L’exercice de gestion de crise en matière de cybersécurité est un élément essentiel pour faciliter la mise en œuvre des bonnes pratiques, en activant l’intelligence collective et l’apprentissage des organisations.
Repenser l’exercice de gestion de crise en matiere de cybersecurite dans la Banque et l’Assurance
1. 2016 Copyright emoveo. Tous droits réservés
Repenser l’exercice de gestion de crise en matière
de cybersécurité dans la Banque et l’Assurance
Avril 2016
2. 2016 Copyright emoveo. Tous droits réservés
Les métiers de la Banque et de l’Assurance ont fait de la protection contre les cyberattaques une priorité.
Au-delà des politiques de sécurité et des technologies, il est nécessaire d’instaurer une véritable culture
de cybersécurité et de renforcer la professionnalisation des personnels.
C’est le moyen de remédier aux erreurs commises par ces derniers et aux vulnérabilités de
l’organisation qui sont souvent exploitées par les cybercriminels.
L’exercice de gestion de crise, au service des bonnes pratiques de
la culture de cybersécurité
Développer et diffuser une culture de cybersécurité, c’est quelques erreurs à éviter, mais aussi des
bonnes pratiques désormais reconnues :
L’exercice de gestion de crise en matière de cybersécurité est un élément essentiel pour faciliter la mise
en œuvre des bonnes pratiques, en activant l’intelligence collective et l’apprentissage des organisations.
Traditionnellement, les exercices de gestion de crise en matière
de cybersécurité sont de belles mécaniques à faire des constats
Ils permettent de valider dans des conditions proches de la réalité certains aspects essentiels d’un
dispositif de crise :
Les situations.
Les moyens et la procédure d’alerte.
La disponibilité des moyens humains et matériels.
Les moyens de communication.
Et dans certains cas la coordination entre acteurs internes et à de rares occasions celle avec
les partenaires extérieurs.
3. 2016 Copyright emoveo. Tous droits réservés
Ils ont certes l’avantage de mettre en évidence des dysfonctionnements et des idées d’amélioration
qu’on n’aurait pas su discerner autrement.
Ils présentent enfin l’avantage de convaincre les équipes dirigeantes des atouts du dispositif et des
progrès qu’ils restent à accomplir.
Toutefois, ils présentent des limites et quelques carences :
Ils sont source de perturbations Ils sont incomplets
Ils sont parfois difficiles à vivre et peu gratifiants :
- La plupart des participants ne retiennent que la demi-
journée ou journée de retard qu’il va falloir rattraper
dans son agenda déjà surchargé.
- Les acteurs impliqués sont partagés entre la crainte
de ne pas être jugés à la hauteur et la sensation que
cela va trop vite pour comprendre, voire la sensation
qu’il n’y a pas eu de changements depuis l’exercice
précédent.
Il n’aborde que des risques déjà identifiés :
Attaque virale, intrusion dans le système
d’information, contournement des dispositifs de
sécurité.
Les organisateurs sortent rarement des sentiers
battus alors que la réalité illustre bien les chemins
détournés pris par les cybercriminels.
Exemple récent : Un groupe de hackers a volé de
l'argent sur le compte de la banque centrale
bangladaise aux États-Unis en utilisant le système de
virement SWIFT.
Ils laissent parfois une impression de « doutes » :
Pour des raisons de commodités, l’exercice se
concentre dans l’exercice plusieurs événements qui
se déroulent dans un temps plus réduit.
Cela laisse une impression que ces derniers ne
peuvent se produire qu’à cette occasion et que dans
la « vie réelle » avec une cinétique différente, «on
saura faire ».
Les principaux dirigeants ne sont pas
nécessairement présents alors qu’en situation
réelle ils sont les plus sollicités.
- Sont-ils conscients des limites des exercices ?
- Ont-ils la crainte que leur faible performance entraîne
une démotivation de leur personnel ?
Ils soulèvent également plus de questions, qu’ils n’apportent de réponses :
> Un seul exercice annuel est-il judicieux ?
> Que se passe-t-il entre chaque exercice ?
Qu’ont-ils fait du plan d’action déterminé à l’issue du débriefing de l’exercice ? Quelles sont les actions
mises en œuvre ? Et quelles sont celles qui n’ont pas été traitées ?
> A-t-on raison de ne pas vouloir passer en revue les points que l’on sait être défaillants ? Ou
au contraire de tester des situations totalement nouvelles ?
> Est-ce qu’une routine ne s’est pas installée ?
On connaît souvent la date plusieurs jours avant la simulation, on déroule le « plan », on débriefe et on
se quitte sur ce sujet en se donnant rendez-vous l’année prochaine ou dans 2 ans.
4. 2016 Copyright emoveo. Tous droits réservés
L’agilité pour favoriser la professionnalisation des contributeurs
impliqués
Nous en avons référencé quelques modes aptes à la favoriser :
1 - L’entraînement en mode « Coaching »
> A l’image de ce qui se pratique dans le monde du sport, il s’agit d’assimiler les « bons gestes et les
bons réflexes », plutôt que de laisser se développer les mauvaises pratiques.
> Dans un premier temps, l’exercice est conçu pour présenter aux acteurs, individuellement ou
collectivement, les actions qu’ils devront entreprendre dans les différentes phases clés de la gestion
d’une crise. Ces actions pourraient s’assimiler aux « gammes » pour un musicien.
> Il suffit ensuite de répéter collectivement dans une simulation.
> L’avantage : Chaque acteur assimile quelques bonnes pratiques et développe les bons réflexes.
2 - L’exercice conçu en mode « collaboratif »
Généralement, tous les participants associés à l’exercice, métiers de la banque ou de l’assurance et
fonctions techniques, participent à l’élaboration du scénario.
C’est l’orchestre qui choisit la partition à jouer.
Ce mode d’exercice favorise le développement d’un langage commun, des responsabilités réciproques
notamment sur les risques imprévisibles.
- L’avantage : Chaque participant est rassuré sur un plan psychologique, car ils participent au scénario
de l’exercice.
> Chaque acteur identifie sa contribution. Ce qui permet de se préparer dans cette optique.
- Chaque musicien répète la partie de la partition qu’il aura à jouer.
- L’avantage : Chaque participant aura à cœur de se préparer, car l’objectif est de ne pas mettre en
difficulté l’ensemble du dispositif.
> Le jour de l’exercice est vu comme un jour dédié à la manœuvre de l’ensemble du dispositif.
- L’orchestre joue ensemble la partition.
- L’avantage : On renforce les liens entre les participants.
5. 2016 Copyright emoveo. Tous droits réservés
3 - L’exercice en mode « interface »
> Il consiste à associer des contributeurs extérieurs (Exemple : Référents sûreté de la police nationale
ou gendarmerie) à un ou plusieurs exercices afin de mettre à plat les contraintes, les schémas
réglementaires et les comportements des uns et des autres.
> L’avantage : Il permet alors de tisser des liens avec eux, créer un climat de confiance et clarifier les
positions respectives. Cette posture peut se révéler être un atout lors de la gestion d’une situation de
crise.
En conclusion, au-delà des actions de sensibilisation, de formation, l’exercice de gestion de crise
demeure le moyen le plus efficace d’entraîner les métiers de la banque ou de l’assurance et les
équipes techniques aux situations rencontrées comme d’appréhender les nouveaux risques. Pour
cela il convient de repenser leur modèle et répondre aussi aux attentes des superviseurs sur les
domaines suivants :
Domaines Objectifs
Sensibilisation Identification des nouvelles menaces ou nouveaux risques.
Prévention Plusieurs mises en situation, plutôt qu’un exercice annuel.
Détection
Analyse combinée associant les métiers de la banque ou de l’assurance
et les services techniques.
Implication du management.
Réponse
Répétition des bons réflexes.
Mise en œuvre combinée des plans d’urgence et de poursuite des
activités.
6. 2016 Copyright emoveo. Tous droits réservés
Pour plus d’informations, contactez :
Jean-Marc Sépio
Associé emoveo
jmsepio@emoveo.fr
A propos d’emoveo :
Cabinet de conseil en Stratégie et Transformation d’entreprises et d’organisations fondé en 2008 par des associés ayant 20 ans
d’expérience dans le conseil et l’opérationnel, emoveo aide ses clients à construire leur vision stratégique, à mener leurs projets
de transformation, à améliorer la performance opérationnelle de leur entreprise, à conduire efficacement les changements.
emoveo revendique un style de travail qui lui est propre, le « Side Management ® », qui repose sur un engagement fort et place
le capital humain au cœur de la création de valeur.
emoveo accompagne ses clients en France et à l’International depuis 3 bureaux : Paris, Lyon, Toulouse (siège social).
A propos de notre pôle Banque & Assurance :
Nos consultants spécialisés dans les métiers de la banque et de l’assurance interviennent dans 4 domaines :
- Conformité et management des risques.
- Efficience opérationnelle et lean service.
- Digitalisation et nouveaux business modèles.
- Pilotage de projets complexes de transformation.