17 janvier 2022

|

Marc-Antoine LEDIEU

Marc-Antoine LEDIEU – Avocat et RSSI

#373 gestion et communication de crise cyber : les bons réflexes

#373 gestion et communication de crise cyber : les bons réflexes

#373 gestion et communication de crise cyber : les bons réflexes

Des expériences professionnelles récentes m’ont conduit à m’intéresser de (très) près à la gestion et la communication de crise cyber.

Il m’a donc fallu me documenter sur le sujet de la gestion d’une crise, d’une part, et la communication en temps de crise d’autre part.

Comme je n’ai pas vocation à remplacer les professionnel(le)s spécialisé(e)s de cet art tout à fait particulier, j’ai profité de ma collaboration avec Emmanuelle HERVE qui dirige le cabinet EH&A Consulting pour « assimiler » les grands principes de ce métier particulier. 

Les slides ci-dessous sont le fruit de cette collaboration, avec un éclairage particulier au profit des crises cyber. 

Car comme disait publiquement Guillaume POUPARD, Directeur Général de l’ANSSI, en 2021, la situation en terme de sécurité des système d’information « n’est pas bonne »… et tout laisse à penser que ça va empirer encore pendant quelques mois / années… 

Oui, les crises cyber sont inéluctables, j’en ai fait les frais à titre personnel (mon téléphone, mon site web, toussa…).

podcast NoLimitSecu #350 du 17 janvier 2022 "Rançongiciels : gestion de crise"

podcast NoLimitSecu GESTION COMMUNICATION crise cyber + PRIORISATION © Ledieu-Avocats

 

Cerise sur le gâteau, alors que je préparais mes slides, j’ai eu le plaisir de participer à l’enregistrement de l’épisode #350 du podcast NoLimitSecu diffusé le 17 janvier 2022.

Cet épisode traite de la gestion (pas que technique) d’une crise cyber liée à l’installation d’un ransomware / cryptolocker (ou rançongiciel en Molière dans le texte, pour faire plaisir @ Hervé SCHAUER).

Les explications de Jérome SAIZ y sont particulièrement intéressantes car pragmatiques (ça sent le vécu…).

Les slides que vous trouverez dans ce post ne sont en rien un résumé de ce podcast, mais une approche professionnelle, simplifiée certes, des problématiques de la gestion d’une crise (par exemple cyber) et de la communication institutionnelle que l’entreprise devrait mettre en place en pareilles circonstances.

CE QU'IL FAUT RETENIR GESTION COMMUNICATION crise cyber © Ledieu-Avocats technique droit numérique

 

Alors, voyons quels sont les grands principes à retenir pour bien gérer sa crise (notamment cyber) et comment posséder les règles de base de la communication professionnelle en temps de crise. 

Evidemment, posséder les bases ne vous dispensera pas de faire appel à un(e) professionnel(le) le moment venu…. Au moins, vous aurez quelques bons réflexes professionnels pour éviter, dès le départ, d’aller droit dans le mur….

Pour les amateurs/amatrices de BD, bienvenue dans l’univers de Carmen mc Callum, qui affronte dans les tomes 1 à 3 de cette série géniale un chef de gang yakuza qui cherche à fusionner avec une IA dragon…

gestion et communication de crise cyber : l'intro (en image)

gestion et communication de crise cyber : quelques définitions (pour béotien(ne)s et pour être sûr de parler de la même chose...)

Urgence ? Crise ? Crise cyber ? 

Gestion de crise en entreprise ?

Communication d’entreprise en temps de crise ? 

Quelques définitions pour se mettre d’accord sur ce dont on parle ici.

Urgence ? Crise ? Crise cyber ? GESTION COMMUNICATION crise cyber © Ledieu-Avocats technique droit numérique

 

Tentons d’abord une petite typologie des différentes sortes de crise qu’une entreprise peut rencontrer ?

Car il n’y a pas que le cyber dans la vie d’une organisation…

Tous les détails sont dans les slides que vous trouverez ci-dessous.

gestion et communication de crise cyber : les ingrédients et le déroulé (classique) d'une crise + l'importance de la comm' en temps de crise

Ce qui est interessant lorsqu’on travaille avec un(e) professionnel(le) de la gestion de crise, c’est de réaliser comment le process de survenance d’une crise peut se systématiser, avec ses ingrédients, son déroulé…

le déroulé invariable d'une crise GESTION COMMUNICATION crise cyber © Ledieu-Avocats technique droit numérique

 

Evidemment, nous insisterons sur les particularités des crises cyber, dont l’importance dépend rarement des images que peut produire ce type de crise auprès des médias. 

Tous les détails sont dans le slider ci-dessous.

gestion et communication de crise cyber : comment il faut communiquer en temps de crise (les DO et les DON'T)

Lorsque vous écouterez les communicant(e)s d’une entreprise en train d’affronter une crise cyber, vous serez sans doute frappé(e) par la variété des messages dont vous serez le/la destinataire…

Déjà, voyez les « 9 péchés capitaux de la communication de crise » ou « tout ce qu’il ne faut pas dire » . C’est édifiant.

Les 9 péchés capitaux de la communication de crise GESTION COMMUNICATION crise cyber © Ledieu-Avocats technique droit numérique

 

Vous ne serez donc pas foncièrement surpris(e) par la nature des messages à faire passer, notamment auprès des médias. 

Le bon sens reste une valeur sûre, ainsi que les principes de transparence et d’honnêteté.

Plus de détail ? allez parcourir les quelques slides de résumé ci-dessous.

gestion et communication de crise cyber : gérer, c'est bien, se préparer et anticiper (l'inéluctable), c'est mieux...

« Si vis pacem, para bellum » comme toujours…

Se préparer au pire est également un principe cardinal pour toute organisation qui tend vers un peu de résilience…

Ne pas se préparer n’empêchera pas la survenance d’une crise, quelle qu’elle soit… Haaaaa… la politique de l’autruche et le fameux « je suis trop petit, je ne risque rien » sont mauvais conseiller en la matière.

anticiper avec la méthode du pire GESTION COMMUNICATION crise cyber © Ledieu-Avocats technique droit numérique

 

De l’avis des professionnels, se préparer à gérer une crise en professionnel raisonnable (article 1188 du Code civil qui remplace depuis 2016  la notion désuète de « bon père de famille » …), cela signifie anticiper en envisageant le pire.

ça tombe bien, les pro en la matière ont une méthode pour cela : « les scénarios d’évolution défavorable« .

Pour celles et ceux plus familiers avec le monde de la cyber, pensez à la méthode d’analyse des risques EBIOS RM de l’ANSSI : on envisage les scénarios d’attaque probables et on construit ensuite sa politique technique de sécurité du système d’information.

Partant de cette base empirique, les professionnels organisent leur process de remonté des alertes et d’escalade lorsqu’un « évènement » est identifié comme constituant une crise.

On évoque alors l’organisation d’une cellule de management de la crise.

Il faut ensuite identifier les parties prenantes à la crise et classer leur positionnement selon une méthode tout à fait identique à celle enseignée à l’Ecole de Guerre Economique, notamment dans la formation exécutive MSIE « Management stratégique et intelligence économique« .

Pour accéder à plus de détail, allez lire les slides ci-dessous.

gestion et communication de crise cyber : la priorisation des actions techniques face à une cyber crise/attaque

Abordons ici certains aspects techniques de la gestion d’une crise cyber.

NON, la priorité n’est pas d’appeler votre avocat (histoire vécue) mais bien d’initier au plus vite la remédiation technique à la crise.

Comme le rappelle très justement Jérome SAIZ dans le podcast NoLimitSecu, si vous devez gérer une crise cyber, par exemple du fait de l’action d’un cryptolocker, vous êtes d’abord victime. Et la preuve de vos actions de remédiation est plus importante pour un juge que la détermination (très hypothétique) d’un dommage que vos actions auraient entrainé au détriment d’un tiers. 

ça ne veut pas dire que vous pouvez faire n’importe quoi, quand même, surtout dans la mesure où officiellement, l’ANSSI s’oppose à toute attaque numérique en riposte par un acteur privé. On appelle cela le « hack-back » en jargon cyber.

Cliquez sur ce lien pour accéder au podcast NoLimitSecu (oui… encore…) de 2019 sur ce sujet précis si vous souhaitez en savoir plus.

prioriser la réponse technique à incident cyber GESTION COMMUNICATION crise cyber © Ledieu-Avocats technique droit numérique

 

Outre la lecture des slides que je vous  propose ci-dessous, je vous invite à écouter deux podcast NoLimitSecu très éclairant sur la réalité de la gestion technique des crises cyber :

– l’épisode CERT / CSIRT du 20 décembre 2015 ;

– l’épisode #182 du 4 juin 2018 « CERT en ébullition » avec Vincent NGUYEN et Marc-Frédéric GOMEZ, qui détaillent certains aspects de véritables crises cyber qu’ils ont eu à gérer, soit comme prestataire externe, soit au profit de leur entreprise.

Comme dirait le proverbe « l’expérience est une lanterne qui n’éclaire que celui qui la porte« …

gestion et communication de crise cyber : des obligations légales de gestion technique d'une croise cyber ? OUI, ça existe... pour certains "opérateurs" VITAUX ou ESSENTIELS

Comment ne pas évoquer les obligations légales de gestion technique de crise qui s’imposent aux OIV et aux OSE ?

Effectivement, le problème de la gestion de ce type de crise est depuis quelques années suffisamment prégnant pour la loi s’en soit emparée.

des opérateurs soumis à des obligations légales de gestion GESTION COMMUNICATION crise cyber © Ledieu-Avocats technique droit numérique

 

Soit vous travaillez dans une entreprise classée OIV ou OSE, et vous devriez lire les slides ci-dessous qui vous concernent directement.

Soit vous n’êtes pas directement impacté(e) par ces obligations… mais vous devriez regarder ce que la loi impose aujourd’hui à certains opérateurs vitaux ou essentiels… car – n’en doutez pas – les obligations légales en la matière vont se multiplier… Voyez par exemple le projet de directive UE « Critical Entities » du 16 décembre 2020 ou le projet de Règlement UE « DORA » du 24 septembre 2020 pour le secteur financier…

Si l’Europe s’en mêle, c’est que le problème est structurant pour l’ensemble des Etats membres…

Le générique des BD ayant servi d'illustration à cette présentation (merci aux Editions Delcourt / Soleil !)

Vous voulez en savoir plus sur les bandes dessinées utilisées pour illustrer cette présentation ? Cliquez sur le lien qui vous intéresse !!!

« Carmen mc Callum » premier cycle en 3 tomes (tome 1 par Duval Vatine Blanchard et Gess et tomes 2 et 3 par Duval et Gess) © éditions Delcourt [une série extrêmement visionnaire sur les problématiques d’IA]

« Arctica » 11 tomes par Pecqueur et Kovacevic © éditions Delcourt

« La nef des Fous » 11 tomes par Turf © éditions Delcourt

« Odin » 2 tome par Jarry et Seure-Le Bihan © éditions Soleil

« Au-delà des merveilles » 2 tomes par Yohann « Wyllow » Puaud © éditions Clair de Lune (2 tomes ré-édités en 2021 et le tome 3 final qui ne devrait plus trop tarder…)

« L’Oeil de la Nuit » 3 tomes (absolument remarquables) par Lehman et Gess © éditions Delcourt

Marc-Antoine Ledieu

Avocat à la cour

Nos articles sur le sujet :
CYBER SÉCURITÉ

Nos articles sur le sujet :
CYBER SÉCURITÉ