Dans de nombreuses organisations, la gestion des crises cyber est naturellement confiée au RSSI. Après tout, c’est lui l’expert de la cybersécurité. Souvent, c’est également lui qui a initié les démarches de continuité d’activité sous l’angle de l’informatique,.
Cette situation semble donc logique. Pourtant, une question mérite d’être posée : une crise cyber est-elle réellement la crise du RSSI ?
La crise cyber : une crise comme les autres
Malgré son origine technique, une crise cyber dépasse très rapidement le cadre informatique.
Un ransomware, une fuite de données ou une indisponibilité du système d’information entraînent bien plus que des problèmes techniques. Ils peuvent avoir des conséquences :
Sur les opérations et les métiers : l’indisponibilité d’applications, de données ou d’outils de production peut entraîner une dégradation, voire un arrêt, de certaines activités. Les processus métiers peuvent être ralentis ou devoir être réalisés en mode dégradé, avec des impacts potentiels sur la qualité de service, les délais ou la capacité à assurer les missions de l’organisation.
Sur la relation avec les clients ou les usagers : l’interruption de services, l’impossibilité d’accéder à certaines prestations ou encore la compromission de données personnelles peuvent affecter la confiance des clients, des usagers ou des partenaires. Les équipes en contact avec ces derniers doivent également gérer les réclamations, les demandes d’information et les éventuelles inquiétudes suscitées par l’incident.
Sur la communication interne et externe : une crise cyber impose de communiquer rapidement et de manière cohérente, aussi bien auprès des collaborateurs que des clients, partenaires, autorités ou médias. Une communication inadaptée ou contradictoire peut aggraver la situation et alimenter les rumeurs, l’incompréhension ou la perte de confiance.
Sur les obligations réglementaires et juridiques : certaines situations peuvent entraîner des obligations de notification auprès des autorités compétentes, des personnes concernées ou des partenaires contractuels. Des responsabilités juridiques peuvent également être engagées, notamment en cas de fuite de données, de non-respect d’obligations réglementaires ou de litiges avec des tiers.
Sur l’image et la réputation de l’organisation : au-delà de l’incident lui-même, la manière dont celui-ci est géré peut avoir des conséquences durables sur la perception de l’organisation. Une crise mal maîtrisée peut affecter sa crédibilité, son attractivité ou la confiance accordée par ses clients, ses usagers, ses partenaires ou ses collaborateurs.
Sur les aspects financiers et stratégiques : les coûts liés à la gestion de l’incident, à la remédiation, aux pertes d’exploitation ou aux éventuelles sanctions peuvent être importants. Une crise cyber peut également remettre en cause certains projets, perturber la stratégie de développement ou modifier les priorités de l’organisation pendant plusieurs mois.
En d'autres termes, la crise cyber n'est pas une crise informatique ; c'est une crise globale.
Les mêmes fonctions que dans toute autre situation de crise doivent être mobilisées : direction générale, métiers, communication, juridique, ressources humaines, finance, voire partenaires externes. La composante cyber n’est finalement qu’un des nombreux volets à traiter.
Il est d’ailleurs intéressant de constater que la plupart des grandes crises récentes, qu’elles soient liées à des attaques cyber ou non, obéissent aux mêmes principes de gestion : comprendre la situation, arbitrer, communiquer, coordonner et décider en temps contraint et sous pression.
Le RSSI : un expert indispensable, mais pas nécessairement un coordinateur de crise
Le RSSI occupe évidemment une place centrale dans la réponse à incident. Son expertise est indispensable pour qualifier l’attaque, nourrir l’anticipation et apporter sa connaissance du milieu cybercriminel.
Pour autant, être expert d’un domaine ne signifie pas automatiquement être gestionnaire de crise.
Une discipline à part entière
Ne pas multiplier les rôles
La gestion de crise nécessite des compétences spécifiques :
- coordination de multiples acteurs ;
- prise de décision dans l’incertitude ;
- animation de cellules de crise ;
- gestion des parties prenantes ;
- communication sous stress ;
- arbitrages stratégiques.
Nous détaillerons ces points dans un futur article.
Or, tous les RSSI n’ont pas été formés ou acculturés à ces pratiques. Leur parcours est avant tout celui d’experts techniques ou de responsables de la sécurité de l’information.
En situation de crise majeure, le RSSI est déjà fortement sollicité.
Il doit :
- piloter les équipes SSI ;
- suivre les investigations ;
- dialoguer avec les prestataires et les experts ;
- évaluer les impacts sur le système d’information ;
- proposer des scénarios de rétablissement.
Lui demander, en parallèle, de coordonner l’ensemble de la crise revient à lui imposer une double casquette difficilement tenable.
Le risque d'une vision trop centrée sur le cyber
Par nature, le RSSI aborde les événements à travers le prisme de la sécurité numérique.
Or, les arbitrages de crise sont rarement purement techniques. Ils impliquent des considérations :
- opérationnelles ;
- financières ;
- humaines ;
- réglementaires ;
- réputationnelles.
La meilleure décision d’un point de vue informatique n’est pas toujours la meilleure décision pour l’organisation dans son ensemble.
Le rôle du coordinateur de crise consiste justement à prendre de la hauteur et à rechercher l’équilibre entre ces différents enjeux.
Vers une gouvernance plus mature de la gestion de crise
Si la gestion de crise ne doit pas reposer uniquement sur le RSSI, comment l’organiser ?
Faire émerger une fonction dédiée à la continuité et à la gestion de crise
Les organisations les plus matures distinguent généralement :
- la gestion des risques ;
- la cybersécurité ;
- la continuité d’activité ;
- la gestion de crise.
Cette approche permet de disposer d’une fonction transverse, capable de coordonner l’ensemble des acteurs en cas d’événement majeur, quelle qu’en soit l’origine.
Le RSSI devient alors ce qu'il doit être : un expert de premier plan au sein de la cellule de crise, et non son unique chef d'orchestre.
Obtenir un engagement fort de la direction
La gestion de crise est avant tout une question de gouvernance.
Sans soutien de la direction générale, il est difficile :
- d’instaurer une véritable culture de crise ;
- d’impliquer les métiers ;
- de réaliser des exercices réguliers ;
- de définir clairement les responsabilités de chacun.
À l’inverse, lorsque la direction porte le sujet, la crise cyber cesse d’être perçue comme un problème « de l’informatique » pour devenir un enjeu stratégique de l’organisation.
Conclusion : sortir de la « crise du RSSI »
Confier systématiquement la gestion de crise cyber au RSSI est souvent le reflet d’une certaine maturité historique : la cybersécurité a été le point d’entrée, et le RSSI est naturellement devenu le principal animateur du sujet.
Mais à mesure que les organisations gagnent en maturité, cette approche montre ses limites.
Car finalement, une crise cyber n'est pas la crise du RSSI. C'est la crise de l'organisation tout entière.
Le RSSI doit y jouer un rôle majeur, mais comme expert et conseiller, au sein d’une gouvernance de crise plus large, portée par la direction et intégrant l’ensemble des fonctions concernées.
En somme, peut-être faut-il cesser de se demander qui doit gérer la crise cyber et commencer à considérer qu’une crise cyber est d’abord une crise, avant d’être cyber.
Votre organisation est-elle prête à gérer une crise cyber, au-delà de sa seule dimension technique ?
Les équipes du CERT Intrinsec qualifiées Prestataires de réponse aux incidents de sécurité (PRIS) vous accompagnent dans la structuration de votre gouvernance de crise : définition des rôles, mise en place d’une cellule de crise, exercices de simulation et plans de continuité.
