Sécurité

Cyber-crises : les clés pour une détection et une gestion efficaces

Share this post:

Aujourd’hui, les incidents de sécurité concernent toutes les organisations. Leur nombre et leur fréquence ne cessent d’augmenter. On constate une vraie prise de conscience de ce phénomène de la part des entreprises qui se préparent de plus en plus à faire face à des situations de crise. Bien qu’il soit impossible d’anticiper tous les éléments de réponse, voici quelques points fondamentaux issus de notre retour d’expérience pour se préparer à y faire face :

Mettre en place deux niveaux de qualification de l’évènement

De manière générale, on constate que l’équipe informatique hésite à alerter sur un évènement de sécurité ou sur un dysfonctionnement du système avant que ne soit finalisée l’analyse de la situation rencontrée. Cela pourrait impliquer en effet de devoir répondre de la situation auprès de sa hiérarchie, voire de perdre en crédibilité s’il s’agissait d’une fausse alerte. Malheureusement, les premiers signes d’une crise cyber ne sont pas toujours évidents à détecter ; ils se manifestent souvent par des signaux faibles, difficiles à interpréter et qu’il ne faut cependant pas négliger. Une remontée d’informations tardive peut générer un déploiement tardif du dispositif de traitement de la crise et par conséquent, des impacts plus importants.

Une des solutions à cette problématique consisterait à mettre en place deux niveaux de qualification de l’évènement rencontré.

Un premier niveau de qualification de l’alerte (appréciation, désignation) serait assuré par des personnes de proximité et faisant partie de l’équipe de gestion de crises. Ces personnes doivent être connues et facilement accessibles par tous les employés. De cette manière, l’importance de l’alerte et les impacts potentiels pourront être qualifiés simplement et rapidement avec la personne qui a alerté, sans mobiliser inutilement d’autres acteurs. Si les résultats de cette première qualification montrent que l’alerte doit effectivement être traitée en tant que crise, ces personnes de proximité pourront remonter rapidement l’information aux autres membres de la cellule pour la confirmation et le traitement de la crise.

Qualifier objectivement une crise

Une cellule de crise ne peut pas être activée pour un simple incident car elle demande la mobilisation de ressources importantes pour une entreprise (réunion des dirigeants, activation des astreintes, déblocage de moyens financiers, etc.). Il est donc impératif d’identifier objectivement des critères de qualification de crise car sa nature et sa magnitude varient d’une entreprise à l’autre.

Une des façons d’identifier ces critères est de lier la définition d’une crise (et donc les critères de qualification) à l’impact négatif qu’un évènement redoutable peut avoir sur le fonctionnement d’une entreprise ou sur la réalisation de ses objectifs stratégiques.

Une entreprise pourra mettre en place un modèle d’évaluation de la criticité de l’évènement. Si le niveau dépasse un seuil préalablement défini, la situation de crise est déclenchée. La matrice d’impact utilisée dans ce cadre s’appuie sur différents critères dont certains relèvent du domaine financier, juridique, opérationnel ou encore de la valeur de marque de la société. Sur chacun des domaines, une note est calculée. Par exemple, sur le volet financier, la note peut aller de 1 pour une perte en chiffre d’affaires estimée à moins de 2,5 % du CA total, à 4 pour une perte en chiffre d’affaires de 50 % et plus. Une note globale est ensuite produite. Cette méthode, s’appuyant sur des éléments objectifs, permet de qualifier correctement une situation à laquelle l’entreprise a fait face et ainsi déclencher rapidement une réponse adaptée par la mise en œuvre des processus préalablement définis.

Créer une cellule de crise efficace

Une cellule de crise est le cœur d’un dispositif de communication en cas de situations hors normes. La gestion d’une crise cyber ne peut être confiée uniquement au service sécurité des systèmes d’information, car elle impacte également les métiers et les opérations. Il est donc nécessaire de mettre en place une équipe pluridisciplinaire, comprenant :

  1. Une équipe décisionnelle et stratégique, qui réunit les membres permanents de la cellule. Cette équipe doit être identifiée en amont. Elle est en charge de prendre les décisions ad hoc et d’assurer le suivi et le pilotage de la gestion de crise. Cette équipe doit intégrer les membres de la Direction Générale et des différentes directions métiers (communication, finance, IT, RH…). Afin de prendre des décisions rapidement et efficacement, un responsable de cellule de crise (faisant généralement partie de la Direction Générale) doit être désigné.
  2. Une équipe opérationnelle qui réunit des ressources opérationnelles métiers, des ressources informatiques, des partenaires externes si nécessaire… Cette équipe est responsable de l’analyse de la situation de crise, de la proposition d’un plan d’actions adapté à la situation et de l’exécution et du suivi des tâches.

La coordination et la communication entre les deux équipes est le point clé : un coordinateur doit être responsable pour faire remonter les informations et partager les décisions. Il est également crucial pour les membres de la cellule de crise d’adopter une approche non hiérarchique. En effet, ce contexte étant un peu particulier, l’enjeu des membres réunis dans cette configuration est d’apporter des réponses claires et rassurantes face à cette situation et ainsi de restaurer et renforcer la confiance.

Sensibiliser et entraîner les dirigeants

Enfin, une bonne gestion de crise repose sur la capacité du top management à protéger l’image de l’entreprise et à donner le bon niveau de visibilité aux employés et aux clients sur les actions menées. Aussi, il est important que les instances dirigeantes soient sensibilisées à la problématique de la cyber sécurité afin de tenir le bon niveau de discours.

Il existe des simulations d’attaques très réalistes (à l’instar de ce qui est fait dans le X-Force Command Cyber Tactical Operations Center d’IBM) qui permettent de sensibiliser les membres du COMEX aux enjeux de la cybersécurité, mais aussi de leur apprendre à faire face à ce type de situation.

En savoir plus : https://www.ibm.com/fr-fr/security

Article publié dans ZDnet et ITSocial.

 

Senior Manager – Cyber Security Consulting IBM Security

More Sécurité stories
4 mai 2021

Les femmes leaders en Intelligence Artificielle

Le pourcentage de femmes dans les postes de direction a reculé par rapport à 2019. En Intelligence Artificielle, elles représentent seulement 26% des effectifs. Et pourtant, il est reconnu que l’inclusion et l’égalité des sexes génèrent de meilleurs résultats pour les entreprises. « L’efficacité de la mixité est prouvée et nos entreprises en sont convaincues » rappelle Patricia […]

Continue reading

16 avril 2021

Construire, moderniser, sécuriser et opérer votre IT avec IBM IS

  Le « Move to Cloud » et l’intégration d’environnements hybrides De nouveaux rôles clés émergent pour accélérer l’innovation en entreprise tout en maîtrisant les coûts. L’usage du Cloud en entreprise représente, en effet, une opportunité extraordinaire d’innovation. Mais aussi une menace sur l’intégrité, le contrôle des données et la gestion des assets informatiques. « Le « Move to […]

Continue reading

17 mars 2021

Les managers de demain devront maîtriser le Cloud

La crise de la Covid-19 aura au moins eu le mérite de révéler nos capacités de résilience et d’agilité. Avec l’aide déterminante des technologies dans le cloud, symbolisée par la visio-conférence, nos entreprises et nos institutions ont pu s’adapter et faire ce constat rude, mais tout Darwinien : seuls les plus agiles arrivent à faire face. […]

Continue reading