Vous ne pourrez empêcher la prochaine crise cyber, alors anticipez-la !

Comment se préparer à l’inattendu ? La crise cyber est un amplificateur de la somme des petites défaillances qui minent les organisations. Face à de tels risques, les dirigeants doivent s’approprier le processus de préparation à une cyberattaque. Ils découvriront à cette occasion les interconnexions qui structurent leur entreprise.

Son nom de code est « Blue OLEx 2019 ». Cela ne vous dit rien ? C’est l’intitulé d’une rencontre internationale inédite qui s’est déroulée à Paris à huis clos début juillet 2019 à l’invitation de la France et de l’Espagne. Il s’agissait d’un exercice sur table rassemblant les responsables des autorités nationales de cybersécurité des Etats membres de l’Union Européenne (UE), de la Commission européenne et de l’ENISA, l’agence spécialisée de l’UE en matière de sécurité numérique.  Sur la base de différents scénarii ces praticiens de la cybersécurité se sont exercés à coopérer lors de vastes campagnes de cyberattaques à l’échelle des Vingt-Huit.
Un tel exercice était une première pour ces experts de haut niveau. Pour qui ce fût un moyen d’identifier les axes d’amélioration, les points faibles et les modes d’intervention ad hoc.
La pratique opérationnelle est un révélateur efficace de la réalité des situations et de la capacité des parties prenantes à coopérer entre elles. Qu’en serait-il chez vous si une crise cyber survenait : paralysie d’un système d’information, chiffrement de vos bases de données, dysfonctionnements de vos équipements industriels… ? L’énoncé de cette liste peut sembler excessif mais ces techniques font désormais de la panoplie banale des cyberattaquants.
Et si des spécialistes étatiques de haut vol prennent la peine de s’entrainer à faire face à une agression numérique conséquente, on peut s’inquiéter de la modestie de la préparation constatée dans la plupart des entreprises.

Le pirate a le choix des armes

La pratique d’un « escape game » est un premier moyen efficace de se mettre en situation pour éprouver les tempéraments, tester les procédures et identifier les points de blocage dans une situation de tension qui survient de manière inopinée. Cette confrontation avec le réel permet de faire prendre conscience facilement de l’importance des systèmes d’information et de communication dans les modes de production et de commercialisation de nombreuses sociétés. Quels que soient leur taille ou leur domaine d’activité. « La première victime de la guerre, c’est le plan » disait Rudyard Kipling. Il en est de même lorsque l’on conçoit une feuille de route pour traiter une crise cyber : seul son maniement dans un cadre opérationnel permet de pointer les carences de l’organisation. Puisque le pirate bénéficie de tous les avantages de l’assaillant qui choisit sa cible, ses armes et son agenda. Si l’effet de surprise ne peut être totalement évité, c’est bien l’entraînement à la réponse à incidents qui va mettre les équipes de la cible dans l’état d’esprit et la position les plus adaptés pour limiter les effets de l’attaque.

Riposter sur la durée

Cette préparation exige de se faire accompagner par des experts de la cybersécurité en collaboration avec des consultants à même de s’adapter en fonction des métiers de l’entreprise. Car un large éventail de compétences sera sollicité : informatique, directions métiers, juristes, communicants… Et la crise peut durer voire se propager à plusieurs filiales, en France et à l’étranger. Cette capacité à travailler sur un temps long exige de disposer de ressources en nombre suffisant pour ne pas que la fatigue vienne amplifier les effets de l’attaque initiale.
Cette dimension rappelle que la réponse à une crise cyber est certes technique mais s’appuie également largement sur des capacités humaines.
On ne peut ni ne doit présumer de ses forces face à une menace cyber polymorphe et en constante évolution. L’entraînement reste la meilleure stratégie pour susciter les bons réflexes et la connaissance entre les équipes. A ce titre cet exercice constitue un outil de création de valeur pour l’entreprise qui sort déjà gagnante – en termes de cohésion et de mise à plat de ses processus - de la tenue de telles sessions d’entraînement.