Crise cyber : comment gérer l’après ?

C’est très difficile à déterminer. En règle générale, la crise est considérée comme finie quand les mesures exceptionnelles d’organisation mises en place pour la régler sont arrêtées. L’entreprise touchée par une cyberattaque repasse ainsi en fonctionnement normal. Les membres des cellules de gestion de crise sont démobilisés et le suivi post-crise est intégré dans les activités quotidiennes.

Le plus important est de réaliser une analyse post-mortem portant sur la manière dont a été gérée la crise. Il est conseillé de tout consigner, écrire avec précision ce qui s’est passé, quelles actions ont été prises, par qui et à quel moment. Cette documentation devient une sorte de boîte noire et permet d’analyser à froid ce qui a été bien fait tout en identifiant les mauvaises décisions qui ont été prises. L’idée étant évidemment de s’améliorer.

Communiquer après une crise cyber peut s’avérer délicat car les impacts sur l’image et le business sont réels. Malgré tout, nous constatons que le silence demeure rarement une bonne idée. Dès que l’information est publique, l’entreprise se fait assaillir de questions de la part des médias et de messages sur les réseaux sociaux. Il est indispensable de diffuser une communication uniforme, régulièrement mise à jour, sur l’ensemble des moyens de communication. En outre, la communication interne permet de sensibiliser les salariés et partenaires aux bonnes pratiques concernant la cybersécurité. C’est une opportunité de gagner en maturité sur les questions de sécurité informatique.

L’une des erreurs les plus communes que nous observons est de ne pas suivre correctement le plan d’action de remédiation défini ou de ne le faire que partiellement, car on se croit sorti d’affaire. Cela amène à ne pas corriger entièrement un risque identifié latent. De même, les entreprises ont tendance à ne pas tester les dispositifs de gestion de crise. Nous conseillons d’effectuer un exercice de crise au moins une fois par an. C’est d’ailleurs la fréquence imposée par la règlementation aux organismes du secteur bancaire. Enfin, la documentation de crise est souvent à retravailler. Parfois, celle-ci existe mais elle est illisible, alourdie par des termes jargonneux et des formats peu pratiques comme des documents de cinquante voire soixante-dix pages. Il faut garder en tête que les fichiers de crise serviront surtout en cas de nouvelle attaque : les formats courts, simples et clairs sont donc à privilégier.

Tout dépend de l’ampleur de la crise. Parfois, certaines entreprises ne s’en remettent pas… c’est notamment le cas des plus petites. Les sociétés plus matures, celles du CAC 40 par exemple, subissent des dizaines d’attaques chaque jour. La cybersécurité est intégrée à leurs processus, elles sont préparées et s’entraînent. C’est réellement la clé : plus une entreprise s’est préparée en amont, moins les impacts de la crise seront difficiles à gérer. Guillaume Poupard, le directeur général de l’ANSSI[1] répète souvent qu’il existe deux types d’entreprises : celles qui ont été piratées et celles qui le seront dans le futur. Nous pouvons ajouter une troisième catégorie : les entreprises ayant déjà été attaquées qui seront de nouveau prises pour cible. Les crises cyber font partie du quotidien : nous ne le répèterons jamais assez, il faut apprendre les bons gestes pour réagir au mieux au moment de l’attaque.

Les entreprises ayant une clientèle B2B ont la possibilité de leur communiquer de la documentation prouvant que les actions de remédiation et de sécurisation ont bien été mises en place. Elles peuvent aussi réaliser des audits, effectués par des organismes neutres, extérieurs à l’entreprise. Il est également conseillé de constituer un comité de suivi, qui sera notamment chargé de communiquer auprès des clients sur ce qui est réalisé au quotidien. Pour les sociétés ayant une cible B2C, c’est un peu plus complexe. Nous conseillons de communiquer sur la cyberattaque, d’être transparents, montrer via les réseaux sociaux ou les médias que des actions ont été mises en place, transmettre les conclusions des audits de sécurité… Adopter une posture humble et apprenante, se servir de la crise comme d’un point de départ pour devenir irréprochable en matière de cybersécurité peut être pertinent.

Je leur conseillerais de se faire accompagner. Elles n’y pensent pas toujours mais la CNIL[2] ou l’ANSSI sont là pour les aider. Participer à des groupes de travail, des conférences – comme celles organisées par le CLUSIF[3] notamment – permet de rencontrer ses pairs, de constituer son réseau. Il faut garder en tête que toutes les entreprises sont ou seront prises pour cible. Un concurrent est avant tout quelqu’un qui vit la même situation que soi.

Notes

[1]Agence nationale de la sécurité des systèmes d’information

[2]Commission nationale de l’informatique et des libertés

[3]Club de la sécurité de l’informatique français