Courtney Guss | Responsable de la gestion de crise

À mesure que les cybermenaces – notamment les ransomwares et les attaques commanditées par des États– gagnent en intensité et en sophistication, la gestion des incidents de cybersécurité est devenue une priorité absolue pour tous les conseils d'administration.

Mais même dans les entreprises qui ont coché toutes les cases et mis en place un cadre de gestion des incidents adéquat, je constate qu'un problème revient sans cesse lors d'incidents réels :

Les organisations savent ce qu'elles devraient faire, mais elles ne parviennent pas à se coordonner assez rapidement pour passer à l'action.

Dans le premier article de cette série (Repenser la gestion des crises cybernétiques : pourquoi les plans échouent — et comment les améliorer), j'ai fait valoir que la plupart des mesures de réponse aux incidents cybernétiques échouent non pas parce que les organisations manquent de plans, mais parce qu'elles manquent de clarté dans leurs décisions.

Les manuels d'intervention, les guides opérationnels et les exercices sur table sont utiles, mais ils ne permettent pas de prévoir toute la complexité d'une crise réelle. Lorsque le scénario prévu ne se déroule pas comme prévu, les équipes doivent pouvoir s'appuyer sur des priorités claires, des responsabilités bien définies et la capacité de prendre des décisions justifiables sous pression.

C'est là que, crise après crise, je constate que la plupart des efforts de gestion des incidents commencent à s'effriter.

  • Ce n'est pas à cause d'une défaillance technique.
  • Ce n'est pas par manque de compétences.
  • Mais parce que l'organisation n'est pas en mesure de communiquer, d'attribuer des tâches, d'assurer le suivi et de s'adapter en temps réel.

Et c'est précisément là que la gestion de crise vient combler cette lacune.


Toute crise cybernétique se transforme en un problème de coordination

On ne peut pas prendre de décisions si l'on ne peut pas communiquer. En cas de crise, c'est d'autant plus vrai.

Les services de sécurité, informatiques, juridiques et de communication, ainsi que les cadres dirigeants, les chefs d'entreprise et les partenaires externes, doivent tous agir de concert, souvent avec des informations incomplètes et des priorités en constante évolution.

En l'absence d'une méthode structurée pour coordonner cette activité, les équipes se rabattent sur les outils dont elles disposent :

  • Filières de discussion par e-mail
  • Messages de chat
  • Tableurs
  • Notes personnelles
  • Conférences téléphoniques
  • Tableaux blancs
Figure 1 : Le fait de disposer d'un trop grand nombre d'outils disparates constitue un obstacle à une réponse efficace aux cyberattaques.

Pris individuellement, ces outils fonctionnent. Ensemble, ils entraînent une fragmentation.

Les tâches passent à la trappe. Les responsabilités ne sont plus clairement définies. Les informations sont incohérentes. Les décisions sont prises sans que l'on dispose de toutes les informations nécessaires. Et les dirigeants sont contraints d'agir sans avoir une vision claire de ce qui se passe réellement.

En cas de crise, ce manque de coordination n'est pas seulement inefficace, il est dangereux.

  • On ne peut pas prendre de bonnes décisions si l'on n'a pas une vue d'ensemble de la situation.
  • On ne peut pas mettre un plan à exécution si personne ne sait à qui revient la prochaine étape.
  • Vous ne pourrez pas justifier vos actes par la suite si vous ne pouvez pas prouver ce qui s'est passé.

La gestion de crise ne se limite pas à la réponse aux incidents : c'est une question de coordination

De nos jours, les incidents cybernétiques ne sont plus gérés par une seule équipe. Ils nécessitent une action coordonnée à l'échelle de toute l'organisation.

Cela signifie que la gestion des incidents n'est plus uniquement une question technique.

  • Il est opérationnel.
  • C'est un poste de direction.
  • C'est légal.
  • C'est une question d'argent.
  • C'est une question de réputation.

Gérer un tel niveau de complexité ne se limite pas à la simple gestion de documents.
Cela nécessite une coordination.

Une capacité efficace de gestion de crise devrait offrir :

  • Une répartition claire des tâches et des responsabilités
  • Une visibilité en temps réel sur l'avancement et les obstacles
  • Flux de travail définis et adaptés au type d'incident
  • Suivi des décisions et procédures d'escalade
  • Coordination de la communication entre les équipes
  • Documentation centralisée des actions et des résultats

Sans ces éléments, même le plan de gestion de crise le mieux conçu échoue lors de sa mise en œuvre.

Grâce à eux, les organisations peuvent agir plus rapidement, rester sur la même longueur d'onde et garder le contrôle même lorsque la situation évolue.


La réalité de la gestion des incidents aujourd'hui : des équipes dispersées et pas le temps de se réunir

Autrefois, la gestion de crise reposait sur un postulat qui n'est plus valable aujourd'hui : celui selon lequel les bonnes personnes pouvaient se réunir dans une même pièce.

Aujourd'hui, les entreprises opèrent à l'échelle mondiale, dans des environnements de travail hybrides, sur des plateformes cloud et en collaboration avec des prestataires tiers. Les intervenants clés peuvent se trouver dans différentes villes, différents pays ou différents fuseaux horaires. Le service juridique peut travailler à distance. Les dirigeants peuvent être en déplacement. Les ressources techniques essentielles peuvent être gérées par des prestataires de services ou des partenaires externes.

En cas de véritable cybercrise, on n'a pas le temps de mettre en place une cellule de crise physique. Et même si c'était possible, les personnes dont vous avez le plus besoin ne seraient peut-être pas en mesure de s'y rendre assez rapidement. Attendre que tout le monde soit réuni prend du temps — et en cas de crise, le temps est la ressource la plus précieuse dont vous disposez.

Chaque heure perdue en raison de retards liés à la coordination peut signifier :

  • Pannes prolongées
  • Impact financier accru
  • Une plus grande exposition des données
  • Dépassement des délais réglementaires
  • Perte de confiance des clients

Le modèle traditionnel de gestion de crise — qui consiste à réunir tout le monde au même endroit pour assurer la coordination — n'est plus adapté aux organisations modernes.

C'est pourquoi le concept de centre de commande virtuel est devenu indispensable.

Figure 2 : Pour améliorer leur préparation aux crises, les organisations doivent organiser régulièrement des exercices sur table qui permettent à toutes les parties prenantes de se confronter à des scénarios de crise cybernétique concrets et réalistes.

La salle de crise virtuelle : une coordination en cas de crise sans limites géographiques

La gestion moderne des crises nécessite un espace permettant une coordination immédiate, quel que soit le lieu où se trouvent les personnes concernées.

Un centre de commandement virtuel — ou une salle de crise virtuelle — permet aux organisations de réunir les bonnes personnes sans qu'elles aient besoin d'être physiquement présentes au même endroit. Cet espace virtuel offre des avantages essentiels :

  • Les équipes peuvent rejoindre la réunion instantanément, où qu'elles se trouvent
  • La direction peut bénéficier d'une visibilité en temps réel
  • Les tâches peuvent être attribuées sans confusion
  • La communication reste centralisée
  • Les décisions sont consignées au fur et à mesure qu'elles sont prises
  • Des partenaires externes peuvent être associés si nécessaire

Au lieu d'attendre que tout le monde se retrouve dans la même pièce, c'est la pièce qui vient à eux.

C'est bien plus qu'une simple question de commodité. C'est ce qui permet aux organisations de commencer à gérer la crise immédiatement, plutôt que de perdre un temps précieux à essayer d'organiser la réponse.

Dans les environnements distribués, l'orchestration n'est pas seulement utile : elle est indispensable.

Sans point de coordination virtuel, l'intervention se fragmente rapidement en discussions parallèles, en mises à jour décousues et en décisions non suivies. Nous devons rassembler les intervenants essentiels afin qu'ils puissent communiquer, partager des informations, prendre des décisions en fonction de ce qu'ils constatent sur le terrain et réduire le manque de coordination entre les équipes.

Une salle de crise virtuelle offre une source unique d'informations fiables dans les moments les plus chaotiques, permettant ainsi aux équipes dispersées de fonctionner comme une seule et même unité d'intervention coordonnée, même lorsqu'elles sont réparties aux quatre coins du monde.


Une meilleure visibilité permet de prendre de meilleures décisions

Dans « Repenser la gestion des crises cybernétiques », j'ai abordé l'importance de définir les pouvoirs décisionnels et les priorités opérationnelles.

Mais l'autorité seule ne suffit pas. Les dirigeants ne peuvent pas prendre de décisions efficaces sans avoir une bonne visibilité.

En période de crise, les décideurs doivent comprendre :

  • Ce qui a été réalisé
  • Ce qui est encore en cours
  • Qu'est-ce qui est bloqué ?
  • Quels sont les systèmes concernés ?
  • Quels sont les risques qui augmentent ?
  • Quelles mesures auront le plus grand impact ?

Sans cette visibilité, les décisions relèvent de la conjecture et deviennent difficiles à justifier ou à défendre, ce qui contribue à la paralysie décisionnelle.

Une fois le processus coordonné mis en place, les dirigeants peuvent suivre l'état d'avancement de la réponse en temps réel. Ils peuvent établir des priorités en se basant sur des faits, et non sur des hypothèses. Ils peuvent ajuster le cap sans perdre le contrôle de la mise en œuvre.

C'est ce qui permet à une organisation de passer d'une attitude réactive à une attitude réfléchie, même en pleine crise.


La responsabilité reste importante une fois l'incident terminé

L'un des aspects les plus négligés de la gestion de crise est ce qui se passe après l'événement.

Tout incident cybernétique majeur finit par soulever des questions :

  • Que s'est-il passé ?
  • Quand l'avons-nous su ?
  • Qui a pris cette décision ?
  • Pourquoi avons-nous pris cette mesure ?
  • Avons-nous suivi notre procédure ?
  • Aurions-nous pu faire mieux ?

Ces questions peuvent émaner des autorités de régulation, des clients, des auditeurs, des conseils d'administration, des assureurs ou de la direction interne.

Si la gestion de l'intervention s'est faite par e-mails, via des journaux de discussion et à l'aide de notes éparses, il devient pratiquement impossible de reconstituer la chronologie des événements. Cela engendre des risques bien après la résolution de l'incident technique.

Une réponse coordonnée apporte quelque chose de différent :

  • Relevé des mesures prises
  • Chronologie des décisions
  • Documentation relative aux autorisations
  • Preuves d'une coordination
  • Preuve que l'organisation a respecté sa procédure

Cela ne se limite pas à garantir la conformité. Cela protège l'organisation. Cela permet aux dirigeants de défendre leurs décisions en toute confiance.

Et dans le contexte réglementaire et juridique actuel, cela revêt autant d'importance que la réponse elle-même.


L'orchestration renforce la maturité à tous les niveaux

L'une des idées reçues les plus répandues est que l'orchestration est réservée aux organisations très matures.

En réalité, c'est tout le contraire.

  • Les organisations peu matures ont besoin de structure.
  • Les organisations ayant atteint un haut niveau de maturité ont besoin de coordination.
  • Les organisations de taille moyenne ont besoin de cohérence.

L'orchestration est utile à chaque étape.

  • Les organisations moins matures se dotent d'une structure.
  • Les organisations les plus matures gagnent en dynamisme.
  • Les organisations très matures acquièrent une meilleure maîtrise et une meilleure capacité de défense.

L'orchestration ne remplace pas la planification. Elle permet de mettre en œuvre la planification même sous pression.

Figure 3 : Le modèle de maturité des capacités (CMM) — un cadre largement reconnu pour l'évaluation des opérations commerciales — est couramment utilisé pour aider les organisations à améliorer leur maturité en matière de cybersécurité.

Comment les organisations parviennent à rebondir après un incident cybernétique

Toute organisation espère éviter une crise. Mais des incidents finiront par se produire .

La différence entre les organisations qui se remettent rapidement sur pied et celles qui peinent à s'en sortir ne réside pas dans le nombre de plans d'action dont elles disposent.

La question est de savoir s'ils sont capables de :

  • Se concentrer sur l'essentiel
  • Prenez des décisions sans hésiter
  • Assurer la coordination à l'échelle de l'entreprise
  • Garder la tête froide en situation de stress
  • Consignez ce qui s'est passé
  • Justifier leurs actes après coup

C'est ce que permet une gestion efficace de la crise.

  • Il transforme les projets en réalité.
  • Il transforme les décisions en actions.
  • Il transforme le chaos en maîtrise.

Et une fois la poussière retombée, seules les organisations les plus solides pourront affirmer ce que peu d'autres sont en mesure de dire.

Nous ne nous sommes pas contentés de réagir. Nous avons géré la crise.


En savoir plus