Les cyberattaques, paroxysme d’une situation de crise
Mardi 17 octobre prochain, à l’occasion d’un webinaire sur la thématique de la cybersécurité, l’agence Wellcom aura le plaisir de s’associer à deux experts. Hervé Degroot, fondateur de l’entreprise Recylian, accompagne les entreprises dans l’anticipation des risques cyber. Philippe Horras, Directeur Général du cabinet Pearl Crisis, leur propose une approche sur-mesure en anticipation et gestion de crise de tout type.
Quel est généralement le but d’une cyberattaque ? Les risques ont-ils augmenté avec le temps ?
Philippe Horras : On distingue plusieurs types de hackers : les voleurs modernes, qui ont pour but de dépouiller les entreprises et de gagner de l’argent. Ensuite, les activistes qui se battent pour une cause ou qui travaillent pour le compte d’états dans les « guerres de l’ombre », puis les « geeks » qui souhaitent exploiter des failles pour l’amour du challenge. Et enfin les hackers éthiques, aussi appelés « White hats », dont l’objectif est d’apporter des solutions aux failles présentes dans un système. Les attaques provenant des états visent souvent des éléments stratégiques afin de faire de la déstabilisation : attaques sur les systèmes de dépollution des eaux, sur les hôpitaux, sur l’industrie agro-alimentaire, etc.
Hervé Degroot : Même si les cyberattaques ont tendance à se professionnaliser, les mécanismes et les technologies utilisées aujourd’hui restent classiques. Par contre, les virus utilisés sont novateurs et deviennent de plus en plus puissants. Certains d’entre eux sont notamment de plus en plus difficiles à repérer qu’auparavant.
Philippe Horras : Aujourd’hui, la montée en puissance de l’intelligence artificielle fournit des moyens supplémentaires de détecter des activités anormales et de se protéger contre les logiciels malveillants. Mais comme toujours avec l’arrivée de nouvelles technologies, c’est à double tranchant puisque ces outils deviennent ce que l’on choisit d’en faire : l’intelligence artificielle peut également être utilisée à mauvais escient, dans le but de créer de nouveaux types d’attaques malveillantes.
Quelles sont les conséquences d’une cyberattaque pour une entreprise ?
P.H : Les cyberattaques sont le paroxysme d’une situation de crise, et il faut généralement compter plusieurs mois pour s’en remettre : les impacts sont démultipliés en termes d’intensité, de rapidité et de stress. Résoudre ce type de problème nécessite de mettre en œuvre tous les moyens que l’on déploie habituellement en situation de crise, mais de façon plus concentrée. Puisque tout se déroule plus rapidement, le temps est d’autant plus précieux ! D’abord, ce type d’attaque s’en prend au système d’information d’une entreprise, ce qui rend la circulation de messages en interne impossible. En cas de prise de décision d’urgence, il n’y a donc aucun moyen de la relayer auprès des collaborateurs. Ensuite, les conséquences peuvent être multiples au niveau administratif : perte des dossiers de comptabilité, impossibilité de payer les sommes dues aux personnes concernées, etc. Enfin, ce type de d’attaque porte atteinte à la réputation de l’entreprise, notamment auprès de ses prestataires et de ses partenaires.
H.D : Dans ce type de situation, malgré la qualité et la pertinence de l’organisation mise en place en amont, l’ampleur de l’impact sera toujours conditionnée par les réactions humaines. C’est sur les dirigeants que repose le pouvoir de donner l’alerte au bon moment : ils se doivent de décider vite et bien ! Pour minimiser les impacts sur les collaborateurs et leur offrir des conditions de travail optimales, ils se doivent également d’adopter un état d’esprit logique et bienveillant. Une cyberattaque peut durer de 15 jours à 3 semaines et s’étaler sur plus d’un an. Il est évident qu’aucun humain n’est capable de travailler sous une pression continue dans un tel laps de temps. Les ressources humaines dont on dispose dans ce cas sont limitées, c’est pourquoi il faut savoir les choyer pour les économiser dans la durée.
Que faire face à de tels risques ?
P.H : En tant qu’entreprise, l’idée n’est pas de se demander si on sera attaqué mais plutôt quand on le sera ! En gestion de crise, nous sommes trop souvent vus comme des pompiers qui interviennent pour éteindre un feu, mais il est essentiel de nous appeler bien avant son départ. Autrement dit, le meilleur remède pour lutter contre les cyberattaques, c’est l’anticipation : avoir été formé à la gestion de ces événements, c’est une véritable plus-value lorsqu’on doit prendre une décision en urgence. L’une des clés à retenir ? Prendre de la hauteur et garder une vision stratégique. Dans tous les cas, l’alerte doit être donnée au plus vite pour limiter les dégâts. Dans ce contexte, il est fondamental que les entreprises instaurent une véritable culture de confiance et qu’elles incitent les collaborateurs à prendre des décisions, afin qu’ils osent agir et ne soient pas retardés dans leurs choix.
H.D : En situation de crise, l’essentiel est de limiter les dégâts, car comme sur un bateau, il vaut mieux flotter sans grâce que couler avec panache ! Pour cela, il faut d’abord se poser des questions essentielles : comment communiquer si mon système d’information est coupé ? Quel est le bon moment pour donner l’alerte et pour restaurer mon système ? Mais c’est aussi apprendre à anticiper les comportements humains, adopter le bon état d’esprit et la bonne organisation. Il faut enfin s’assurer de pouvoir restaurer ses données à tout moment : miser sur au moins 3 copies de données sur 2 sites différents, dont 1 hors ligne avec 0 erreur. Il est important de posséder un outil de restauration et pas uniquement un outil de sauvegarde.
Pensez-vous que les dirigeants soient assez sensibilisés à ce sujet ?
P.H : Auparavant, les entreprises avaient honte de subir une cyberattaque. Aujourd’hui, elles sont plutôt jugées sur leur capacité à rebondir. La plupart d’entre elles montrent une véritable prise de conscience de cet enjeu et appliquent déjà les bonnes pratiques de base : ne pas ouvrir de pièces jointes provenant d’expéditeurs inconnus, ne pas révéler d’informations confidentielles au téléphone, ne pas utiliser de clés USB inconnues, etc. Pour autant, l’audace de certains hackers peut aller loin et faire craquer n’importe qui à n’importe quel moment. Face à ce constat, les dirigeants peuvent adopter deux attitudes, faire l’autruche ou réagir : considérer que jusqu’à présent tout va bien, ou choisir de revoir leurs méthodes. Tous n’optent pas pour la bonne solution, et c’est signe qu’il faut faire davantage de sensibilisation ! Chez Pearl Crisis, nous formons nos clients à la méthode BECALM : elle permet de passer outre l’effet de sidération afin de gérer son stress et de remettre les priorités dans l’ordre, au niveau individuel et collectif.
H.D : La cybersécurité n’est pas qu’une affaire d’informaticiens, il s’agit pour les dirigeants de protéger le patrimoine de leur entreprise ! Aujourd’hui la prise de conscience est insuffisante, surtout au sein des petites structures. Or, les prestataires de grands groupes peuvent constituer de très bonnes failles pour s’introduire dans leurs systèmes. Il faut cesser de voir la sécurité informatique comme une contrainte car elle constitue un avantage concurrentiel que l’on peut facilement valoriser. Se préparer à une cyberattaque, c’est un coût mais surtout un très bon investissement pour le futur !