Il est primordial de s’entraîner à la gestion de crise d’origine cyber car, lorsqu’une entreprise y est confrontée, ses opérations sont paralysées, les pertes financières s’accumulent rapidement et son écosystème perd confiance. Aucun dirigeant ne souhaite avoir à gérer une telle situation, d’autant plus que la Direction Générale sera en première ligne. Mais étant donné la nature non-aléatoire et non-indépendante d’une crise cyber, la question n’est pas de savoir si l’entreprise devra en gérer une, mais quand. Comme pour les sportifs de haut niveau, ce n’est pas le jour de la compétition que l’on développe ses automatismes.

En effet, il s’agit bien d’automatismes. Lors d’une gestion de crise d’origine cyber, l’entreprise passe de l’efficience à l’efficacité et adopte une organisation différente de sa structure hiérarchique habituelle. Il faut donc tester cette organisation en temps de paix, en se projetant dans le pire scénario possible, afin d’anticiper, de créer des points de pivot et de valider les canaux et les procédures qui seront alors connus et maîtrisés avant l’éclatement de la crise.

Bien que même la simulation la plus réaliste ne puisse reproduire toutes les conséquences organisationnelles et émotionnelles d’une véritable crise, l’exposition régulière à ces situations permet à l’organisation et à chacun de ses membres d’augmenter leur résilience et de ne découvrir que les imprévus propres à la réalité lors d’une crise réelle.

De l’importance de s’entraîner

L’image du mur de quatre mètres à franchir est souvent utilisée lors des formations de gestion de crise d’origine cyber destinées aux Directions Générales. Cette métaphore illustre parfaitement l’importance de s’entraîner intensivement avant le jour où des compétences avancées seront requises et mises à l’épreuve, une vérité bien connue des sportifs, pompiers, policiers et militaires.

Imaginez que vous soyez en équipe face à un mur de quatre mètres de haut et que la consigne soit de le franchir le plus rapidement possible. En tant qu’équipe, vous allez essayer différentes configurations, tomber, vous relever et finir par trouver la solution pour que tous puissent franchir ce mur. Maintenant, au lieu de vous laisser faire, imaginez que deux dobermans affamés depuis deux semaines soient lâchés à vos trousses. À moins d’être un grand amoureux des animaux, vous aurez probablement envie de savoir comment franchir ce mur le plus efficacement possible avant de lui faire face.

Cette image simple mais efficace illustre parfaitement la nécessité de se préparer avant d’être confronté à une situation de crise. Les Directions Générales qui participent à ces formations comprennent ainsi rapidement l’importance de s’entraîner régulièrement à la gestion de crise d’origine cyber, afin d’être prêtes à faire face à une telle situation le moment venu.

Selon le rapport de Deloitte intitulé “Cyber Risk Management in an Era of Rapid Digital Transformation” (2021), 65% des entreprises ayant effectué de tels exercices ont amélioré significativement leur résilience. Ainsi, se préparer à la gestion de crise cyber,qui impactera tous les piliers de l’organisation, est impératif pour assurer la continuité d’activité. Mieux vaut notamment effectuer ces exercices au moins une fois par an, en commençant par la Direction Générale.

Des petites fractures régulières maîtrisées

Si les exercices transverses, qui traitent des impacts sur l’ensemble de l’entreprise, sont d’une grande valeur et nécessitent une préparation intense pour atteindre leurs objectifs de coordination, de validation des procédures de crise et d’outils alternatifs, ainsi que de mise sous pression positive des participants, comment faire pour que ces derniers soient individuellement plus résilients ? Comment faire pour que, au-delà des formats de sensibilisation au risque numérique, chacun soit intrinsèquement plus agile dans sa propre continuité d’activité ?

La réponse à ces questions n’est pas compliquée à expliquer, mais souvent plus délicate à faire accepter. La méthode s’inspire des arts martiaux. Il s’agit d’une approche simple à décrire, mais qui peut rencontrer une certaine résistance lorsqu’il s’agit de la mettre en place.

Dans les arts martiaux, comme la boxe thaïlandaise, les combattants s’infligent ce que certains pourraient considérer comme de la torture. Beaucoup ont vu ces vidéos sur les réseaux sociaux ou les films d’action de l’époque de Jean-Claude Van Damme, où les combattants frappent leurs tibias contre des bambous. Loin d’être du folklore, cette pratique relève de la science.

En agissant ainsi, le cerveau du pratiquant s’habitue à la douleur de l’impact qu’il devra endurer durant le combat, tandis que ses os développent progressivement une couche supplémentaire de calcium qui renforce leur solidité. Bien qu’il faille éviter d’aller jusqu’à la fracture ouverte, les résultats de cette technique, lorsqu’elle est bien maîtrisée, sont surprenants. Transposé au monde de l’entreprise, c’est exactement le même concept que certaines organisations matures mettent en place.

Concrètement, ces organisations cherchent à habituer leurs collaborateurs à poursuivre leur mission même lorsqu’elles coupent périodiquement les systèmes critiques ou retirent certaines personnes considérées comme clés pendant quelques heures. J’ai personnellement eu l’occasion d’entendre parler d’une simulation de crise cardiaque du Président d’une grande entreprise en plein Conseil d’Administration. Il était apparemment très intéressant d’observer la réaction des autres membres face à l’intervention des pompiers pour extraire leur collègue, ainsi que leur réaction à l’annonce qu’il ne s’agissait que d’un test.

Il n’en reste pas moins vrai que cette méthode permet d’habituer les collaborateurs de tous les niveaux à trouver des solutions alternatives et à assurer la continuité de l’activité malgré les perturbations. Cette approche proactive et réaliste prépare les équipes à réagir rapidement en cas de panne système, de cyberattaque ou d’indisponibilité de personnes clés. L’objectif final est de créer un environnement où chaque personne sait quoi faire et comment réagir pour maintenir l’opérationnalité de l’entreprise.

Selon le rapport de Deloitte « Global Cyber Executive Briefing » publié en 2020, les entreprises résilientes sont celles qui pratiquent régulièrement des interruptions contrôlées de leurs systèmes. Ce document vient appuyer l’approche décrite précédemment, qui consiste à mettre en place des perturbations maîtrisées au sein de l’organisation.

Ces exercices permettent d’évaluer la capacité de l’entreprise à fonctionner sans ses rouages essentiels et d’identifier les points d’amélioration des dispositifs existants. En procédant ainsi, les dirigeants peuvent s’assurer que l’entreprise est en mesure de continuer à fournir ses services essentiels, même lorsque certains dispositifs sont indisponibles, quelle qu’en soit la raison.

Le concept d’interruptions contrôlées des systèmes fonctionne, mais encore trop peu d’organisations osent le mettre en place. Les entreprises les plus matures, comme Netflix, qui en faisait déjà état sur le site gremlin.com en 2018 dans la section « chaos monkey », ont adopté cette méthode. D’autres entreprises suivent le même chemin, et certaines d’entre elles, en Europe et aux États-Unis, bénéficient de notre accompagnement dans cette démarche. Cependant, si cette pratique n’est pas encore très répandue, la raison se trouve probablement dans la manière dont elle est présentée aux dirigeants. Annoncer que l’on va « casser les vrais systèmes de production stratégique de temps en temps » peut susciter de l’appréhension, alors que dire « on va vérifier que l’entreprise peut vraiment faire face aux imprévus » aura tendance à rassurer.

Certes, il est certain qu’il ne faut pas faire n’importe quoi, qu’il faut être capable de mesurer le niveau croissant de résilience des équipes, et que pour ce faire, il est pertinent de s’appuyer sur des personnes habituées à mener ce type de programme.

Mais la finalité est qu’en acceptant de renforcer la résilience de leurs équipes et systèmes tout au long de l’année entre deux exercices transverses, les dirigeants enverront un message fort quant à l’importance de la cyber résilience à leurs collaborateurs qui deviennent ainsi plus vigilants, plus réactifs et plus agiles face à des situations mettant en péril la continuité d’activité. Qui sait, peut-être qu’un jour, grâce à cette approche, nous serons tous capables de faire un grand écart entre deux poids-lourds ou de casser des bambous avec nos tibias, comme les maîtres des arts martiaux ?

Par Harvard Business Review France