La cyberattaque : une crise à enjeu majeur et probabilité forte

Partez du principe que votre entreprise sera victime d’une cyberattaque d’ici cinq ans et qu’il faut s’y préparer. Un constat qui peut sembler alarmant mais qui reflète une réalité bien prégnante. Depuis l’entrée en vigueur du RGPD en 2018, l’entreprise est devenue « schizophrène ». Elle est, d’une part, victime d’une cyberattaque et, d’autre part, coupable aux yeux de la loi de ne pas avoir su protéger les données qui lui ont été confiées.

La conjoncture, marquée par le télétravail et son lot d’appareils connectés, offre plus de flexibilité aux collaborateurs. Elle augmente cependant la vulnérabilité face aux cyberattaquants. La cybersécurité ne se limite pas à la technologie. Elle intègre en effet des aspects humains et organisationnels. Ainsi, la seule certitude pour l’entreprise, malgré tous les efforts qu’elle consent pour se protéger, est d’être confrontée à une cyberattaque, un jour.

Nous avons tous été surpris de la cyberattaque qui a paralysé Sopra Steria, fin octobre 2020. Nous avons été sidérés d’apprendre que les gouvernements, les armées, étaient victimes de cyber-assauts. L’attaque la plus importante contre un Etat ne date pas d’hier : en 2007, l’Estonie doit faire face à une cyberattaque massive contre ses sites gouvernementaux en provenance de Russie.

Depuis, l’OTAN a installé son Centre d’Excellence et de Coopération en Cyber défense à Tallinn. Il serait alors arrogant de penser que nos organisations privées puissent être épargnées. Il est donc primordial de s’entraîner et de se préparer à affronter les défis d’une cyberattaque. Les chiffres parlent d’eux-mêmes : l’assureur Hiscox annonce 75% de déclaration de sinistre en moins chez les assurés ayant suivi une formation.

Quel plan d’action ?

En premier lieu, s’assurer qu’en cas de cyberattaque, la cellule de crise stratégique de l’entreprise se mobilisera et ne sera pas cantonnée à une résolution opérationnelle. Il conviendra alors d’échafauder un plan de crise adapté à ce scénario très particulier. Une fois le processus lancé, les personnes en charge des fonctions en cellule de crise devront apprendre à se servir des outils du plan. Elles devront ensuite s’entraîner pour acquérir la fameuse « action réflexe » sans laquelle le processus reste un vœu pieux.

La communication de crise se prépare également en amont. Ce n’est pas au milieu du gué qu’il faudra débattre de la posture à avoir, informer les parties prenantes, ou pas, que nous sommes cyberattaqués. En cas de demande de rançon, faut-il admettre qu’il y en a une ? Que dire aux collaborateurs, aux clients, aux partenaires ? Mais aussi comment leur dire, quand nous n’avons plus accès aux courriels voire au téléphone ? Tout cela s’anticipe et se prépare.

Et le jour J ?

En cas d’attaque, la gestion de crise doit être mobilisée sans tarder. Les erreurs les plus coûteuses sont souvent commises dans la première heure, d’où l’importance d’un processus solide et préparé en amont. Les facteurs anxiogènes sont déjà présents : la dimension cybersécurité vient rajouter son lot de complications.

En effet, le COMEX peut éprouver des difficultés à comprendre la situation, se reposant alors sur la fonction du RSSI en lui infligeant une forte pression. Comment prendre une bonne décision et tenir sur le long terme dans ce genre de situation ? Une cyberattaque, comme toute situation en gestion de crise, est singulière. Les fonctions des SSI et des DSI vont être fortement mobilisées pour remettre en marche, voire reconstruire les systèmes informatiques.

La présence d’un officier de liaison entre la cellule stratégique et la cellule IT apparaît ici nécessaire pour éviter de submerger les opérationnels. Mais aussi pour communiquer de manière claire dans les deux sens sur l’avancement du rétablissement du système et sur les besoins de la cellule stratégique.

Si tu veux la paix, prépare la guerre

Ainsi, la cybersécurité est une lutte permanente qui nécessite une vigilance constante, une culture d’entreprise, une bonne préparation et des technologies de pointe. L’enjeu est de taille. Il s’agit de la sécurité de nos données, de celles de nos collaborateurs et donc de celle de l’entreprise

Celles-ci peuvent-être très sensibles. Les victimes n’hésiteront donc pas à fustiger l’entreprise pour son incapacité à protéger les données confiées. A l’ère de la guerre numérique, les conséquences d’une cyberattaque sont lourdes sur les plans financier, humain et réputationnel. Ces crises s’installent dans la durée et laissent des séquelles. Il est donc plus que jamais nécessaire d’affronter l’idée qu’il faut s’y préparer.