Emmanuelle Hervé : « Il faut avoir une culture de la crise tout court. La cybercrise n’est qu’une extension plus récente »

A votre avis, qu’est-ce qui distingue une cybercrise d’une crise de facture plus « classique » comme une pollution, une mise en cause publique, un accident, etc. ?

Emmanuelle Hervé : En termes de pure gestion de crise, il n’y a pas véritablement de distinction. En revanche, il y a un point spécifique à cette dernière : l’entreprise est avant tout perçue comme une victime là où dans une crise classique, elle est très souvent un acteur mis en cause pour d’éventuelles négligences. C’est un point important à intégrer.

Évidemment, s’il s’avère que la cyberattaque a été rendue possible à cause de graves défaillances internes, d’un mauvais dispositif de protection informatique ou d’une faute humaine, la posture ne pourra plus être la même. Il ne faut en tout cas jamais perdre de vue que la cyberattaque met en jeu la survie de l’entreprise, dans le monde. 1/5^e des entreprises touchées sont au bord de la faillite.

Les médias se font de plus en plus l’écho de cyberattaques qui paralysent des hôpitaux, des entreprises de toute taille, des organismes publics, des écoles. Observez-vous également une recrudescence chez vos clients ou ceux qui vous contactent sur le sujet ?

Emmanuelle Hervé : La recrudescence s’est surtout produite autour des années 2017/2018 où les cas ont commencé à significativement se multiplier. Ce qui a évolué, c’est la typologie des demandes que je peux recevoir. Auparavant, il s’agissait essentiellement de demandes à chaud où la cybercrise vient d’éclater.

Dorénavant, ce sont plutôt des demandes à froid, hors contexte de crise déclarée avec des besoins de formalisation des procédures, de formation, d’évangélisation et de simulation. Depuis la pandémie du covid-19, les cybercrises se sont en somme « banalisées » au même titre que les rappels de produits.

Pourquoi devient-on une cible ?

Emmanuelle Hervé : On ne devient pas une cible. On est une cible potentielle en permanence. Évidemment, il y a des secteurs d’activité et même des pays plus ciblés que d’autres. Les entreprises financières basées au Luxembourg ou en Suisse sont par exemple particulièrement exposées aux attaques pour dérober des données qui serviront de monnaie d’échange pour payer une rançon. Les sociétés de secteurs sensibles comme l’armement, la sécurité, la tech sont également dans la ligne de mire. Les assauts peuvent provenir d’organisations étatiques.

Mais la plupart du temps, ce sont des structures mafieuses (souvent russes ou italiennes) qui lancent sans discontinuer des attaques jusqu’à trouver une faille dans un système informatique, s’y engouffrer et exiger une rançon. Cela peut survenir très vite, en l’espace de quelques minutes à l’occasion d’un transfert de serveur, d’un changement de pare-feu, de l’intégration d’un nouveau sous-traitant ou tout simplement d’une erreur humaine qui a été abusée par une attaque par phishing.

Quels sont les typologies de cyberattaques les plus récurrentes ?

Emmanuelle Hervé : Les outils peuvent éventuellement varier en termes de complexité et de chiffrage mais l’attaque fonctionne généralement selon une même trame. D’abord une intrusion externe dans le système informatique puis une application professionnelle commence à ralentir soudainement (ou se bloque) et cela s’étend à un département puis un site puis une entité voire un pays entier. C’est le signal d’alarme où il convient de débrancher immédiatement et d’isoler les systèmes informatiques corrompus par un virus.

En règle générale, cela se traduit par une fuite de données avec une demande de rançon à la clé auprès de l’entreprise. Une chose à savoir : les données subtilisées n’ont pas toutes le même niveau de sensibilité et d’impact légal. S’il est question par exemple de plans de construction d’un bâtiment ou d’un dispositif de lancement marketing, l’entreprise va être handicapée mais elle ne risque pas les sanctions qui sont prévues en cas de vol de données personnelles relatives à des collaborateurs, des clients ou des patients. La Cnil peut alors infliger de sérieuses amendes allant jusqu’à 4% du chiffre d’affaires annuel mondial.

Comment peut-on parvenir à instaurer une culture de la « cybercrise » et notamment convaincre le PDG et son comex d’intégrer le sujet comme une priorité absolue ?

Emmanuelle Hervé : Il faut avoir une culture de la crise tout court. La cybercrise n’est qu’une extension plus récente. Il existe encore des organisations qui se croient totalement à l’abri des attaques parce qu’elles ont lourdement investi dans des systèmes de protection et de sécurité. C’est indispensable mais cela n’empêche pas les assauts des pirates qui parfois réussissent quand même leur tentative d’intrusion. I

Il faut absolument éviter l’attitude qui consiste à renvoyer toutes les responsabilités à la DSI. Il est vrai que l’univers informatique est abscons pour la plupart des personnes, y compris les grands dirigeants mais il faut s’emparer de la question. A noter aussi que les DSI ne sont pas toujours membres d’un comité exécutif. Ce qui les rend moins audibles sur des problématiques de sécurité informatique pourtant fondamentales.

Il est nécessaire d’opérer un patient travail de sensibilisation et de formation qui ne reste pas confiné à la seule DSI mais aussi à d’autres fonctions comme la communication, le juridique, le top management. Enfin, durant une cybercrise ouverte, il est indispensable d’avoir un officier de liaison entre les opérationnels à la manœuvre pour résorber l’attaque informatique et les membres de la cellule de crise stratégique qui doivent prendre les décisions qui s’imposent. Ce rôle essentiel permet de fluidifier le dialogue, de rendre compréhensible certains aspects techniques et d’arbitrer en termes de priorités.

Quelles sont les différentes catégories de simulation de cybercrise qui sont disponibles pour sensibiliser et former les différents acteurs clés de l’entreprise ? A quelle fréquence faut-il idéalement répéter l’exercice d’autant plus que les équipes changent avec le temps ?

Emmanuelle Hervé : Dans un premier temps, il convient de se préparer à froid en identifiant les seuils déclencheurs de l’ouverture d’une cellule de crise puis rédiger les procédures de travail en cellule de crise. Ensuite, il faut expliquer le plan de crise et former les personnes concernées. Cela peut passer par trois grands genres d’exercices. Le premier se passe « sur table » selon l’expression consacrée. Les collaborateurs vont plancher sur un exercice de cybercrise en reprenant la méthode pendant deux à trois heures. Cela permet de bien s’approprier les différentes étapes prévues dans le plan de crise.

Ensuite, on peut passer à un deuxième niveau plus exigeant et plus stressant où les participants se retrouvent confrontés à une cybercrise en temps accéléré pendant quatre à cinq heures. Là, ils vont devoir agir et décider comme si c’était la réalité avec des intervenants qui jouent des rôles de journaliste, d’élu politique, de préfet, de client, etc. La liste n’est pas exhaustive.

Enfin, il y a le niveau grandeur nature où un scénario de crise est décliné sur le terrain dans la vraie vie avec arrêt de certaines application et activation de la cellule opérationnelle. Cela peut durer d’un à trois jours selon le cas traité.

Jusqu’à quel niveau de transparence faut-il aller dans la communication autour de la cyberattaque ? Faut-il tout dire ou ne rien dire tant que le problème n’est pas vraiment maîtrisé ?

Emmanuelle Hervé : Il faut d’abord très vite acter le problème rencontré et en parler. D’abord aux autorités comme l’Anssi, mais également aux différentes parties prenantes : les collaborateurs, les clients et les médias. Tout en prenant garde à ne pas dévoiler certains éléments confidentiels qui doivent le rester pour des raisons légales. Idéalement, la communication destinée aux médias devra être une tactique alignée avec celle déployée pour contrer le pirate.

Un autre point auquel certaines entreprises sont parfois réticentes : parler aux experts cyber reconnus. Ils peuvent être pourtant des alliés très utiles et même faire gagner du temps grâce à leur connaissance pointue des différents cas de cybercrise qui se sont déjà produits.

Après une cyberattaque, doit-on faire part de cette expérience ? D’abord en interne pour apprendre et renforcer les mesures préventives mais aussi en externe comme Saint-Gobain n’a pas hésité à le faire en 2017 après les dégâts du rançongiciel NotPetya ?

Emmanuelle Hervé : On a coutume de dire que l’idéogramme chinois qui correspond au mot « crise » est la juxtaposition de deux autres idéogrammes signifiant « danger » et « opportunité ». A mon sens, il est utile de partager l’expérience vécue dès lors que la cybercrise est réglée. C’est même faire preuve de professionnalisme au sein de son écosystème et cela permet à chacun d’être rassuré et également d’apprendre et d’améliorer en permanence. Les techniques des pirates informatiques évoluent sans cesse. Les dispositifs pour les contrer doivent faire de même.

Quelle est la cybercrise qui vous a le plus marquée (pas forcément chez vos clients) et pourquoi ?

Emmanuelle Hervé : Spontanément, je songe à la cyberattaque qui a frappé le groupe audiovisuel M6, en octobre 2019. Certains systèmes informatiques de l’entreprise avaient été bloqués par un rançongiciel. Je ne suis pas directement intervenue sur ce dossier mais j’ai eu l’occasion de discuter avec un des témoins de cette crise qui m’a confié qu’il a fallu près de trois ans pour tout reconfigurer. Il n’y a effectivement pas seulement le temps de la crise mais également celui de la remise en route et des investigations qui peut se compter en jours, en semaines ou en années selon le niveau de gravité.

C’est un point que beaucoup de grands dirigeants n’aiment pas entendre. Pourtant, les conséquences d’une cybercrise se prolongent longtemps après les faits. D’où l’importance de cette acculturation permanente à la cybercrise dans les entreprises et les organisations quelle que soit leur taille ou leur métier. Personne n’est totalement immunisé contre les pirates informatiques.