À la suite du Covid et à l’heure du conflit russo-ukrainien, un nouvel état d’esprit se généralise dans les organisations pour faire face aux crises cyber. DG, DSS, DSI, RSSI et directions métiers se mobilisent selon des configurations adaptées à la typologie de la crise. Dans cette configuration, chacun à son rôle à jouer.
« La semaine dernière, la Russie a averti l’Occident que les cyberattaques contre ses infrastructures risquaient de conduire à une confrontation militaire directe, explique Kevin Bocek, vice-président de la stratégie de sécurité et du renseignement sur les menaces chez Venafi, un fournisseur de solutions de cybersécurité. Cela montre que les cyberattaques et les attaques militaires directes sont maintenant perçues comme une seule et même chose dans les conflits modernes. » Pour les organisations occidentales, le spectre de la menace se diversifie. Outre le terrorisme, la radicalisation et les risques climatiques, notamment avec la canicule précoce que nous subissons actuellement, le conflit militaire russo-ukrainien intensifie les problèmes de souveraineté alimentaire, énergétique, industriel, logistique et technologique déjà posés par la reprise post-covid. Quelles en sont les répercussions sur l’art de gérer les crises cyber dans les entreprises ?
Des entreprises plus fortes, mieux préparées, plus efficaces
De fait, selon l’étude 2021 La gestion de crise des entreprises résilientes de Deloitte, 60 % des responsables de la gestion de crise estiment que les entreprises sont confrontées à davantage de crises aujourd’hui qu’il y a dix ans. Par ailleurs, sachant que 90 % des entreprises qui implémentent une organisation de gestion de crise le font après une crise. « Près d’un quart (24 %) des sondés cite l’efficacité de la direction et de la prise de décision comme l’un des défis majeurs de la gestion de crise auxquels est confrontée leur entreprise », note-t-on dans l’étude.
Ajoutons que se préparer en amont réduit sensiblement l’impact négatif d’une crise. À condition que la direction et les administrateurs s’impliquent dans la définition d’un plan de crise et qu’ils participent à des simulations. Sur ce terrain, 84 % des répondants déclarent que leur entreprise dispose d’un plan de gestion de crise, en plus des autres efforts de résilience que sont les plans de continuité des activités (PCA) et de gestion des incidents. En Europe, 80 % des personnes interrogées déclarent participer à des exercices de crise avec des tiers (fournisseurs, partenaires, clients…), examiner les plans de crise de leurs tiers ou les deux.
DSS, DSI, RSSI en mode collaboratif
« Les directeurs sécurité-sûreté (DSS) savent que la protection de l’entreprise passe par une sécurité maîtrisée, constate Stéphane Volant, président du Club des directeurs de sécurité des entreprises (CDSE). Ils travaillent donc désormais en bonne intelligence avec leurs collègues directeurs des systèmes d’information (DSI) et responsables de la sécurité des systèmes d’information (RSSI). » Ces professionnels de la gestion de crise s’emploient au quotidien à sensibiliser l’ensemble des collaborateurs et préparer en permanence l’entreprise aux pires scénarios et à imaginer l’impensable, à manager l’incertitude.
À cet égard, un nouvel état d’esprit se généralise dans les organisations : « Avec la crise du Covid, la guerre des égos entre DSS, DSI ou RSSI est vraiment dépassée. Les gens comprennent que chaque personne a son propre rôle à jouer dans la gestion d’une crise, souligne Franck Da Vitoria, DSS chez Tech Data, un distributeur grossiste en solutions numériques qui réalise 55 milliards de dollars de chiffre d’affaires et 22 000 collaborateurs, dont 900 en France (voir notre interview ci-dessous). Pour être opérationnelle, la gestion de crise doit être coconstruite et collaborative. » Pour illustrer ce nouvel état d’esprit, la première question des parties prenantes à la cellule sera : « Comment puis-je t’aider ? » En clair, l’approche collaborative de la gestion de crise vise en premier lieu à résoudre la crise puis à préserver l’entreprise. « Toute personne capable d’aider à remplir ces deux objectifs verra sa collaboration alignée sur celle du DSS et du président », reprend Franck Da Vitoria.
PME et ETI : la nécessaire implication de la DG
« Dans un monde idéal, l’entreprise aura les moyens d’employer un DSS, un DSI et un RSS », avance Charles Broussaudier, directeur associé chez Adequancy, un cabinet spécialisé en management de transition. Mais l’approche de la gestion de crise cyber varie considérablement selon la taille et l’activité de l’entreprise. « Au mieux, la PME dispose d’un DSS si son métier réclame de mettre l’accent sur la sécurité-sûreté. Ou d’un DSI si son activité est fortement liée au digital, décrypte Sébastien Viou, directeur cybersécurité produits chez Stormshield, un éditeur français de logiciels cybersécurité, issu en 2013 du rachat et de la fusion par Airbus Defence and Space d’Arkoon Network Security et NetASQ. Dans les deux cas, la direction générale (DG) a un rôle moteur à jouer, autrement, rien ne fonctionnera. » C’est même un prérequis pour décrocher la certification ISO/CEI 27001 ‘‘Technologies de l’information – Techniques de sécurité – Systèmes de gestion de sécurité de l’information’’.
« Les deux priorités de la cellule de crise seront alors la sauvegarde et la restauration des données et des configurations des équipements du système d’information. Les entreprises pensent souvent à sauvegarder mais rarement à restaurer leurs données et leurs configurations ! D’où l’intérêt de tester ces procédures, poursuit Sébastien Viou. Sous l’égide de la DG, la cellule de crise va mobiliser, outre le DSS ou le DSI, les différents services afin de prendre les décisions les plus favorables. La gestion de crise s’oriente de plus en plus vers une gouvernance multi-métier. »
Erick Haehnsen
Commentez