Yves Verhoeven, Sous-directeur Stratégie de l’Agence nationale de la sécurité des systèmes d’information (ANSSI)
La transformation numérique s’est accompagnée d’une interconnexion croissante de l’ensemble des acteurs de la société, faisant ainsi évoluer le risque numérique du champ purement technique vers un risque de plus en plus prégnant pour l’activité des organisations. Ce nouveau paradigme oblige dorénavant les entreprises, les collectivités et les institutions à reconsidérer leur modèle de gestion des risques afin que le numérique soit intégré au même niveau que les préoccupations stratégiques, économiques et juridiques.
Face à des acteurs malveillants dont l’arsenal ne cesse de se perfectionner, les investissements, pourtant massifs, des entreprises dans la protection et la défense de leurs systèmes d’information et de leurs services numériques, demeurent insuffisants. A l’ANSSI, nous constatons que les attaques les plus sophistiquées ou ciblées qui touchent notamment les entreprises exploitent l’écosystème de la victime pour contourner les mécanismes de protection déployés. Le risque numérique devient ainsi systémique et non transférable, avec la nécessité absolue de se préparer à être un jour, à son tour victime, et de prévoir le dispositif permettant de se relever.
Impérative, la résilience d’une entreprise face à une crise d’origine cyber exige une bonne préparation à tous les niveaux, afin d’adopter, le moment venu, les bons réflexes et de maintenir l’activité. Source de stress, la crise d’origine cyber complique la prise de décision rapide, pourtant vitale pour en limiter les impacts. L’anticipation et la préparation des entreprises s’avèrent impérieuses. Afin d’appréhender pas à pas cette gestion et de faciliter la prise de décision, nous avons choisi d’élaborer une collection de guides de crise, complémentaires et destinés à chaque acteur, qui est également disponible en anglais :
- « Crise d’origine cyber : les clés d’une gestion opérationnelle et stratégique » – réalisé en partenariat avec le Club des directeurs de sécurité des entreprises (CDSE), ce guide fait le « pont » entre la gestion stratégique et opérationnelle avec le partage de recommandations grâce aux témoignages de bénéficiaires ayant subi une attaque.
- « Anticiper et gérer sa communication de crise cyber » – fruit d’un partenariat avec Cap’Com – ce guide démontre qu’une bonne communication de crise cyber reprend avant tout une stratégie de communication de crise, avec des conseils et recommandations prodigués très opérationnels.
- « Organiser un exercice de gestion de crise cyber », réalisé en partenariat avec le Club de la continuité d’activité (CCA), ce guide vise ainsi à accompagner les entreprises dans la mise en place d’un exercice vraisemblable et formateur, pour les joueurs comme pour les organisateurs avec un scénario « clé en main ».
La gestion de crise cyber doit devenir un véritable pilier de la stratégie de résilience des entreprises, qu’il soit question d’un grand groupe ou d’une TPE/PME. Lorsque la crise survient, les entreprises se retrouvent forcées de s’adapter et de fonctionner de manière inhabituelle face aux déséquilibres engendrés – vol de données, paralysie partielle ou totale des services numériques – et dont les impacts, souvent critiques, peuvent être opérationnels, juridiques, financiers et réputationnels.
L’objectif est donc de gagner en fluidité et d’adopter des automatismes qui permettront de réagir efficacement sur le temps long et de redonner confiance aux équipes ainsi qu’à l’écosystème (clients, partenaires, fournisseurs, régulateurs, etc.), qu’ils soient concernés ou non par les conséquences de l’incident. A cet égard, la communication de crise joue un rôle déterminant.
Seules les entreprises ayant une pleine maîtrise du risque numérique auront la capacité de se relever d’une crise d’origine cyber. Une bonne préparation permettra d’enrayer efficacement les cyberattaques et leurs conséquences !
