356757
[2] https://www.bcg.com/fr-fr/publications/2020/crisis-spark-transformation-renewal.aspx