• l’année dernière
Les crises cyber sont devenues inévitables. Comment les anticiper ? Sont-elles imprévisibles ou peut-on les repérer avant qu’elles ne surviennent ? Quels sont les réflexes qu’il faut maitriser lorsqu’une attaque se produit dans votre datasphère ?
Conférence donnée en mai 2023 par Laurane RAIMONDO.
Transcription
00:00:00 Le titre de l'intervention, je pense que vous l'avez tous intégré, je vais juste réinsister
00:00:14 sur le fait que je ne suis pas une personne au parcours technique, ce qui veut dire que même
00:00:20 si je comprends bien sûr les éléments techniques, je ne pourrais pas répondre à certaines questions
00:00:24 extrêmement poussées en la matière sur les gestions des crises cyber. C'est une vision
00:00:31 qui est globale et qui se rapproche véritablement de l'humain. Je note que le rapport de l'ANSI en
00:00:37 2023 a mis justement la question de l'assurance de l'existence d'un dispositif de gestion de crise
00:00:43 adapté à une cyberattaque parmi les cinq mesures préventives prioritaires. Là-dedans, bien sûr,
00:00:50 vous avez un détail et l'ANSI est aussi à l'origine d'un guide que je montrerai très
00:00:57 rapidement à la fin, qui vient parfaitement compléter l'ouvrage que nous avons réalisé
00:01:02 sur les fondamentaux de la gestion. Là, vous avez quelque chose que vous avez tous vu justement
00:01:07 dans le rapport de l'ANSI, le fait que nous sommes toujours dans une situation relative sensible,
00:01:13 en période de crise permanente, même si je ne crois pas que ce soit tout à fait nouveau. La
00:01:18 véritable nouveauté, c'est l'outil qui est l'origine de la menace, puisque là, on va parler
00:01:24 de menace. Je rappelle que menace vient toujours d'un sujet qui est pensé. Alors, un petit panorama
00:01:33 de ce que nous allons voir. En une heure, c'est très serré, mais nous allons faire au mieux. Bien
00:01:38 sûr, on ne peut pas avancer sans savoir de quoi on parle. Donc, d'où viennent un peu les crises
00:01:44 sévères ? Est-ce qu'on a des définitions ? Ensuite, nous pouvons comparer surtout les nouvelles crises,
00:01:52 je veux dire les crises au plus réel, mais pas une crise, mais des crises, qu'elles soient d'origine
00:01:57 à l'issue du cyberespace ou, au contraire, classique. La question de l'anticipation, là-dessus,
00:02:05 nous n'avons pas tous d'accord, mais c'est parfaitement normal. Bien évidemment, un coup
00:02:10 d'œil sur la législation, qui est un pilier un petit peu trop mal regardé avec cette idée
00:02:15 d'empêcheur de tourner en rond, de contrainte sur les entreprises. Le côté technique et gouvernance,
00:02:21 qui doit aujourd'hui absolument s'associer pour pouvoir travailler et réussir. La question un
00:02:29 peu plus rapide de la formation, de la préparation pour les simulations et les exercices de gestion
00:02:34 de crise. Tout le monde n'a pas les moyens de le faire non plus, donc là aussi, ce sera important.
00:02:40 Ensuite, au cœur de la crise, comment est-ce qu'on va réagir, s'organiser de manière efficace ? La
00:02:47 communication de crise, ça c'est aussi intéressant parce que Lénique Pedrone, qui est là, qui nous
00:02:52 regarde, nous écoute, est l'auteur justement de ce chapitre dans le livre, donc j'ai repris ces
00:02:58 petits points essentiels. Et puis, quelque chose d'un petit peu plus délicat, c'est comment est-ce
00:03:03 qu'on sort de la crise et comment on se prépare pour la prochaine. Alors, un petit peu de grec
00:03:11 et de latin, la question des origines du terme de crise. Je vous rappelle qu'on est face à une
00:03:17 menace qui est complètement désincarnée, corrélée tout ça à une surface d'attaque particulièrement
00:03:23 décuplée, ça conduit à ce genre de situation. Donc la question des crises, effectivement,
00:03:28 elle mérite quand même une nouvelle approche, avec d'abord bien sûr un retour à ses origines,
00:03:32 ce que l'on va voir. Donc, le grec "crisis", jusqu'au latin "crisis", ça se prononce à peu
00:03:39 près normalement, de manière identique, c'est initialement le sens en fait de trier, c'est une
00:03:48 action, l'action de séparer, de distinguer différents ensembles de choses qui sont
00:03:52 confondues et qui approche le sens donc de passer au crible. Là, il s'agit bien d'une action,
00:03:58 une rupture de la linéarité dans la décision et le jugement. Alors aujourd'hui, le terme est en
00:04:03 plein d'autres sens, il n'existe toujours pas d'ailleurs de définition univoque du concept
00:04:08 de crise, et quels que soient les domaines, en fait les définitions elles diffèrent,
00:04:13 évidemment, parfois loin quand même de la portée négative qu'on donne à ce concept. Mais c'est
00:04:19 quand même en regardant au-delà qu'on saisit sa capacité à produire des opportunités. Les mots
00:04:25 critères critiques sont d'ailleurs issus de la même racine. Il ne serait donc pas déraisonnable
00:04:30 en fait de qualifier la crise comme un moment de rupture de la linéarité, impliquant une prise de
00:04:37 décision à même de modifier durablement le mécanisme sur lequel fonctionne la personne,
00:04:41 le groupe ou l'organisation qui est en crise. Alors là, ça désigne une situation particulière qu'on
00:04:47 va étudier et non la théorie des crises. La théorie des crises, elle évolue un petit peu en
00:04:52 même temps que l'ère numérique posait déjà ses jalons, donc c'est pas tout à fait la même chose.
00:04:56 Aujourd'hui, les crises en elles-mêmes, elles sont prêtes quand même à une nouvelle évolution
00:05:01 polycyclique qu'on va corréler à la dite ère numérique dans laquelle il paraît que nous sommes.
00:05:07 Nos écrans en disent l'on d'ailleurs. On va quand même sauter quelques décennies là pour atterrir
00:05:14 à notre époque où nous vivons au cœur de la datasphère. La datasphère, elle vient englober
00:05:20 même le cyberspace. Là, je vous renvoie aux travaux de Géode, bien sûr. Alors, on englobe
00:05:27 ce cyberspace et cette question de la définition d'ailleurs du cyberspace, des crises en elles-mêmes,
00:05:36 elles ne se sont pas encore beaucoup rencontrées. Ça ne posait pas tellement de problèmes jusqu'à ce
00:05:42 que les premières grandes crises cyber, elles frappent vraiment parfois les entreprises,
00:05:46 donc ça c'est l'année 2017, vous le savez, et qu'on a essayé, enfin moi non, mais ceux qui étaient
00:05:54 à la tête de ces pauvres entreprises ont essayé d'appliquer en fait les théories de gestion de
00:05:59 crise classique, ce qui est venu en fait embourber complètement les organisations qui étaient
00:06:03 touchées plutôt que de les aider. Donc, à ce stade, pour généraliser, il a fallu commencer
00:06:09 à analyser les crises cyber en tant que telles, en les dissociant des crises dites classiques et
00:06:15 réfléchir finalement à une nouvelle manière de les aborder. Alors, encore une fois, trouver une
00:06:22 définition univoque des crises cyber, c'est aussi une belle partie que pour la définition du cyberspace.
00:06:27 Vous n'ignorez pas, nous travaillons tous dans des domaines différents et chacun de ces domaines
00:06:32 propose sa propre définition, en oubliant aussi la particularité du cinquième espace stratégique,
00:06:38 autant que ce que nous avons appris des crises cyber. Mais il est quand même possible de travailler
00:06:43 sur ce terme, soit par différence ou par similitude. Un avantage certain, par exemple,
00:06:52 une des spécificités des crises cyber, c'est la transversalité des atteintes comme des conséquences
00:06:56 évidemment. Elles ont aussi la particularité de pouvoir commencer sans que personne ne s'en aperçoive.
00:07:01 D'une cyberattaque passive, on prépare l'offensive. Après, une des questions, ça va être justement de
00:07:08 savoir quand l'intrusion a commencé, du moment où on découvre justement la dite entrée du cyber
00:07:17 criminel dans les lieux numériques. Alors, contrairement aux crises qui sont issues des
00:07:21 catastrophes naturelles, pour lequel le contexte mondialisé, la interconnection des systèmes
00:07:25 d'information est plutôt un atout, là, ça induit une fréquence plus élevée des origines
00:07:31 déterritorialisées, où le juridique est complètement inefficace. Les forces de l'ordre aussi. On a des
00:07:37 effets dévastateurs et sans personne contre qui se retourner en fait. Donc c'est tout à fait nouveau.
00:07:42 Les crises cyber, et j'entends par là pas seulement les crises que vous imaginez, une attaque cyber,
00:07:48 mais tous les événements issus du cyberspace, générant un état de crise, sont très clairement
00:07:54 notre avenir et c'est devenu autre chose qu'un événement rare. C'est devenu un quotidien en
00:08:01 fait, et qui pourrait d'ailleurs remettre en question le concept même de crise. Alors,
00:08:05 chercher à les éviter, à les planquer, c'est peut-être la démonstration d'une totale
00:08:09 inadaptabilité, même d'une incompétence clairement. Chercher à les optimiser, au contraire,
00:08:16 pour offenser son organisation, ça deviendrait plutôt l'anodin. La question de la gestion des
00:08:25 crises cyber, entre classique et cet élément-là, tout nouveau, on peut la travailler, comme je l'ai
00:08:32 dit, entre les similitudes et les divergences. Parmi les crises cyber, la plus crainte de toutes,
00:08:38 la plus lourde conséquence, c'est la cyberattaque. Ah oui, par crise cyber, je l'ai dit, ce n'est pas
00:08:44 que la cyberattaque, mais là, on va travailler principalement autour de ça. Alors, c'est Raphaël
00:08:49 de Vitoris qui l'a précisé, même si on le sait, c'est quand même l'année 2017 qui marque
00:08:55 véritablement un tournant en fait dans la prise de conscience du risque numérique et de la menace
00:09:00 de la cyberattaque qui aboutit en fait, débouche sur une crise. On a des milliers de systèmes
00:09:04 infectés par différents virus, il n'y en a pas que deux, il y en avait une dizaine très virulente.
00:09:09 Cette année-là, on a des multinationales entières qui sont touchées, des secteurs d'activité
00:09:14 complets, des ministères de pays développés aussi qui risquaient de s'effondrer. Bref,
00:09:20 et surtout, au bout du compte, le nerf de la guerre, des milliards de dollars de dégâts.
00:09:26 Alors là, la faiblesse des systèmes d'information, le déni humain, on peut signer la reine mort des
00:09:31 organisations les moins solides. Chez d'autres, au contraire, c'était un révélateur de puissance
00:09:36 et l'occasion de se réinventer pour être aujourd'hui vraiment au sommet de la résilience.
00:09:40 C'est l'exemple de Saint-Gobain. On a aussi des attaquants qui sont quand même d'un nouveau genre.
00:09:45 On n'a pas de visage, on a des profils qui sont quasiment indéfinissables, on a des motivations
00:09:51 floues, surtout en fonction judiciaire et encore, avec des modes opératoires qui étaient encore
00:09:56 surprenants à l'époque. Et pourtant, en 2017, je rappelle que le premier verre informatique,
00:10:00 c'est 88. Le petit Maurice, même si c'était un accident, bref, on aurait pu se dire que ça
00:10:06 allait évoluer. Enfin, Raphaël de Vittorix nous proposait une petite forme de pensée. Il disait
00:10:15 que penser la cyberattaque en gestion de crise, c'est se pencher sur la crise mère dont les
00:10:20 conséquences peuvent toucher les points les plus éloignés de l'organisation. L'idée de la
00:10:25 transversalité, on le retrouve là, c'est se confronter à la théorie des systèmes complexes
00:10:29 et admettre, et là, qu'on ne comprend pas ses propres systèmes. Les crises, elles se distinguent
00:10:37 en différentes approches. On va en qualifier trois, deux pour les crises classiques et puis une
00:10:43 troisième qui serait un peu notre option de réflexion. Donc, la première, ce serait par
00:10:48 impact. J'aime pas ce mot, impact en français, c'est seulement le choc. Pour parler de conséquences,
00:10:55 là c'est en anglais uniquement. Donc, l'approche par impact, là c'est l'analyse de l'événement
00:11:03 depuis ses manifestations extérieures, c'est une approche qui est opérationnelle. L'approche
00:11:08 sectorielle, là elle se fonde principalement sur les causes et dynamiques de la crise, en fait. Là,
00:11:13 c'est perçu comme le résultat d'un dysfonctionnement cumulé et qui serait repérable. Et puis,
00:11:17 l'approche la plus appréciable pour les crises cyber, c'est l'approche complexe. Là,
00:11:24 c'est l'événement qui est inattendu, indésirable, imprévisible, impensable et la plupart du temps,
00:11:31 qui produit de l'incertitude et de l'incrédulité. En fait, c'est tout simplement l'expression même
00:11:36 de l'incertitude la plus complète quant au comportement d'un système de complexité
00:11:40 qui nous échappe. Alors, une crise, c'est une dynamique à tendance exponentielle et là,
00:11:45 Raphaël la définirait ainsi, la crise est le produit d'une dynamique non linéaire touchant
00:11:51 un système complexe, une organisation, ou multicomplexe, soit un écosystème d'organisation.
00:11:57 Là, par cette approche, on assume par principe que l'organisation a fructué une situation inattendue
00:12:03 dans une incertitude totale où il devient indispensable de s'adapter à des moyens
00:12:09 disponibles. On ne peut pas. Quand on n'a pas les moyens vraiment de régir, on improvise. Alors,
00:12:14 qu'est-ce qu'on fait ? On limite au mieux les conséquences ou encore mieux que ça,
00:12:18 eh bien, on essaye de prospérer en fait dans cette instabilité. Là, c'est le summum.
00:12:23 Alors, on a des petites caractéristiques quand même des crises classiques et bien sûr,
00:12:29 des crises cyber. Pour toutes les crises, on a la question de la chance. Alors,
00:12:34 la plupart du temps, les crises, c'est le fruit du pas de bol. Le volcan qui éclate,
00:12:41 le fait que notre voyage est annulé parce qu'on a un volcan en Islande en éruption,
00:12:49 parce qu'ensuite on a le Covid. Bref, du pas de bol. En matière cyber, la question chance,
00:12:56 c'est autre chose. En fait, encore une fois, c'est une question de menace. Qui dit menace,
00:13:02 dit élément ponçant derrière. C'est pas une question de chance, c'est de la malveillance
00:13:07 qui est à l'origine. La question du timing est toujours mauvaise. On perd ses clés de voiture
00:13:13 juste avant un rendez-vous super important qui est prévu depuis un an. En matière cyber,
00:13:17 c'est volontaire. Les cybercriminels, ils attendent, vous le savez, le bon moment,
00:13:22 c'est-à-dire le vendredi soir à 21h, la veille de Noël, la veille des vacances, bref, le moment
00:13:30 idéal où on ne s'en aperçoit pas forcément et quand on s'en aperçoit, non seulement c'est trop
00:13:34 tard mais en plus il n'y a personne de disponible. C'est génial. Bref, vous avez le cas Saoudi
00:13:39 Aramco, en 2012, où le groupe de cybercriminels Cutting Sword of Justice, il a organisé une attaque
00:13:46 en sous-judiciel au président saoudien. Le président saoudien qui produit, j'ai un petit
00:13:54 chiffre là sous les yeux, près de 11 millions de barils de pétrole par jour, bref, bien évidemment,
00:14:00 il a visé le plein mois de Ramadan. Toutes les activités sont stoppées, hormis les activités
00:14:05 industrielles mais bien sûr aucune vente n'était possible. Un gros bordel, vous l'imaginez. Ensuite,
00:14:11 la question de la panique. Alors là, c'est une composante qui est naturelle de l'événement.
00:14:15 À compréhension, impossibilité d'interprétation de la situation présent et à venir, ça cause
00:14:23 forcément des tensions mentales qui sont vraiment fortes et qui touchent beaucoup sur la question
00:14:28 des processus cognitifs des acteurs. Et puis, la continuité d'activité, alors elle est remise
00:14:34 en cause mais pas systématiquement. Le seul questionnement du risque de discontinuité,
00:14:39 lui par contre, là c'est inévitable. La question de la communication. Toutes les crises souffrent
00:14:46 de petits soucis de communication. L'absence de communication de l'entreprise auprès des
00:14:51 parties prenantes ou du grand public aussi, que ce soit volontaire ou pas d'ailleurs, mais quand on
00:14:59 est dans la communication sur l'événement, là par contre il ne faut pas se moquer. Ce qui nous
00:15:06 amène justement à cette question-là de l'anticipation. Est-ce que tout ça, on peut
00:15:11 l'éviter ? En médecine, on dit toujours mieux vaut prévenir que guérir. On a 30 ans de gamins à
00:15:18 saver les mains avant de cuisiner, à passer à table, en prenant une sortie en ville, etc. D'ailleurs
00:15:25 certains ont mal réappris, c'est une hygiène que l'on enseigne aux plus petits dès qu'ils
00:15:32 tiennent sur leur debatte. De la même manière, anticiper une crise c'est toujours préférable,
00:15:38 c'est moins coûteux, bien sûr que de devoir la gérer, de devoir récupérer une situation dégradée
00:15:44 a posteriori. Alors, qui veut bien anticiper doit être en mesure de comprendre et de prévoir un
00:15:49 déroulement futur de la manière la plus complète et la plus précise possible. Là, l'anticipation
00:15:54 elle est étroitement liée à la prise de décision et pour être efficace, on doit pouvoir réduire
00:15:59 en fait le plus possible l'incertitude. Sauf qu'en cyber, on regarde généralement l'inverse. C'est
00:16:06 au contraire la probabilité de réussite d'une attaque, générant l'incident, voire la crise,
00:16:12 enfin une crise. Alors, pour comprendre et connaître ces probabilités, pas besoin d'être
00:16:17 un grand expert en fait, juste un petit effort. Sans parler d'anticipation extrêmement ciblée
00:16:26 pour autant. C'est vrai que la pandémie récente, elle a mis quand même en avant les outils
00:16:31 numériques. On est tous partis travailler, aller à la maison pour la plupart avec des
00:16:37 ordinateurs personnels. Je ne vous raconte pas le bazar entre le mélange de la vie perso et
00:16:41 de la vie pro. C'était un Disneyland pour les cybercriminels. Bref, on a vu le meilleur,
00:16:46 on a vu aussi et surtout je dirais le pire. On a vu l'utile, on a vu le problématique,
00:16:51 avec un constat quand même. Sans eux là, sans ces outils, sans cette partie de la
00:16:59 couche physique du cyberespace, qu'est-ce qu'on aurait fait ? Alors, l'interdépendance de notre
00:17:06 économie numérique, de notre société avec la technologie, elle est telle en fait qu'aucune
00:17:11 entreprise aujourd'hui, aucune organisation, aucun État ne pourra plus se permettre de ne pas investir
00:17:16 dans de l'expertise et construire du coup des compétences en cyber pour prévenir les intrusions.
00:17:21 Intrusions informatiques, cyberattaques bien évidemment. Il suffira en fait d'un petit
00:17:25 incident isolé, le fameux grain de sable là dans la machine pour que la crise survienne.
00:17:31 Avec cette petite particularité aussi d'atteinte aux données personnelles pour ensuite conduire
00:17:36 l'attaque. Voilà, particularité de la crise cyber. On a cette volonté humaine, cette menace qui rend
00:17:43 aussi la crise beaucoup plus volatile et moins prévisible. C'est un développement quand même
00:17:48 qui a été très bien mené par Pascal Stetschel dans l'ouvrage. Donc nous on parle d'anticipation,
00:17:55 mais la réussite, comme il même l'explique, je suis tout à fait d'accord avec lui, elle n'est pas là.
00:18:01 Il faut qu'on parte, vous le savez, du principe qu'on sera attaqué. Aujourd'hui, demain, dans
00:18:10 deux semaines, bref. On le sera à un moment ou à un autre. On peut être le plus grand expert au
00:18:15 monde, remarque même l'égo sur dimension que ce n'est pas un problème, une logique d'attaque,
00:18:20 un jour on se fera attaqué. Donc on a tous l'intérêt d'être en réalité dans de la
00:18:27 prévention continue pour gérer, pour éliminer si on peut, les petits incidents et leurs effets
00:18:34 cumulatifs pour se préparer en fait à la grande crise qui va survenir. Comme ça, on s'en sort plus
00:18:40 fort, on va mieux préparer, etc. Là, c'est ce qui est qualifié de crise par une entreprise encore
00:18:47 peu mature, mais pour une organisation qui est bien préparée, ce sera simplement un petit incident.
00:18:52 C'est ce qu'on appelle devenir résilient. Le chemin vers la résilience, il passe quand même de
00:18:58 façon incontournable par les grands sujets, les fondamentaux de la gestion de crise cyber,
00:19:01 qui sont détaillés un petit peu plus loin. Je vais essayer de faire un petit surf rapide parce
00:19:08 que bien sûr, en une heure, c'est quand même très court. C'est de la question, d'abord, de la
00:19:13 législation, des technologies de soutien et les méthodologies de gouvernance, des compétences
00:19:18 et expertises de réaction, la clé de voûte qui est la communication et puis bien sûr, l'importance
00:19:23 du rétexte intérieur. Dans tous les cas, la pièce maîtresse de tout ce bazar, ça reste l'humain.
00:19:29 Vous avez tous entendu à un moment donné qu'en informatique, le problème majeur se situe entre
00:19:35 la chaise et le clavier. Il faut investir dans des solutions techniques. C'est négligeant,
00:19:40 c'est débile, c'est dangereux de sortir l'humain de l'équation de la protection parce que,
00:19:47 tout simplement, la grande majorité des attaques ciblent justement le facteur humain,
00:19:52 puisqu'ils sont négligés. Et puis dans tous les cas, vous pouvez avoir la forteresse la plus
00:19:57 imprenable possible. Si vous avez quelqu'un de l'intérieur, que ce soit volontairement ou parce
00:20:03 qu'il est demeuré, qui ouvre la porte, ça ne sert plus à rien. Donc l'humain, il est fondamental.
00:20:11 Et d'ailleurs, c'est pour lui qu'on fait tout ça. Il est et il restera central pour une organisation.
00:20:17 C'est à lui qu'on protège, pas seulement les actifs de l'organisation. C'est son corps à
00:20:22 l'entreprise. Alors, la meilleure défense finalement, le meilleur outil de prévention
00:20:28 et protection en cyber, ce sont les employés de l'organisation. Eux, ce sont le premier parfum de
00:20:36 l'entreprise, mais uniquement s'ils sont convenablement informés, sensibilisés et formés
00:20:41 aux enjeux et menaces cyber. Pour une anticipation efficace, la vigilance, c'est la clé. La démarche,
00:20:51 elle doit être évidemment proactive, progressive, pour sensibiliser, former et finalement activer
00:20:56 les personnes de votre entreprise, si vous en avez une, pour la rendre tout simplement résiliente.
00:21:01 Je ne vois plus personne. J'ai peut-être un petit souci. Pour sensibiliser efficacement,
00:21:17 ce qui est certain, c'est que ça doit s'adresser à l'ensemble des parties prenantes. Pourquoi ?
00:21:23 Parce que justement, de la tête de gondole de l'entreprise jusqu'au personnel de ménage,
00:21:31 la fragilité, elle se trouve là. Et à travers ces personnes-là, on a des failles, en vérité,
00:21:39 qui sont exploitées d'une manière extrêmement intelligente par tous ceux qui résident un peu
00:21:44 dans le Disneyland, je dirais, du Dark Web. Dark Web, entre guillemets. Donc, finalement,
00:21:52 qu'est-ce qu'on fait ? Eh bien, on essaie de se préparer à cette organisation-là,
00:21:57 en s'adaptant par les caractéristiques qui sont propres au cyber. Et ces caractéristiques-là,
00:22:05 qu'est-ce que c'est ? Eh bien, la question de la gouvernance, qui va détenir l'autorité pour
00:22:09 prendre les décisions les plus fondamentales, qui va décider de payer si on tombe sur une
00:22:14 rançon, est-ce qu'on a des petits signaux qui sont avant-coureurs ? Là, c'est quand même tout
00:22:20 le personnel qui peut être en mesure de repérer quelque chose de bizarre, en plus du personnel
00:22:24 de l'éti. Et aller croire que tout ça, ce n'est qu'un effet uniquement processuel et qui n'est
00:22:33 pas humain. Là, c'est une des croyances les plus répandues quand on parle de décideurs.
00:22:36 On a l'exemple de Merckx en 2017, où le Viper, notre Pétia, au début, je vous rappelle qu'on
00:22:44 pensait que c'était un rançon judiciaire, mais finalement, non, il a bloqué des activités
00:22:48 critiques pour l'entreprise pendant plusieurs semaines. On a des patients qui étaient de
00:22:51 facto en danger. Pourquoi ? Parce que dépendant des médicaments vitaux produits par l'entreprise.
00:22:56 Alors Merckx s'est focalisé sur la restauration des fonctions de base pour garantir une production
00:23:01 critique, mais fondamentalement, la question humaine, vous ne pouvez pas l'écarter. Aujourd'hui,
00:23:09 on a quand même, je dirais, les premiers morts, même si ce n'est pas tout à fait officiel,
00:23:15 dû à des cyberattaques. Une autre caractéristique, c'est la question de l'embarras des décideurs
00:23:21 aussi. C'était un peu compliqué de dire qu'on est une entreprise solide, avec une bonne réputation,
00:23:30 et de dire qu'on s'est fait un peu pigeonner, en fait, et que du coup, on se retrouve en pleine
00:23:36 crise cyber. Là, on a quand même une autre problématique, c'est la question de la
00:23:39 communication. L'élite pédophile qui est ici vous dira qu'il ne faut jamais, jamais, jamais
00:23:47 essayer de planquer ça sous le tapis. Au contraire, communiquez, mais ça en verra un petit peu plus.
00:23:51 Bref. Dans tous les cas, s'il ne faut pas être un grand expert pour essayer de préparer cette idée
00:23:59 là, que l'on sera à côté, que ce sera touché un jour, il ne faut jamais se laisser impressionner
00:24:08 par les aspects techniques. Un système d'information, c'est complexe, et personne dans l'organisation,
00:24:15 surtout lorsqu'elle dépasse une taille assez critique, n'a de compréhension totale absolue
00:24:20 dedans. Donc, il faut garder de la cohérence, de l'objectivité dans son jugement. Ça, c'est
00:24:26 quand même salvatant. Les cas de cyberattaque amènent toujours l'humain, on va voir des
00:24:34 comportements qui sont problématiques dans la gestion d'une telle crise. Par contre, on a des
00:24:40 décideurs qui posent eux-mêmes problème. C'est le côté de la délégation totale aux techniciens
00:24:45 par peur de l'incompréhension. Ça, c'est global. C'est là que vient aussi ce mur entre la technique
00:24:50 et la cohérence, c'est-à-dire que le décideur, s'il n'est pas lui-même en fait à la tête d'une
00:24:55 boîte issue de l'IT, va se dire "c'est trop compliqué, ça ne me concerne pas vraiment,
00:25:01 c'est aux techniciens de tout résoudre, vous vous démerdez, vous allez me résoudre ça,
00:25:05 moi je ne suis pas responsable". En fait, si, légèrement. Donc, on ne peut pas déléguer
00:25:12 totalement les décisions aux techniciens. C'est comme laisser un conseil scientifique décider
00:25:18 seule des mesures économiques, sociales, politiques et sécuritaires d'un pays en
00:25:21 cas de pandémie. Ça vous dit quelque chose ? La crise cyber, elle peut avoir des implications
00:25:27 au niveau de l'intégralité des procès issus de l'organisation et au-delà. Il est fondamental,
00:25:34 dans ce cas, que le top management conserve son caractère décisionnel final. C'est garant de la
00:25:40 politique globale. Mais on a aussi l'inverse, c'est-à-dire la sursimplification d'un problème.
00:25:46 On a d'autres décideurs qui développent en fait une vision mentale simplifiée à outrance,
00:25:51 donc elle est forcément tronquée de ces systèmes-là. Ça amène naturellement à des
00:25:55 prises de décision qui sont totalement inadaptées. Donc, quand je vous dis que la sensibilisation,
00:26:02 elle doit viser absolument tout le monde, ce n'est pas pour rien, c'est de la tête de l'étoile
00:26:06 jusqu'en bas. Mais pas seulement, on est dans la boîte, mais on est aussi en dehors de la boîte,
00:26:13 de la boîte ou de l'organisation, quelle qu'elle soit, pas seulement les entreprises,
00:26:18 que ce soit les usagers, les clients, les fournisseurs aussi, toutes les parties prenantes
00:26:23 en fait. Mais plus sur ce sujet, un peu plus loin, pour établir une prise de conscience,
00:26:30 une compréhension des questions de sécurité, c'est dans le but de tout ça de développer ce
00:26:34 qu'on appelle une culture de sécurité. Pour me concentrer dessus, je ne vous ai pas mis
00:26:40 totalement les slides, donc là c'est quelque chose que vous avez dans le livre que Pascal
00:26:45 Stetschner a modifié et amélioré, c'est issu de la boutique de UNISA, l'adressement
00:26:50 d'une compagnie de sensibilisation à l'entreprise. Bien sûr le PowerPoint sera disponible,
00:26:56 vous verrez avec les organisateurs. Là du coup j'ai un petit peu trop de lumière.
00:27:05 On travaille donc sur cette culture de sécurité qui doit être globale. En fait,
00:27:13 l'entreprise ou l'organisation ne sera pas en mesure de protéger la confidentialité,
00:27:17 l'intégrité, la disponibilité des informations et des systèmes vitaux, sans s'assurer en fait
00:27:23 que toutes les personnes impliquées comprennent vraiment leur rôle, les responsabilités,
00:27:27 qu'elles comprennent et appliquent aussi les mesures de protection, les procédures,
00:27:31 toutes les politiques de sécurité qui sont mises en place pour ça. Il faut aussi qu'elles aient
00:27:35 les connaissances nécessaires, l'accès aussi aux ressources subtiles, aux prévenirs, protéger,
00:27:39 tout ça contre les menaces les plus connues. On a quand même une époque des hôpitaux qui se
00:27:44 sont laissés piéger parce qu'un ou une secrétaire avait cliqué sur le mot de lien,
00:27:50 sur son adresse perso, qu'elle avait accès depuis l'hôpital. C'est quand même assez dingue
00:27:54 aujourd'hui de se dire ça. Donc la sensibilisation en entreprise, qu'on appelle campagne de
00:28:01 sensibilisation en terme, elle doit être vue comme un investissement à long terme. Et c'est
00:28:06 peut-être même à la sensibilisation l'aspect le moins coûteux en fait de la sécurité. Un peu
00:28:11 de temps, oui, mais ça reste le moins coûteux. Avec un projet de campagne de sensibilisation,
00:28:16 on aura vraiment un cycle de vie, de conception à l'évaluation, qui pourrait être plus détaillé,
00:28:22 mais pas vraiment le temps, pour avoir un résultat qui soit quand même optimal. Donc là,
00:28:26 chaque itération doit être spécifique, réaliste, mais aussi mesurable. C'est pas la peine de faire
00:28:32 une petite campagne et de complètement laisser tomber derrière parce qu'à l'heure où on veut
00:28:36 dire que les personnes ont été sensibilisées, au bout de deux mois, c'est fini. C'est lâché,
00:28:42 on reprend ses anciennes habitudes. Donc, suivez pourquoi pas la stratégie qui est proposée
00:28:50 justement par l'ENISA, qui est assez intéressante. On est sur la planification et la conception,
00:28:55 les éléments d'exécution, de suivi, on a l'évaluation et les ajustements. Bref, c'est
00:28:59 plutôt intéressant. Ce qui est certain, c'est que pour être efficace, en fait, la sensibilisation
00:29:03 doit être alignée avec les buts et les objectifs de l'organisation. Peu importe qu'elle traite
00:29:08 l'information sensible de ses clients ou pas, mais dans ces cas-là, elle doit miser sur la
00:29:12 confidentialité. Un acteur qui, lui, est impliqué dans un domaine temps réel, en fait, lui, va miser
00:29:19 sur la disponibilité de ses services. Bref, on adapte, bien sûr, à son secteur d'activité.
00:29:24 La prévention contre le ressentiment fictiel, je ne suis pas sûre que ce soit très intelligent
00:29:31 de vous la redonner là, mais ce sont des petits gestes, en fait, qui sont très simples à
00:29:38 transmettre, autant faut-il qu'il y ait une volonté globale de tous. La question du
00:29:45 ressentiment fictiel, elle paraît technique à la base, mais en fait, elle ne l'est pas. Enfin, pas seulement,
00:29:49 en tout cas. Ce sont toujours les réflexes qui sont à développer. Donc, dans l'équipe du projet de
00:29:55 sensibilisation, elle doit être constituée seulement de personnes issues justement de l'univers technique.
00:30:00 Vous devez y inclure des personnes issues du juridique, du financier, tout ça, c'est focalisé
00:30:06 vraiment sur l'humain. Donc, la vraie sensibilisation, elle ne se restreint pas à diffuser des messages,
00:30:11 des informations, c'est fédérer un véritable changement. On le sait que les groupes criminels
00:30:16 utilisent des renseignements judiciaires en ciblant vraiment des personnes de départements financiers
00:30:21 ou des ressources humaines. Tout ça, enfin, tout ce qui est factures, commandes de vie, CV ou autres
00:30:26 documents centrés sur l'humain, de nos jours, c'est quasiment exclusivement échangé par mail.
00:30:34 Donc, tout ça, on y ajoute gentiment un petit cheval de croix, un autre logiciel déroulé, et puis ça ouvre
00:30:41 grand la porte en fait au système interne de la boîte. Je rappelle d'ailleurs, s'il y a des étudiants
00:30:47 qui nous écoutent, que publier limite en photo son CV sur LinkedIn avec toutes ses données personnelles,
00:30:53 son téléphone, son adresse perso, son adresse mail, à quel âge on a perdu sa première dent,
00:30:58 bref, c'est pas super intelligent. En matière de sécurité numérique, on essaie de ne publier
00:31:03 que l'essentiel. Et puis, en termes de contact, si un professionnel veut vous contacter, il va le faire
00:31:09 par la messagerie, tout simplement. Bref, tout ça va nous amener assez rapidement donc à la question
00:31:17 de la législation, justement en matière de protection des données, en matière de sécurité
00:31:22 numérique, en commun. Donc, pourquoi est-ce qu'être conforme à la législation, c'est important ?
00:31:28 Tout simplement parce qu'on ne fait pas des lois pour s'amuser. Ça prend du temps, ça coûte de
00:31:35 l'argent, certes, certains s'y retrouvent, mais l'idée n'est pas là. L'idée, c'est de permettre à
00:31:41 tous d'avoir accès à une conformité qui est adéquate, proportionnelle et accessible avec
00:31:50 des outils qui sont quand même proposés, pour la plupart gratuitement, d'autres un peu plus poussés
00:31:55 non, mais évidemment, dans tous les cas, la sécurité n'a jamais été totalement gratuite. Je suis
00:32:00 désolée, mais les ceintures que vous avez aujourd'hui dans vos voitures, vous les avez payées à un moment
00:32:05 donné. Pareil, quand vous avez acheté votre maison, le prix comprend les serrures sur la porte. Bref.
00:32:10 Donc, vous avez pas mal de textes, quand même, qui sont un véritable pilier d'anticipation, de réponse
00:32:17 à la crise cyber et qui surtout vous évitent aussi de gros ennuis, en fait, lorsqu'il vous arrive un
00:32:23 pépin. Si vous n'êtes pas conforme, vous allez vous faire taper méchamment sur les doigts. Bref.
00:32:30 J'ai voulu miser sur deux, principalement. C'est le RGPD et la célèbre Directive 12, qui vient
00:32:38 juste d'arriver. Non, je vais pas détailler là. La question du RGPD, elle est fondamentale. On a
00:32:49 essayé, j'ai bien essayé parce que la communication, elle a pas été super, de dire aux gens, ça y est,
00:32:56 vous avez de nouveau, je vais dire, un coup de projecteur sur la reprise en main, la maîtrise
00:33:02 de vos données personnelles. Je rappelle que les données personnelles, elles, ne vous appartiennent
00:33:06 pas, on a simplement des droits dessus, droits de maîtrise, principalement. Ça a été, je dirais,
00:33:14 un véritable, pas coup de fouet, mais plutôt dans le bon sens, en vérité, en matière de sécurité
00:33:20 des données personnelles. Pourquoi ? Parce que les entreprises et toutes les organisations,
00:33:25 d'ailleurs, qui traitaient les données de personnes résidentes sur le territoire de l'Union
00:33:31 Européenne ou de l'espace économique européen, devaient se mettre en conformité, être en
00:33:36 adéquation avec ce règlement, ça voulait dire adapter donc sa sécurité et jeter un coup d'œil
00:33:41 dessus, mettre les mains dans le combouis. Alors, si je dois me fier à ma propre expérience,
00:33:46 j'aurais de très mauvais chiffres en matière de proportionnalité d'organisations qui sont
00:33:53 véritablement conformes aujourd'hui, même si je maintiens que la conformité RGPD, c'est plus
00:33:58 un chemin, en vérité, qu'un aboutissement, puisqu'on n'est jamais totalement conforme. Mais ce
00:34:05 qu'on doit avoir derrière, c'est une volonté. Alors, bien évidemment, quand on a trouvé à une
00:34:10 époque accessible par tous les listes du personnel avec la copie de leurs arrêts maladie, toutes les
00:34:19 informations sur leur famille, quand vous avez le CSE qui publiait largement le nom de leurs
00:34:24 gosses, l'âge, etc. C'était un cauchemar, il ne fallait vraiment pas de cardiaque. Mais surtout,
00:34:29 on protégeait aussi, certes des traitements illégaux, mais de tout ce qui était vol de
00:34:37 données, et perte accidentelle, même si la question du vol pourrait être beaucoup plus
00:34:43 problématique. Mais dans tous les cas, des données dans la nature, vous savez que ça ne se récupère
00:34:47 jamais. Donc, le RGPD, qui a reçu lui-même un bon coup de boost depuis la pompe Snowden de
00:34:55 2013, en 2012-2013, est un outil qui est fondamental. Et aujourd'hui, je passe sur tous les autres
00:35:05 règlements, directives, etc. et les normes, même s'il ne se trouve pas des législations qui sont
00:35:09 quand même intéressantes et importantes, à la question de la directive NIS2, qui pourrait en
00:35:14core faire croire qu'on veut pousser les entreprises à encore plus d'obligations, etc. Bref,
00:35:20 encore des empêcheurs de tourner en rond. Je ne suis pas sûre que là, il s'agisse de ça,
00:35:25 mais vraiment de réunir toutes nos forces, nous-mêmes, pour adapter notre réponse au cyberattaque,
00:35:34 principalement à tous ces défauts de sécurité. On réveille un peu plus de monde, en fait.
00:35:39 On peut passer à la question de la technique et de la gouvernance, qui, dans ces cas-là,
00:35:48 justement, de cybercrises, doivent être véritablement liés. Ils doivent discuter,
00:35:56 se comprendre, travailler ensemble. Je pense d'ailleurs qu'il y a un grand avenir, en fait,
00:36:00 dans les métiers qui sont liés, justement, à mener à faire ce pont entre la technique et la
00:36:06 gouvernance. C'est Nicolas Loicfort qui avait développé ça dans le livre, un Canadien que
00:36:11 j'apprécie beaucoup, qui a un CV vraiment impressionnant et qui est toujours aussi humble,
00:36:16 c'est assez extraordinaire, que vous pouvez faire intervenir. Vraiment, c'est quelqu'un qui
00:36:21 vous surprendra. Bref, pour lui, la technique et la gouvernance, elles ont toujours été,
00:36:27 en tout cas très souvent, mises en opposition. Sauf que, bien évidemment, aujourd'hui,
00:36:31 c'est plus possible. Si vous allez dans une simple boutique informatique, que vous leur demandez de
00:36:40 vous changer la batterie de votre ordinateur et puis vous commencez à discuter, justement,
00:36:44 de l'Annecy ou de l'Annecy 2, etc., la plupart du temps, vous allez vous regarder avec des yeux
00:36:48 rouges. C'est un problème. Et cette situation-là, en fait, elle va s'aggraver lors d'une crise.
00:36:53 Pourquoi ? Parce que les actions, elles doivent s'exécuter à une très grande vélocité,
00:36:57 en fait, et maintenir une cohérence qui doit être impeccable à nos objectifs de l'entreprise,
00:37:02 et pas seulement pour le service technique. La sortie de l'incident, elle se fait lorsque
00:37:06 les systèmes reprennent. On a un fonctionnement qui revient pour servir les objectifs d'affaires.
00:37:11 C'est plus compliqué que ça, mais voilà. Certes, il faut qu'on dissocie aussi la gouvernance du
00:37:17 management. Je ne vais pas le faire là vu le temps qu'il nous reste. Mais ne pas oublier que
00:37:23 si la technique a longtemps aussi refusé de collaborer avec la gouvernance, ce n'est pas
00:37:26 totalement de leur fait. C'est que pour eux, il y avait une lourdeur énorme qui était associée à
00:37:32 la déconnexion aussi de la réalité de la gouvernance avec les opérations. Alors pour la gestion
00:37:37 d'incidents, la perception courante, c'est que la crise cyber, elle doit être gérée uniquement par
00:37:42 la technique. Ça, encore une fois, ce n'est plus possible. Le rôle fondamental de la gouvernance,
00:37:49 c'est de planifier l'escalade interne. On a les différents canaux de communication qui sont
00:37:54 préétablis. Les personnes sont conscientes de leur rôle, etc. avec une crise décisionnelle,
00:37:58 bref tout ça. Mais de l'autre côté, par contre, on doit accepter aussi que l'équipe technique,
00:38:02 ce sont les guerriers qui vont mettre en oeuvre les moyens nécessaires pour contenir et résorber
00:38:06 l'incident. Il faut prendre des décisions en chemin, comme la conservation des preuves,
00:38:10 si on dépose une plainte, etc. Mais on a aussi trois erreurs à éviter. Trois erreurs qu'il ne
00:38:18 faut pas faire, c'est tout d'abord ne pas utiliser la gouvernance pour expliquer comment on doit
00:38:23 faire le job. La gouvernance, elle va fournir les informations stratégiques, les orientations,
00:38:28 qui vont être les balises pour éviter les actions des équipes techniques. Elles vont leur donner,
00:38:32 en fait, une forme de règle d'engagement. Ensuite, on a un autre piège, c'est l'anticipation de tous
00:38:37 les scénarios possibles. Là, franchement, en matière cyber, non. C'est un effort qui est
00:38:44 vraiment démesuré, en fait, par rapport aux bénéfices. C'est extrêmement onéreux, chronophage,
00:38:49 bref. On peut se contenter quand même des grandes familles d'incidents qui doivent être
00:38:54 définies, bien sûr, par la gouvernance pour guider ensuite les efforts de préparation. Et puis,
00:39:00 le troisième piège, j'aurais même dit que c'était le principal, c'est de se préparer, en fait,
00:39:05 en vase clos, c'est-à-dire que l'équipe de gouvernance se met d'un côté, l'équipe technique
00:39:11 se prépare de l'autre. Non, non. La gestion de crise, cyber, c'est un événement qui nécessite
00:39:18 une véritablement grande collaboration entre toutes les équipes et surtout de l'univers,
00:39:24 en fait, des TI. C'est cette collaboration qui devient encore plus importante lorsque des
00:39:28 aspects légaux et de relations publiques entrent en jeu. Voilà. Alors, avec tout ça, comment est-ce
00:39:34 que finalement on se prépare ? Comment est-ce qu'on se forme ? Comment est-ce qu'on anime
00:39:40 la simulation, l'exercice de gestion de crise cyber ? La question qui m'avait été posée,
00:39:45 c'est est-ce que... Oui, quelqu'un a parlé ? Non ? Bon, j'ai cru. Est-ce que tout le monde doit
00:39:54 le faire ? Je dirais non, pas forcément. Par contre, quand vous avez des actifs particuliers,
00:40:01 quand vous avez une certaine taille, des données spécifiques, il faut quand même y réfléchir.
00:40:06 Réaliser un exercice de simulation de crise, ça a un coût. C'est un coût, même si on le fait en
00:40:16 interne, ça prend aussi du temps pour, par exemple, les exercices que l'ANSI fait avec
00:40:23 les opérateurs d'attente hôpitale, ça se prépare en plusieurs mois. Et la mise en œuvre,
00:40:30 elle dure aussi elle-même un certain temps. Bien sûr, on ne sait pas en général chaque année qui
00:40:36 est testé ou autre, ce sont des questions un peu plus sensibles. Mais voilà, tout le monde n'a pas
00:40:44 forcément besoin de le faire. Mais si on le fait, et je dirais quand même que si on a les moyens de
00:40:49 le faire, il faut le faire, il faut penser à tout le monde dedans. Puisque vous avez plusieurs
00:40:56 ingrédients quand même pour réussir tout ça. Vous avez celui qui va organiser l'exercice,
00:41:03 qui va devoir quand même prendre en compte absolument tous les points de l'organisation.
00:41:07 Et puis aussi, quelles zones on prépare. Est-ce qu'on prépare à la fois l'aspect technique,
00:41:12 est-ce qu'on prépare justement l'aspect gouvernance ? On essaie de faire l'ensemble.
00:41:17 J'ai donné, j'ai mis le petit logo de Icon, justement, qui est organisé en 2018 en CTF,
00:41:25 spécifiquement lié justement à une gestion de crise avec une attente à des systèmes d'information
00:41:33 qui ont mis le bazar dans une ville. Je pense que Pierre-Marie pourra en parler un petit peu plus
00:41:39 tout à l'heure. Mais voilà, ça fait partie par exemple des activités d'Icon, ces simulations
00:41:45 de crise. Alors, quand on est au cœur de la crise, qu'est-ce qu'on fait ? Jérôme Serres,
00:41:56 qui est un senior advisor du Cybersercle, nous dit que l'ingrédient secret, eh bien,
00:42:01 c'est le pilotage. Qui dit pilotage, dit forcément pilote. Son casting, sa capacité en fait à
00:42:10 coordonner les opérations de manière transverse, ça va être un des éléments déterminants du
00:42:14 succès de la gestion de crise. Là, chaque acteur du dispositif, certes, il participe au succès,
00:42:21 je veux dire de la résilience, mais le rôle du pilote en tant que tel, il est vraiment à part.
00:42:26 Il n'est pas un expert technique, c'est pas un spécialiste métier, c'est pas un dirigeant,
00:42:31 surtout pas. Mais il doit faire preuve en fait de bonne connaissance dans tous ses domaines,
00:42:36 que ce soit technique, que ce soit réévaluationnelle, tout ça. Bref, dans tous ses domaines. C'est pour
00:42:42 ça que ce sont des métiers qui n'existent pas forcément, il n'y a pas de véritable formation
00:42:47 pour ça. Bref, l'AMSI lui a donné un nom, elle l'a baptisé le ROC, le responsable des opérations
00:42:54 de cyber défense. Tout ça pour accompagner en fait la victime dans son processus de gestion de crise,
00:43:00 jusqu'au rétablissement de son activité. Le pilote, il a différentes responsabilités. Je ne veux pas
00:43:08 non plus trop m'étendre dessus, je vais vous renvoyer au diapo pour avancer un peu plus vite.
00:43:14 Un peu plus vite sur quand la crise frappe. Alors, quand elle frappe, on peut diviser ça en deux
00:43:24 phases. La phase de surprise. Ok, on découvre le problème, on comprend surtout le problème,
00:43:31 parce que parfois on a des aignées. Et là, on déclenche le plan de gestion de crise. Après le
00:43:36 déclenchement, on a compris, ok, c'est une attaque qui pourrait ressembler à de telle nature. Les
00:43:42 systèmes sont arrêtés, on n'arrive plus à accéder aux documents de travail, etc. Donc là, on distingue
00:43:50 les deux phases, on a découvert, et puis on a ensuite, après le déclenchement du plan de gestion
00:43:55 de crise, l'intervention. Le prestataire de réponse à un incident, s'il est externe, il intervient et
00:44:01 commence l'investigation numérique et on débute la remédiation. Même si on reste au cœur de
00:44:06 la crise, attention, et toujours en collaboration avec les équipes internes. Donc, les premières
00:44:12 heures, elles restent fondamentales quand la crise a démarré. Ce qu'il ne faut pas oublier de faire,
00:44:17 c'est de consigner les observations et les premières mesures qui sont prises aussi. Ça doit être écrit,
00:44:24 même à la main, on s'en fiche, on a tous quand même encore un crayon quelque part, un bout de papier
00:44:28 qui traîne, on doit écrire ce qui se passe. Ça va être fondamental, en fait, pour la suite. Ensuite,
00:44:35 bien sûr, on a l'activation des cellules de crise, à ce stade, dans des couples assez courtes,
00:44:40 quand même, une coupe de discussion sur les mobiles, les mobiles permanents, les cellules de crise,
00:44:45 etc. On privilégie ça, quand même. Et puis, on essaie quand même de gérer simultanément deux
00:44:52 cellules. La cellule qui est décisionnelle et la cellule qui est technique. Chacune, elle devra
00:44:58 quand même au préalable avoir désigné un secrétaire chargé de justement de tenir la
00:45:01 main courante et de produire une minute des échanges. Encore une fois, écrire ce qui se
00:45:06 passe, c'est essentiel. Donc là, la cellule décisionnelle, elle va piloter la crise à
00:45:11 travers les conséquences pour préserver l'activité et on essaie d'analyser en fait qu'est-ce qui
00:45:18 fonctionne encore, qu'est-ce qui ne fonctionne plus, qu'est-ce que ça concerne, etc. La cellule
00:45:22 technique, elle, elle va réunir DSI, RSSI, responsables infrastructures. Je rappelle quand
00:45:27 même qu'on n'est pas de côté du DPO. Le DPO, je dirais même qu'il est à cheval d'ailleurs entre
00:45:33 les deux cellules. Il a un rôle qui est essentiel. Bref, la cellule technique, elle a quand même la
00:45:38 mission, en premier temps, de piloter les mesures d'isolation et de collecter les informations
00:45:42 nécessaires à la cellule décisionnelle. Et puis dans un second temps, elle aura quand même la charge
00:45:47 de décliner en action technique les priorités qui sont fixées aussi par la cellule décisionnelle. Et
00:45:53 quand la crise s'installe, qu'est-ce qui se passe ? On a passé les premières heures, le dispositif
00:45:58 de gestion de crise, il a trouvé son petit régime de croisière. Voilà. L'investigation, elle a
00:46:08 démarré et puis on a tous très envie de redémarrer. Sauf que non, en fait, on ne redémarre pas trop
00:46:15 vite. C'est extrêmement délicat de trouver cet équilibre entre quand est-ce qu'on redémarre,
00:46:21 quand est-ce que c'est trop tôt, quand est-ce que c'est trop tard. Parce que oui, on peut redémarrer
00:46:26 trop tard aussi. Ce qui est conseillé, bien souvent, c'est de consacrer au moins 48 heures à
00:46:31 l'investigation. Pendant deux jours, non, on ne redémarre pas. On analyse tout ce qui est
00:46:37 analysé, les équipes font tout leur travail et ensuite, une fois qu'on aura deux éléments
00:46:42 fondamentaux, notamment la date de compromission et puis les premiers marqueurs, une fois qu'on a
00:46:49 à peu près confiance en ces éléments-là, oui, on peut commencer à redémarrer. Je rappelle que
00:46:56 cette crise, elle n'est pas technique. Enfin, pas seulement. Les salariés aussi, ils n'auront pas
00:47:03 besoin d'être informés de la situation. Est-ce qu'ils vont être mis au chômage partiel ? Est-ce
00:47:08 qu'ils vont recevoir leur salaire ? Est-ce qu'ils peuvent venir travailler sur le site ? Quand est-ce
00:47:14 qu'ils vont pouvoir se reconnecter ? Imaginez si ce sont justement des personnes qui accompagnent
00:47:19 des personnes en situation de handicap ou des mandataires judiciaires où tout est particulièrement
00:47:27 délicat, tout doit être répondu au jour le jour. Ce sont des questions qui sont sensibles et qui
00:47:35 touchent aussi à l'émotionnel. Tout ce qui est question de fuite de données, je ne vais pas
00:47:41 m'affairer dessus parce que vous le savez, on ne cache pas une fuite de données. Vous avez 72
00:47:47 heures en général pour le signaler à la clinique lorsqu'elle a des effets négatifs potentiels sur
00:47:54 les victimes. Bref. Mais ce qui va être intéressant, c'est aussi le paiement de la rançon. Alors,
00:48:02 toujours plusieurs écoles, est-ce qu'on paie la rançon ? Est-ce qu'on ne la paie pas ? Il faut
00:48:07 savoir qui va décider justement de payer la rançon ou pas. On paie la rançon en général
00:48:16 que quand on est extrêmement mal préparé, quand on n'a absolument aucune sauvegarde déconnectée,
00:48:24 quand on sait qu'on va mettre 300 personnes au chômage ou exposer physiquement des victimes.
00:48:32 C'est vraiment quand on est mal préparé. Bien évidemment, la leçon générale, la position
00:48:40 de base, c'est de ne jamais, jamais payer la rançon. Vous vous rendez compte que là,
00:48:46 on a des cyberassurances, enfin, des assurances cyber, qui sont même prêtes à payer la rançon
00:48:53 plutôt qu'à vous accompagner finalement dans la gestion de la crise et de l'incident,
00:48:57 parce que ça leur coûte beaucoup moins cher. On ne peut pas non plus être dans l'interdiction
00:49:03 légale de payer la rançon, comme l'avait proposé une députée, je crois. On n'est pas encore assez
00:49:08 mature pour ça. Bref, avançons davantage jusque à l'après-démarrage. On peut redémarrer si
00:49:19 l'incident est bien avancé, presque clos, même s'il n'est pas terminé. Du moment que les effets
00:49:28 généraux sont circonscrits, que les conséquences sont maîtrisées, on peut lancer le redémarrage
00:49:34 avec une surveillance des systèmes très précise. Parfois, il faut sortir de crise,
00:49:41 même lorsque l'incident n'est pas terminé. Pourquoi ? Parce que si l'incident perdure,
00:49:47 quand même. Je rappelle que ça a des coûts, mais ça n'a pas que des coûts, ça a aussi un effet
00:49:52 très lourd sur les équipes. Elles dorment peu, elles sont angoissées. Bref, relancer une partie
00:50:01 de la machine, ça peut être plus intéressant finalement que de laisser tout ça gripper,
00:50:07 même quand ce n'est pas complètement terminé. Là, je vous renverrai quand même directement
00:50:11 au manuel des fondamentaux de la gestion de crise cyber qui détaille avec précision pourquoi.
00:50:18 L'horaire, il reste huit minutes à peu près.
00:50:22 Oui, c'est parfait. Je gère le temps, sans souci. Sans confondre vitesse et précipitation,
00:50:30 il faut quand même savoir prendre des décisions. Sortir de crise va avoir un ensemble d'effets
00:50:36 bénéfiques. Ça va rendre possible l'arrêt ou la diminution des mesures spécifiques qui sont
00:50:41 liées à la gestion de crise. Vous l'avez vu pour le Covid. À un moment, on avait quand même le truc
00:50:45 qui continuait à tourner de manière un peu différente, mais on n'avait pas d'autre choix
00:50:50 que de déconfiner. Continuer à enfermer les gens des années, comme ce qu'a fait notre grand pays,
00:50:56 ça a eu des effets délétères. Donc, on passe ensuite sur un mode de suivi d'incidents,
00:51:04 un peu plus classique et mieux maîtrisé, certes. Encore une fois, sur le plan des ressources
00:51:09 humaines, qui reste capital dans la gestion d'une crise, ça va permettre de revenir vers
00:51:15 une organisation plus proche de la normale. On va poser les choses, diminuer les effets sur
00:51:20 les équipes. C'est le repos physique et moral des effectifs. Moins d'heures supplémentaires,
00:51:24 moins de rotation est égale à moins de stress. Je ne vous raconte pas le nombre d'employés qui
00:51:30 sont en arrêt maladie parce qu'ils ont été achevés justement par la crise. Ce n'est pas l'objectif
00:51:35 de créer une sur-crise finalement. Alors, ça va aussi permettre de mettre toute l'énergie sur le
00:51:43 suivi d'incidents et la surveillance. On va s'appuyer sur d'éventuelles ressources externes,
00:51:48 ou au contraire diminuer le besoin d'accompagnement avec une réorganisation, une réattribution des
00:51:53 ressources internes. Néanmoins, je ne conseille jamais de se passer du regard extérieur. Pourquoi ?
00:52:00 Parce que si on est en échec dans cette sortie de crise, le retour de bâton est quand même assez
00:52:07 méchant. Donc on reste accompagné. On reste accompagné même pour la communication. La
00:52:17 communication de sortie de crise, mais la communication qui a été normalement bien
00:52:22 encadrée tout au cours de la crise. Pourquoi ? Parce que communiquer en cas de crise sivert,
00:52:27 c'est très différent que de communiquer en cas de crise classique. Lénig, Bedron,
00:52:33 écrivait donc cinq étapes. Le chapitre est beaucoup plus gros, bien sûr son expérience
00:52:38 est plus importante, mais voilà quelques bases qui permettent quand même de ne pas trop se
00:52:44 tromper. C'est de toujours bien se préparer en matière de communication, de ne jamais rien
00:52:51 cacher non plus. On ne peut pas planquer quelque chose sous le tapis. Tout ce qui est numérique,
00:52:56 de toute façon, ça sort un moment ou un autre. Pour réagir de la bonne façon, il faut aussi
00:53:03 avoir quand même des pistes de réflexion qui sont intéressantes. C'est tout l'aspect de la
00:53:08 hiérarchisation de l'information, c'est-à-dire à qui est-ce qu'on communique en premier. On va
00:53:12 parler aux salariés, aux victimes et après seulement peut-être à la presse. La question
00:53:23 des scénarios de la meilleure éventualité, la pire éventualité, il faut aussi les étudier.
00:53:31 Dire au mieux il peut se passer ça, au pire il pourra se passer ça. On fait des scénarios de
00:53:38 crise qui sont possibles, mais encore une fois on ne rentre pas non plus dans les 15 millions de
00:53:43 possibilités qui existent. On évite quand même l'aspect trop chronophage. Par contre, on reste
00:53:48 honnête. On ne peut pas cacher une information en matière numérique. Dans l'entreprise, on doit
00:53:54 aussi avoir désigné une personne contact, à la fois pour les personnes extérieures, mais aussi
00:53:59 pour l'interne. Les salariés ont besoin de savoir ce qui se passe, quand est-ce qu'on va bien bosser.
00:54:03 On pense toujours aux outils de veille digitale, c'est-à-dire que ce qu'il faut éviter c'est
00:54:09 justement l'infodémie. On évite de laisser circuler des stupidités. Il vaut mieux dire
00:54:17 la vérité plutôt qu'avoir des rumeurs qui sont encore pire finalement que la réalité. On se fait
00:54:24 accompagner bien sûr sur la communication aussi de sortie de crise. Et une fois qu'on sort de crise,
00:54:31 quelque chose de très important, c'est bien sûr le retour d'expérience. Alors, il est l'heure,
00:54:38 donc malheureusement j'ai légèrement un petit peu de retard, quelques minutes de retard,
00:54:46 mais tant pis. Vous aurez accès au PowerPoint avec quand même les points essentiels. On dresse
00:54:52 toujours un bilan, un bilan à chaud, à tiède et puis à froid avec tous les axes individuels,
00:54:58 en groupe. Bref, on débriefe, on travaille dessus et on s'améliore bien sûr pour la suite. Pour vous
00:55:05 accompagner, donc pour conclure cette intervention, vous avez quand même beaucoup de choses qui sont
00:55:10 accessibles, que ce soit en anglais, moi j'ai ciblé les méthodes en français, avec l'ANSI qui est
00:55:16 plus quand même pour la question opérationnelle stratégique. Vous avez d'autres formes de méthode
00:55:23 qui existent, vous avez des méthodes américaines qui sont plébiscitées aussi. Et puis, encore une
00:55:29 fois, pour le volet humain surtout, eh bien notre ouvrage qui vraiment a été rédigé par des
00:55:35 personnes extraordinaires, bon il a été extrêmement dur de récupérer bien sûr les écrits parce que
00:55:40 les plus grands spécialistes sont aussi les personnes les plus occupées, mais c'est quelque
00:55:45 chose qui vraiment a aidé beaucoup d'organisations et qui je dirais vaut le coup d'œil. Je vous
00:55:53 rassure, c'est pas commercial, on ne gagne rien dessus, ça a été réalisé pour vous et vraiment
00:55:58 en guise de soutien. Alors une question que je vais lire du coup pour que tout le monde puisse
00:56:06 y accéder. Bonjour, j'ai du mal à voir en quoi une crise cyber se distingue fondamentalement de
00:56:11 certaines crises classiques, quelque chose m'échappe certainement. En matière de sécurité
00:56:15 physique, on regarde également la probabilité de survenance d'une attaque. Par rapport à cette
00:56:19 probabilité, des mesures de prévention mais aussi d'anticipation sont mises en place, d'ailleurs
00:56:23 qu'il s'agit d'attaques focalisées sur une organisation donnée, voire même lorsque l'on
00:56:27 parle d'hypercrise comme une guerre. En vérité, je l'ai dit au début, la différence, la particularité
00:56:36 vraiment spécifique de la crise cyber, c'est sa transversalité. Après il y en a d'autres,
00:56:42 il y a le caractère bien sûr immatériel, les crises cyber elles ont lieu dans, entre guillemets,
00:56:49 je vais dire le cyberspace, qui reste un environnement qui n'est pas palpable hormis
00:56:54 à travers sa couche physique. Donc on a des attaques, des incidents qui se produisent dans
00:57:01 un espace qui peut paraître abstrait, qui peut être difficile de détecter, de localiser, ce qui
00:57:08 rend quand même cette gestion beaucoup plus particulière avec des différences notables,
00:57:12 parce que là on a des acteurs malveillants qui agissent depuis très loin, en dehors de toute
00:57:19 zone où la juridiction et les forces de l'ordre peuvent intervenir et puis de manière anonyme.
00:57:24 C'est tellement rare d'arriver à en choper un que ça fait toujours la lune de la presse. On a la
00:57:31 vitesse de propagation qui est un atout particulier. Alors certes un volcan peut entrer en éruption en
00:57:37 très peu de temps et puis raser tout ce qu'il y a autour en pas très longtemps, mais en général
00:57:42 on a quand même le moment de dire "oh regardez il y a de la fumée" avant de mourir brûlé. On a la
00:57:48 nature évolutive aussi de l'attaque et des menaces qui évoluent très rapidement. Quand on donne un
00:57:56 cours sur le cyber, l'introduction par exemple à la cybersécurité, tous les trois mois au moins il
00:58:02 faut le changer, le faire évoluer. C'est quelque chose qui est vraiment spécifique au numérique.
00:58:09 Jamais nos progrès n'ont été aussi intenses en cette matière là que depuis l'existence de
00:58:18 l'humanité. On a aussi le côté complexité technique qui aujourd'hui, à part quelques
00:58:26 personnes, est capable de nous dire très exactement comment fonctionne de A à Z l'intégralité de nos
00:58:35 systèmes. Et puis ce côté qui va avec la vitesse de propagation, bien sûr avec la dématérialisation,
00:58:43 c'est l'aspect de l'interconnectivité. Nous sommes finalement tous en lien les uns avec les autres.
00:58:51 Et ce qui fait la réussite d'un grand nombre de l'attaque, c'est ce sentiment de sécurité que
00:58:57 l'on a en étant derrière un écran chez soi. On a sa bulle là par exemple, on est dans son bureau,
00:59:03 la porte de la maison est fermée à clé, on se sent en sécurité. Pourtant derrière l'écran,
00:59:07 très peu sont conscientes qu'il y a cinq milliards d'individus et qu'on n'est pas au pays des bisous
00:59:12 morts sains. C'est quelque chose qui a tendance à être justement mis en avant par les plateformes
00:59:19 et les réseaux sociaux pour se sentir justement chez soi, entouré avec des amis, comme une soirée
00:59:28 bien sympa en fait où on s'éclate. Non, c'est pas tout à fait ça, c'est pas la réalité,
00:59:32 mais le problème c'est que ça marche. On a l'aspect géopolitique puisque c'est redevenu
00:59:38 en fait, avec ce cinquième nouvel espace stratégique, je rappelle quand même que nous
00:59:44 en Occident, nous sommes seuls à le traiter de cette manière. En Russie et puis en Chine,
00:59:49 on parle de moyens cybernétiques, on ne le considère pas comme un espace. Donc en gros,
00:59:55 pour nous, ce cyberespace s'est redevenu une forme de Disneyland en fait pour espionner ses alliés,
01:00:02 très gentiment, pour agir avec cet élément particulier qui est la furtivité. Voilà,
01:00:11 ça rabat un petit peu les cartes. En résumé, certes, il y a des similitudes entre les crises
01:00:18 cyber et les crises classiques, mais il y a surtout des caractéristiques qui sont uniques
01:00:24 en fait et qui nécessitent une approche véritablement spécifique sur plusieurs axes.
01:00:29 Une autre question que je vais vous lire, donc merci beaucoup pour la présentation,
01:00:36 je vous en prie. Une question, le chaos banqué utilisé par certaines entreprises comme Netflix
01:00:42 pour créer des pannes artificielles et s'entraîner à réagir à un prévu est-elle viable ou un effet
01:00:47 de mode ? Comment est-ce mis en place actuellement ? Alors, c'est en fait une technique qui,
01:00:54 tout le monde ne le connaît pas forcément, c'est une technique qui est utilisée par certaines
01:00:58 entreprises pour tester justement la résilience de leur système informatique en créant délibérément
01:01:03 des pannes artificielles. Là, l'objectif en fait c'est de simuler des conditions réelles
01:01:08 d'instabilité et d'imprévus pour identifier justement les faiblesses potentielles et s'assurer
01:01:12 que les systèmes peuvent se rétablir rapidement et de manière autonome. C'est sympa comme idée.
01:01:16 Le concept, comme vous l'avez dit, a été popularisé par Netflix qui a développé en fait un outil un
01:01:23 peu similaire appelé Simian Army pour générer ces pannes contrôlées dans son infrastructure
01:01:29 cloud. Alors, comment ils fonctionnent ? Ils sélectionnent en fait aléatoirement des
01:01:33 composants du système, ils les activent. C'est ce qui permet de tester les capacités de résilience
01:01:40 justement et de récupération des autres composants. Comme vous le demandez, ce n'est pas forcément
01:01:46 simplement un effet de mode, c'est plutôt une approche proactive en fait pour renforcer la
01:01:52 fiabilité des systèmes informatiques. Ça stimule les pannes dans des situations inattendues pour
01:01:57 le coup. Les équipes informatiques peuvent détecter les vulnérabilités, les points faibles, avant que
01:02:02 ça devienne des problèmes réels. Ça permet de mettre en place des patches correctifs plutôt
01:02:09 appropriés et on arrive quand même à une robustesse un petit peu plus sympa du système. Alors
01:02:15 actuellement, cette mise en place et celle de technique un peu similaire, en fait, ça varie
01:02:22 selon les entreprises. Tout le monde n'a pas les moyens non plus. On a certaines qui développent
01:02:26 d'ailleurs des outils personnels en interne pour créer justement ces pannes contrôlées. D'autres
01:02:32 en utilisent justement en open source. Alors les équipes qui sont responsables de l'infrastructure
01:02:38 et de la fiabilité des systèmes, elles travaillent généralement toujours en étroite collaboration
01:02:42 avec les équipes de développement pour définir les scénarios de test. Ce n'est pas la one again.
01:02:46 On a aussi les périodes d'exécution, les cibles spécifiques. On ne peut pas faire ça n'importe
01:02:51 où. En fait, en réalité, c'est qu'un aspect d'une approche qui est un peu plus large et qu'on
01:02:58 appelle l'ingénierie du chaos, qui vient englober des pratiques plus avancées comme la création des
01:03:03 tests de charge, la simulation de défaillances spécifiques, l'automatisation des processus de
01:03:08 récupération. Et là, tout simplement, l'objectif, il est très simple, c'est accroître la résilience
01:03:14 des systèmes, améliorer les temps de récup et réduire les conséquences et les effets sur
01:03:21 les utilisateurs finaux en cas de PEPA.
01:03:24 Merci.
01:03:24 Merci à vous.
01:03:25 Merci.
01:03:25 Merci.
01:03:26 Merci.
01:03:26 Merci à tous !
01:03:28 Merci à tous !

Recommandations

57:39
I
À suivre
09-22 : "Lundi de la Cyber": "La cybersécurité peut-elle être efficace ?" par Solange Ghernaouti
ARCSI
1:06:15
04-23 : "Lundi de la Cyber" : "La Cyber assurance", par Jean-Pierre Marbaix et Herbert Groscot
ARCSI
2:36
Conseils pratiques pour se protéger sur internet // Cybermenaces
Mot 2 Passe
2:00
Vague mondiale de cyberattaques : questions sur un virus
franceinfo
35:57
Think & Do Tank Marie Claire : Conférence sur les opportunités de carrières dans la Cybersécurité
Marie Claire
57:19
10-22 : "Lundi de la Cyber" : Parler de Cybersécurité au décideur, par Lubna Brioual
ARCSI
18:21
SMART TECH - JO 2024 : quels risques côté cyber ?
B SMART
4:29
Gérôme Billois - Le rôle du chef d’entreprise face aux Cybermenaces
Mot 2 Passe
8:14
Cyberattaques contre les hôpitaux : peut-on s'en prémunir ?
France Culture
57:24
03-23 : "Lundi de la Cyber" : "Au secours, je suis victime d'un hacker !", par Lionel Mourer
ARCSI
10:00
JEUDI PRO / Cybersécurité : où en est la France dans sa lutte contre les attaques en ligne ?
Les Numeriques
0:59
Auchan, SNCF et LU victimes d'une cyberattaque
franceinfo
1:03
Une Cyberattaque Mondiale Prévue pour 2025 ?
Omniscience
1:53:03
Lundicyber 26février2024 La cyber-résilience dans l’Union européenne, Il est temps d’agir
ARCSI
1:32
Cyberattaques : Trois réflexes à avoir en cas de piratage
20Minutes
1:20
Cybercriminalité: "cette menace nous concerne tous(...)ça peut avoir des incidences très concrètes dans notre vie", explique Yann Bonnet spécialiste des transformations numériques
BFMTV
2:31
Cyberattaques : face à une menace qui explose, la France présente sa riposte
euronews (en français)
2:29
Cyberattaques : quel danger pour les hôpitaux pris pour cible ?
franceinfo
7:35
Cyber menace : «Les attaques sont de plus en plus variées», alerte Laurent Verdier
Europe 1
7:44
Cybersécurité: Savoir protéger son entreprise - 23/11
BFM Business
1:42:05
video Lundi de la Cybersécurité de mars 2024
ARCSI
1:17:32
Lundi cybersécurité décembre 2023 - Renaud Lifchitz
ARCSI
18:15
Lundi cybersécurité décembre 2023 Lionel Guillet
ARCSI
48:07
15h10 Technologies microélectroniques facilitant la sécurité matérielle et garantissant notre souveraineté - M. Gaël Pillonet - Directeur scientifique pour les composants Silicium, LETI
ARCSI
37:24
17h00 Exposé de clôture, Pr François Pellegrini - Université de Bordeaux
ARCSI