Cybersécurité : le meilleur remède à la crise est un dialogue constant entre informatique, communication et ressources humaines

Avant même que la cybercrise ne frappe, il convient de mettre en place un dialogue opérationnel régulier entre les équipes en charge des infrastructures informatiques, celles des ressources humaines et celles de la communication. Si ce postulat n’est pas respecté, mal enclenché ou mal entretenu, alors les initiatives en matière de cybersécurité risquent très vite de s’avérer vaines. Elles seront sans effet sur les comportements des collaborateurs en termes de prévention mais également lorsque la cybercrise frappera.

Instaurer les bases d’un dialogue opérationnel permanent

Cette mise en commun des expertises pour évangéliser sur la cybersécurité passe d’abord par une immersion préalable des uns et des autres dans les univers respectifs de chacun. En d’autres termes, la DSI doit pouvoir expliquer, en langage clair et accessible, les grands fondamentaux d’une architecture informatique. Il s’agit aussi d’éclairer leurs collègues de la communication et des RH sur des notions et des jargons parfois abscons mais essentiels à comprendre pour mieux appréhender les enjeux d’une cyberattaque. Cet effort est indispensable pour lever les inhibitions des non-spécialistes face à une technicité des réseaux pas toujours facilement compréhensible.

En retour, DRH et direction de la communication doivent également faire preuve de pédagogie pour sensibiliser les équipes informatiques. Gestion de crise, langage communicant et exigences médiatiques doivent être explicités à ces dernières qui ont quelquefois tendance à rester rivées sur leurs problématiques techniques.

Créer de la cohésion et du vécu avec la simulation en temps réel

L’exercice de simulation d’une cybercrise est encore globalement peu pratiqué par nombre d’entreprises et d’institutions. Pourtant, il constitue une étape suivante supplémentaire importante. Cela permet d’instiller du vécu entre les différentes équipes, d’affiner les rôles et les périmètres de chaque acteur de la cellule de crise, de renforcer la cohésion entre les membres et d’apprendre ainsi ensemble à mieux gérer les réponses et les actions nécessaires. Cette acculturation est fondamentale. Néanmoins, elle ne doit surtout pas être engagée à l’occasion d’une crise réelle mais bien en période calme.

Cet exercice de simulation s’opère généralement en temps réel pendant plusieurs heures autour d’un scénario fictif (mais plausible). Il est élaboré pour la circonstance et avec le concours d’une agence ou d’un cabinet spécialisé. Les équipes informatiques, RH et communications sont alors « enfermées » dans une salle d’opérations baptisée « war room ».

Là, elles vont être graduellement mises sous pression avec des appels d’acteurs joués par des consultants extérieurs qui ont contribué au scénario. Mais aussi par l’accès à des répliques de réseaux sociaux qui vont s’emballer et vont requérir des prises de position de la part des équipes.

Si cette activité est particulièrement intense pour les participants, elle est également très riche en enseignements. Elle permet de sensibiliser aux enjeux de continuité d’activité ; tester les dispositifs de gestion de crise et les outils de communication à disposition ; améliorer la coordination des acteurs entre eux ; travailler les modalités de communication de crise en interne et en externe et générer ainsi des dynamiques de partage et d’échange entre tous.

L’importance des rappels

Idéalement, cet exercice devrait être répété une ou deux fois par an avec des variantes de scénario pour éprouver la pertinence des procédures et l’agilité des équipes. Avec à l’issue de chaque séance, un temps consacré au retour d’expérience qui corrige et met à jour ensuite les points sensibles identifiés durant la simulation.

En revanche, il ne s’agit pas pour autant de se sentir définitivement prémuni dès lors que les services communication, RH et informatique ont effectué une fois une simulation de ce genre. D’une part, les profils de cybermenaces sont en permanence évolutives et nécessitent des ajustements. D’autre part, les équipes elles-mêmes changent au fil du temps et doivent par conséquent s’entraîner régulièrement entre elles pour conserver la dynamique collective.

Dans la dernière édition en décembre 2021 du guide de référence de l’Anssi, son ex-directeur général Guillaume Poupard rappelle la finalité qui doit perdurer plus que tout : « Lorsqu’une crise cyber survient, l’action des communicants passe trop souvent au second plan. C’est une erreur. Pour une gestion globale de la crise, il est indispensable que la communication travaille main dans la main avec la réponse technique. »

Cet appel à la vigilance demeure plus que jamais d’actualité. D’après l’indice Cyber Threat Index de Coalition, un assureur américain en cybersécurité, il se produira en 2023 1 900 vulnérabilités et expositions communes critiques en moyenne par mois, soit une augmentation de 13% par rapport à 2022. Un chiffre établi sur la base de 22 000 cyberattaques observées par l’assureur depuis plusieurs années.