Courtney Guss | Responsable de la gestion de crise

J'ai passé des années à aider des organisations à se préparer au pire : j'ai mis en place des programmes de gestion des risques, j'ai évalué l'impact potentiel et j'ai aidé les dirigeants à identifier ce qui compte le plus pour leur entreprise.

Une chose reste toutefois frappante : de nombreuses organisations sont encore terriblement mal préparées à gérer une véritable cybercrise.

  • Ce n'est pas parce qu'ils ne font pas d'efforts.
  • Ce n'est pas parce qu'ils manquent de talent.
  • Mais parce qu'ils ne disposent pas de conseils concrets pour prendre des décisions sous pression.

Aujourd'hui, le secteur de la cybersécurité évalue l'existence de plans, et non l'efficacité des mesures de réponse.

Figure 1 : Les lacunes en matière de communication et de coordination entravent l'efficacité des interventions en cas de cybercrise, même pour les organisations qui ont mis en place des plans d'intervention en cas de crise. (Source : Semperis | The State of Cyber Crisis Readiness)

La plupart des organisations pensent être préparées parce qu'elles disposent de plans d'intervention en cas d'incident, de guides opérationnels et d'exercices sur table. Mais ces outils s'avèrent souvent inefficaces face à la complexité du monde réel.

Pourquoi ? Parce qu'ils tentent d'écrire un scénario pour ce qui ne peut pas l'être.

Une véritable préparation aux crises cybernétiques ne repose pas sur une documentation plus abondante. Elle repose sur une vision claire des priorités de l'entreprise et des compétences décisionnelles.


Le secteur se trompe de critère

Ce n'est pas un problème nouveau, mais les cadres réglementaires du secteur continuent de renforcer une mentalité axée sur la conformité.

Les évaluations posent généralement les questions suivantes :

  • Avez-vous un plan d'intervention ?
  • Disposez-vous de guides opérationnels ?
  • Organisez-vous des exercices sur table ?

Si la réponse est oui, l'exigence est satisfaite. La case est cochée. L'organisation est considérée comme prête.

Mais lorsqu'il s'agit de gérer de manière globale les crises cybernétiques, les organisations se posent rarement les questions les plus importantes :

  • Les dirigeants savent-ils comment hiérarchiser les activités de l'entreprise en période de crise ?
  • Les équipes ont-elles conscience des conséquences financières et opérationnelles d'une panne du système ?
  • Les intervenants savent-ils qui est habilité à prendre les décisions cruciales ?
  • L'organisation peut-elle fonctionner lorsque la situation ne correspond pas au plan d'action ?

En évaluant les mauvais indicateurs, nous creusons un fossé dangereux : celui-ci donne une fausse impression de sécurité sur le papier, mais laisse les organisations vulnérables sur le plan opérationnel lorsqu'elles sont confrontées à des situations réelles.


Le mythe du guide idéal pour gérer une cybercrise

Une autre source fréquente de confusion réside dans la manière dont nous utilisons les termes « runbook » et playbook de manière interchangeable, alors qu'ils ont des fonctions très différentes. Cette confusion à elle seule peut entraîner des lacunes dans la préparation.

Les runbooks sont des guides d'exécution tactiques. Ils fournissent des instructions étape par étape pour réaliser une tâche technique spécifique. Ils sont conçus pour garantir rapidité, cohérence et reproductibilité — et s'avèrent particulièrement efficaces lorsque la situation est prévisible.

Les guides d'intervention, quant à eux, s'inscrivent à un niveau plus général. Ils fournissent des directives pour gérer une catégorie d'incidents donnée, comprenant souvent des étapes de coordination, des consignes de communication et des procédures d'escalade entre les équipes.

Les deux approches ont leur intérêt. Mais elles présentent toutes deux la même limite : elles partent du principe que la crise va se dérouler selon un scénario connu.

Les véritables crises informatiques sont rares.

Une attaque par ransomware peut entraîner simultanément la compromission d'identités, des pannes de système, l'exfiltration de données, des obligations de déclaration réglementaire, des répercussions sur les clients, un examen juridique et l'intervention des forces de l'ordre.

Aucun guide pratique ne peut prévoir un tel niveau de complexité en cascade.

Ce que je constate dans la pratique, c'est que les équipes délaissent le guide stratégique au bout de quelques heures pour se fier à leur expérience, à leur intuition et à l'improvisation.

Ce n'est pas un échec des intervenants. C'est un échec du modèle.

Nous avons formé nos équipes à suivre des protocoles, mais nous ne les avons pas dotées des moyens de prendre des décisions lorsque ces protocoles ne s'appliquent plus.

Les guides opérationnels et les manuels d'intervention restent des outils importants, mais ils ne sont pas conçus pour résoudre le problème le plus épineux de la gestion des crises cybernétiques : coordonner les décisions cruciales à l'échelle de l'entreprise lorsque la situation ne correspond à aucun scénario prédéfini.


Le véritable problème lors d'une cybercrise : la paralysie décisionnelle

Dans la plupart des crises cybernétiques, les principaux retards ne sont pas d'ordre technique. Ils sont liés aux décisions prises.

  • Qui déclare une crise ?
  • Qui peut mettre les systèmes hors service ?
  • Qui valide les communications destinées aux clients ?
  • Qui décide de ce qui doit être restauré en premier ?
  • Qui prend le risque lorsqu'il n'y a pas de solution idéale ?

Le flou entourant les compétences peut paralyser même les mesures les plus urgentes.

Pour prendre des décisions efficaces en situation de crise, les intervenants ont besoin de plus qu'un simple plan. Ils ont besoin d'un cadre décisionnel.

Un cadre décisionnel efficace en situation de crise doit définir trois éléments :

  1. Ce qui importe le plus pour l'entreprise
    Un accord clair sur les opérations essentielles, les priorités et les compromis acceptables
  2. Où les décisions cruciales sont prises
    Identifier les moments clés où des décisions doivent être prises lors de différents types d'incidents
  3. Qui détient l'autorité à ces niveaux
    Définition des responsabilités décisionnelles permettant aux équipes d'agir sans délai

Lorsque ces éléments sont définis à l'avance, les intervenants peuvent agir plus rapidement, agir en toute confiance et prendre des décisions qui resteront justifiables une fois la crise passée.

Sans eux, même les équipes les mieux formées hésitent. Et l'hésitation coûte cher.

Figure 2 : 90 % des organisations se heurtent à des obstacles majeurs qui entravent l'efficacité de leur réponse aux incidents cybernétiques. (Source : The State of Enterprise Cyber Crisis Readiness)

Tester ce qu'il faut

Si les guides d'intervention et les scénarios d'intervention ne permettent pas de rendre compte de la complexité d'une crise réelle, les exercices de simulation de crises cybernétiques doivent eux aussi évoluer.

Trop d'exercices sur table servent à valider le plan au lieu de le remettre en question .

Pour être efficaces, les exercices doivent s'articuler autour de questions telles que :

  • Les dirigeants s'accordent-ils vraiment sur les priorités de l'entreprise ?
  • Les décideurs comprennent-ils les compromis ?
  • Les équipes sont-elles capables de se coordonner sous pression ?
  • L'organisation peut-elle fonctionner avec des informations incomplètes ou contradictoires ?

Les exercices doivent reproduire :

  • Effets en cascade
  • Informations incertaines ou susceptibles d'évoluer
  • Points de décision au niveau de la direction
  • Les défis liés à la coordination interfonctionnelle

Le but n'est pas de prouver que le plan fonctionne. Le but est de prouver que l'organisation est capable de s'adapter lorsque le plan échoue.

Une véritable préparation consiste à développer la capacité de s'adapter tout en restant concentré sur l'essentiel.


La voie à suivre : commencer par définir un cap

Si nous admettons qu'il est impossible de prévoir tous les incidents, la gestion des crises cybernétiques doit alors s'articuler autour d'autres éléments.

Tout commence par une bonne coordination. Posez une question simple à votre équipe de direction :

Qu'est-ce qui compte le plus pour cette entreprise ?

J'appelle souvent cela « l'étoile polaire » de l'organisation .

Lorsque les équipes ont bien compris leur ligne directrice, elles sont capables de prendre des décisions même lorsque la situation n'est pas claire. Elles peuvent se demander :

  • Cette mesure permet-elle de protéger nos opérations les plus critiques ?
  • Cette décision correspond -elle aux priorités de nos parties prenantes ?
  • Cette mesure nous rapproche-t-elle de la reprise là où cela compte le plus ?

Si la réponse est oui, cette décision est justifiable. Si la réponse est non, cela ne devrait pas être une priorité en période de crise.

North Star ne remplace pas les guides opérationnels ni les manuels tactiques. Il permet simplement de les exploiter.

Car lorsque le scénario échoue — et cela arrivera —, l'organisation saura toujours comment prendre une décision.

Et en cas de véritable cybercrise, c'est la capacité à prendre des décisions qui fait la différence entre le chaos et la maîtrise de la situation.


Ressources connexes