3 questions à Natalie Maroun
Journée Cyber crises, le lundi 19 septembre 2022 à Paris
Trois questions à Natalie Maroun, Co-organisatrice :
1- Pourquoi une journée dédiée à la gestion des cybercrises ?
Le Forum International de la Cybersécurité (FIC) qui démarre le 7 juin est placé cette année sous le thème « Shaphing Europe’s digital future », et place la cybersécurité comme un enjeu stratégique. Le FIC rappelle également « Sur le plan opérationnel, l’Europe doit être en mesure de répondre à la multiplication et à la sophistication des cyber-menaces, ainsi qu’à toutes formes d’insécurité, y compris dans le champ informationnel ».
Or, la réponse aux incidents, aux attaques ne saurait se limiter à une approche opérationnelle. Elle questionne à la fois la gouvernance de la gestion des cybercrises et la coordination multi-sectorielle dans l’objectif d’éviter les approches en silo.
Pour répondre à votre question, nous avons souhaité dédier une journée à la gestion des cybercrises afin de permettre d’identifer des bonnes pratiques permettant d’aligner la gouvernance d’entreprise aux exigences de la gestion des cybercrises : réactivité, rapité, transversalité, expertise …
2- Cybersécurité, gestion de cybercrise, ne parle-t-on pas de la même chose ?
Il ne saurait y avoir une gestion d’une cybercrise sans une approche efficace en cybersécurité. La cybersécurité regrouppe les mesures de d’analyse des menaces « cyber threat intelligence » et des risques afin d’y faire face et d’être en capacité à les détecter. Elle vise donc à identifier et mettre en œuvre des stratégies de minimisation des vulnérabilités et des risques cyber, et la protection des systèmes en cas de survenue d’un incident.
L’approche en gestion des cybercrises se fonde également sur la préparation, c’est-à-dire à la fois la vigilance (permettant de détecter un incident 24/7 ) mais également la préparation d’une réponse trasnversale, complémentaire à l’approche en cybersécurité, et visant à apporter une gestion rapide de l’ensemble des enjeux (production, RH, règlementaires…) et aux enjeux des parties prenantes (clients, collaborateurs, fournisseurs, services d’Etat…)
3- Les organisations doivent-elles donc se doter d’un plan de gestion de crise dédié au risque cyber ?
Le monde de la cyber est un monde complexe (et non un monde compliqué), et nécessite une approche compréhensive allant de la cybersécurité à la gestion des cybercrises afin de tenir compte des facteurs d’incertitude liés aux vulnérabilités qui ne sont pas toutes prédictives. Il ne faut donc pas confondre un plan de gestion des cybercrises avec une simple check-liste. Il est indispensable de se doter d’un plan de gestion des cybercrises, tout en tenant compte de la nécessité de le définir davantage comme un cadre assorti de règles guidant la prise de décision. Cela exige à la fois de bien connaitre les acteurs, internes et externes, mais également de permettre de mettre en place un cadre souple et sécurisant visant la priorisation des enjeux, la coordination de la réponse et la communication.