Cyber-attaque : la résilience commence dès la première seconde
Nicolas Bonte, VP South Emea, Everbridge
Les crises deviennent le quotidien de nombreuses organisations, et le secteur de la cyber-sécurité en est l’un des exemples frappants. Comment amorcer la résilience dès le déclenchement d’une attaque ? Des moyens automatisés et simultanés existent.
Depuis une vingtaine d’années, les crises de plus en plus rapprochées et diversifiées que nous traversons obligent les directions générales à des actions préventives et curatives multiples. Cette prise de décision est l’un des paramètres qui permettent d’accompagner les effets de la crise, dont l’étymologie gréco-latine nous apprend qu’elle relève d’une manifestation violente et brutale, mais aussi qu’elle engage le jugement comme la décision. Décider est donc inhérent à toute crise, à commencer par ce qui relève de son anticipation. Une étude Forrester récente nous apprend que les organisations qui préparent en amont et de manière globale la gestion de crise sont celles qui parviennent le mieux à minimiser l’impact des incidents qui viennent les frapper : maintien de leur chiffre d’affaires, sécurité des clients comme du personnel, image de marque et réputation préservées.
Les process existent : encore faut-ils les déclencher au plus vite
Prenons l’exemple des cyber-attaques. Depuis plusieurs mois, nous assistons à leur essor sans précédent. Afin de s’en prémunir, les organisations privées et publiques mettent en place un ensemble d’outils ad hoc : pare-feux, logiciels antivirus, services d’infrastructure à clé privée, services de détection managés, tests d’intrusion, formation du personnel… Avec les SOC, elles se dotent d’une tour de contrôle destinée à surveiller le plus efficacement possible leur environnement numérique et à maintenir la sécurité dans leur patrimoine informationnel. Mais que se passe-t-il au sein de l’organisation dès lors que l’attaque est détectée ? Comment les différents acteurs de l’entreprise doivent-ils agir ? Quels sont les systèmes d’alerte qu’il leur incombe de mobiliser ? À quel degré de rapidité sont-ils soumis s’ils veulent limiter au maximum les effets de l’attaque ?
Le gestionnaire de crise a ici un rôle clé à jouer : c’est lui qui va immédiatement constituer la cellule de crise, avertir le Codir, lancer une alerte à l’ensemble du personnel, mobiliser certaines directions susceptibles d’être frappées de plein fouet ou d’aider… Les process sont là, ils existent dans une grande majorité des cas. Encore faut-il qu’ils soient déclenchés le plus rapidement possible, automatisés et… anticipés.
Mass notification : une gestion automatisée et globalisée de la crise
On ne le dira jamais assez : dans une crise, la rapidité de réponse est un facteur majeur, et nous pouvons encore l’améliorer dans les cyber-attaques auxquelles nous sommes soumis ces temps-ci. La technologie nous est ici d’un ressort essentiel. L’information et l’alerte rapide sur la crise en cours peuvent désormais être mis en place grâce à des outils de communication de masse, qui vont aider l’ensemble des acteurs de l’organisation à faire face à l’urgence qui les frappe. Cet outil constitue une innovation majeure qui a été testée à plusieurs reprises ces dernières années. Ses modalités visent à déclencher une communication multimodale dès que la rupture apparaît. En cas d’attaque cyber on privilégiera par exemple le SMS, le push App ou le téléphone. La possibilité existe également de faire dérouler un message sur l’ensemble des écrans de l’entreprise, depuis ceux des ordinateurs jusqu’à ceux que l’on trouve à l’accueil. On pourra encore avoir recours à un voice mail, c’est-à-dire à un robot qui aura été pré-enregistré par le directeur ou le dirigeant de l’organisation… Il existe des dizaines de canaux, qui tous peuvent être déclenchés.
Prévoir en amont les procédures automatiques
Les technologies actuelles sont telles qu’elles permettent d’actionner tous les types de systèmes possibles, de manière simultanée et immédiate. Dans certains cas, il faut moins de trois minutes pour prévenir plusieurs centaines de milliers de personnes, sur le mode « attention attaque en cours, merci de vous déconnecter ». Tous les moyens sont bons pour alerter, mais également pour maintenir le lien. Car il ne s’agit pas seulement de dérouler un message descendant : il convient également d’avoir la possibilité d’échanger en direct et de manière safe avec l’ensemble des équipes, dans une logique de communication bidirectionnelle. Pour cela, il aura été essentiel que l’entreprise digitalise et automatise en amont les procédures à déclencher, qu’elle déroule le plan et les chemins à suivre, qu’elle anticipe la communication en mode dégradé, qu’elle identifie tous les acteurs à alerter. Fonctions opérationnelles, sites marchands, logisticiens… Les cas d’usage sont pluriels.
Amorcer la réflexion au sein des organisations européennes
Cette préparation amont est un facteur majeur de la résilience et de la reconquête d’après-crise. C’est en travaillant en anticipation que de précieuses secondes pourront être gagnées une fois la cyber-attaque déclenchée. Les trois ou quatre premières actions sont centrales : ce sont elles qui vont tracer un chemin. Elles vont être la plateforme de la cellule de crise et du Codir. Elles vont informer chacun. Elles amorceront l’action de défense collective.
Ces actions auront un impact interne sur les salariés, afin que ceux-ci ne demeurent pas dans l’expectative, en état d’attente ou de sidération. C’est là toute la logique du duty of care, de la responsabilité managériale à laquelle nombre d’organisations se déclarent attachées.
Aux Etats-Unis, désormais, 99% des entreprises sont dotées d’un outil de communication de masse qui leur permet, une fois la crise déclenchée, de se mettre instantanément en mouvement. En Europe, ce chiffre est estimé à 20%, chiffre encore imprécis mais qui donne toutefois une tendance… Dans un monde au sein duquel la crise et les cyber-attaques font partie du quotidien, il est important qu’une réflexion soit amorcée sur ce point.