Cybersecurité : l’investissement gagnant c’est…

Le 16 mai 2017 dans Resilience

Dilapider tout un budget en solution technologique ne garantit pas une réponse efficace face à la menace cyber même si ce genre d’action peut faire en sorte que les dirigeants se sentent en sécurité.

Il n’y a pas de « mur » qui empêchera toute intrusion,  ni « de balle d’argent » contre les hackers.

D’ailleurs, les principales menaces en la matière ne sont pas technologiques.

Elles se trouvent dans le cerveau humain : elles se nomment curiosité, ignorance ou apathie.

Elles sont présentes dans n’importe quelle organisation et facilitent l’entrée de tous ces codes malveillants qui se nomment « wanna cry » ou « locky ».

Face à cette menace, votre première comme votre dernière ligne de défense sont vos managers et vos collaborateurs, mais à condition qu’ils soient préparés.

L’investissement gagnant, c’est donc…la montée en compétences de votre personnel.

Plutôt qu’une formation entre 4 murs, une mise en situation au travers d’un exercice aura le mérite de rendre vivant ce qui paraît abstrait.

Mais encore faut-il veiller à se prémunir de certains travers et opter pour des approches plus efficaces.

Traditionnellement, les mises en situation en matière de cybersécurité sont de belles mécaniques à faire des constats

Elles permettent de valider dans des conditions proches de la réalité certains aspects essentiels : les situations, les moyens et la procédure d’alerte, la disponibilité des moyens humains et matériels, les moyens de communication, …

Elles ont certes l’avantage de mettre en évidence des dysfonctionnements et des idées d’amélioration. Elles présentent également l’avantage de convaincre les équipes dirigeantes des atouts du dispositif et des progrès qui restent à accomplir.

Toutefois, ces mises en situation  présentent des limites et quelques carences :

Elles sont parfois difficiles à vivre et peu gratifiantes

La plupart des participants ne retiennent que la demi-journée ou journée de retard qu’il va falloir rattraper dans son agenda déjà surchargé.

Les acteurs impliqués sont partagés entre la crainte de ne pas être jugés à la hauteur et la sensation que cela va trop vite pour comprendre, voire la sensation qu’il n’y a pas eu de changements depuis l’exercice précédent.

Elles n’abordent que des risques déjà identifiés

Les organisateurs sortent rarement des sentiers battus alors que la réalité illustre bien les chemins détournés pris par les cybercriminels.

Les principaux dirigeants ne sont pas nécessairement présents alors qu’en situation réelle ils sont les plus sollicités.

Sont-ils conscients des limites des exercices ?

Ont-ils la crainte que leur faible performance entraîne une démotivation de leur personnel ?

L’agilité pour favoriser la professionnalisation des contributeurs impliqués

Nous avons référencé deux pratiques, parmi toutes les méthodes mises en oeuvre :

 1 – L’entraînement en mode « Coaching »

A l’image de ce qui se pratique dans le monde du sport, il s’agit d’assimiler les « bons gestes et les bons réflexes », plutôt que de laisser se développer les mauvaises pratiques.

La mise en situation est conçue pour présenter aux acteurs, individuellement ou collectivement, les actions qu’ils devront entreprendre dans les différentes phases clés de la gestion d’une crise. Ces actions pourraient s’assimiler aux « gammes » pour un musicien.

Il suffit ensuite de les répéter collectivement dans une simulation.

L’avantage : Chaque acteur assimile quelques bonnes pratiques et développe les bons réflexes.

2 – L’exercice conçu en mode « Collaboratif »

Généralement, tous les participants associés à la mise en situation participent à l’élaboration du scénario. « C’est l’orchestre qui choisit la partition à jouer ».

Ce mode de mise en situation favorise le développement d’un langage commun, des responsabilités réciproques notamment sur les risques imprévisibles.

Chaque acteur identifie sa contribution. Ce qui permet de se préparer dans cette optique.

Les avantages : Chaque participant aura  par ailleurs à cœur de se préparer, car l’objectif est de ne pas mettre en difficulté l’ensemble du dispositif. Cela permet également de renforcer les liens entre les participants.

Jean-Marc Sepio : emoveo

Par Jean-Marc Sépio

Articles suggérés

RGPD / GDPR : Se préparer avant fin 2017

Avec le Règlement Général sur la Protection des Données/General Data Protection Regulation (RGPD ou GDPR),…

Lire la suite de l'article

Data Breach, the Achilles’ heel of CEOs

Not a week goes by without sophisticated attack targeting businesses: ransomware or theft of personal…

Lire la suite de l'article

Les métiers d’emoveo

s’engager pour le succès de nos clients

Les missions que nous entreprenons sont marquées par la coopération : nous travaillons de concert avec nos clients, pour garantir le sur-mesure, le pragmatisme et le transfert de compétence.

Découvrir les métiers d’emoveo