Comme dans toute activité, c’est l’entraînement qui va déterminer le niveau de performance. Pour la cyber c’est la même chose. On peut avoir installé les meilleures solutions, avoir fait appel aux compétences les plus pointues, rien ne remplacera un bon entraînement de gestion de crise. Et quoi de mieux pour rester éveillé que de se lancer des challenges, de se tester, de chercher à mieux comprendre les endroits critiques de son architecture, bref d’anticiper les crises. Apprendre en se mettant soi-même en situation.

C’est ce qu’a fait EDF il y a quelques semaines lors d’un exercice à l’échelle, relaté par Olivier Ligneul, le grand patron de la cyber de notre électricien national, dans l’émission « La nuit de la Cyber » diffusée le 1^er novembre sur BFM Business. 

Organiser des crises entre plusieurs structures

Comme beaucoup de grandes entreprises, la stratégie cyber d’EDF a changé de braquet pendant la crise sanitaire. Passer du jour au lendemain quelques 85 000 personnes en mode télétravail, cela s’improvise les premières heures, mais ensuite, il faut clairement redéfinir les priorités, réviser les process déjà en place et monter en puissance sa stratégie. C’est ce qu’a fait l’industriel en renforçant la sécurisation de ses systèmes tout en menant de front l’identification de ses environnements, des plus critiques à ceux qui méritaient un peu plus de flexibilité. Cette architecture est aujourd’hui mise régulièrement à l’épreuve avec l’organisation de crises entre plusieurs structures. En octobre dernier, EDF a franchi un niveau supplémentaire dans sa gestion de crise en menant un exercice de déstabilisation du SI de plus vaste envergure. Cet entraînement a consisté à créer à l’échelle une importante cyberattaque. Objectif : voir la réaction de chacun par rapport à une situation de crise majeure et s’entraîner à une meilleure coordination entre toutes les parties impliquées. 400 personnes y ont participé, réparties dans 25 cellules de crises, toutes différentes selon les métiers impliqués. Le résultat devait aider à l’avenir à gérer le plus efficacement possible l’ensemble des éléments ; de comprendre par exemple comment circulent les informations liées aux indications sur les attaquants, de déterminer les réponses à apporter et que cela soit compréhensible par tout le monde. Loin d’être improvisé, cet exercice de crise a nécessité 500 jours/hommes et 6 mois de travail. Mais c’est sans doute le prix à payer pour être paré à gérer toutes situation d’attaques le jour où cela arrivera. 

La gestion de crise sensibilise aussi les dirigeants

L’exercice a au final permis de sensibiliser les collaborateurs -mais également les dirigeants- aux enjeux de continuité d’activité face au risque de « blackout » numérique, de tester les dispositifs de gestion de crise afin de s’assurer de la prise en compte des spécificités des cyberattaques, d’entrainer la coordination des acteurs entre eux et au sein d’un même secteur, de travailler les modalités de communication de crise en interne et en externe et enfin de créer des dynamiques de partage et d’échange entre les communautés et les secteurs. Une opération bénéfique à tous les niveaux de l’entreprise.

Et si mener un exercice aussi complexe vous effraie, l’Anssi a publié cet été un guide ou plutôt un outil d’autoévaluation sur la gestion de crise à destination des entreprises. Objectif : apprécier sa maturité dans le domaine en répondant à une soixantaine de questions sur différentes thématiques. De la gouvernance aux interactions entre équipes mobilisées, à l’évaluation de ses processus de son outillage, en passant par la partie communication de crise vers l’interne et l’externe, sans oublier la détection, le processus de réponse à incidents, la continuité d’activité et la reconstruction. Tout y passe. Le niveau de maturité est ensuite noté de 0 et 3 avec une colonne « preuve » pour indiquer les actions réellement mises en place et une autre dédiée aux « commentaires » pour les idées d’amélioration. Ce guide met l’accent sur les aspects RH telle que la mobilisation des équipes dans la durée ainsi que sur les outils de communication qui aident à maintenir le lien entre la cellule de crise, le Comex, la DSI, les différents métiers et l’ensemble des collaborateurs. L'impact géopolitique fait également partie du diagnostic, tout comme le déclenchement des procédures auprès des cyberassurances ou la fréquence des exercices de crise. Très utile pour accompagner votre entreprise. Entraînez-vous !

Abonnez-vous pour lire l’article dans son intégralité, et profitez cette semaine d’une tribune exclusive signée Barbara Govaerts, Directrice de clientèle, Cymbioz.

Chiffres et études

• Kaspersky présente sa nouvelle étude qui fait état des préoccupations croissantes des cadres dirigeants internationaux vis-à-vis de la montée en puissance discrète de l'intelligence artificielle générative (GenAI) au sein de leur organisation.( lien vers l'étude "Gen AI Business Infiltration: C-Level executives are sitting on an AI timebomb, aware of the risks, but too complacent to act").

  Concernant les cadres dirigeants français, la quasi-totalité (97 %) des personnes interrogées pensent que l’IA générative est régulièrement utilisée par leurs employés, et plus de la moitié d’entre elles (59 %) estiment qu'elle pilote désormais certains départements de leur entreprise. L'ampleur de cette prise de contrôle est telle que 59 % des cadres dirigeants en France expriment aujourd'hui de vives inquiétudes quant aux risques de sécurité potentiels qui pourraient mettre en péril les données sensibles de l'entreprise et entraîner une perte totale de contrôle des fonctions essentielles de l'entreprise., 

...