Vous êtes à la tête de Cap Sirius, une agence spécialisée en management des situations sensibles, avec une expertise particulière sur les crises digitales. Quelles leçons tirer de la cyber-attaque de TV5 Monde ?

Il est toujours facile de juger a posteriori ce qui a été bien ou mal fait, ce que je me garderai bien de faire dans ce dossier.

Gérer une crise digitale et savoir comment communiquer face à cette situation : un nouvel enjeu pour toutes les entreprises

Vous êtes à la tête de Cap Sirius, une agence spécialisée en management des situations sensibles, avec une expertise particulière sur les crises digitales. Quelles leçons tirer de la cyber-attaque de TV5 Monde ?

Il est toujours facile de juger a posteriori ce qui a été bien ou mal fait, ce que je me garderai bien de faire dans ce dossier. Mon propos est aujourd’hui d’attirer l’attention sur le fait que, l’actualité et notre expérience auprès de nos clients, montrent que ce type de crises digitales (cyber-attaques…), vase multiplier. Or nous le voyons, et les experts en sécurité informatique le soulignent, il y a une certaine impréparation des entreprises face à ce type d’attaque. Si elles savent bien réagir à des crises dites « classiques », face à ces évènements, avec une dimension technique très prégnante, les choses sont plus difficiles, sans compter cette temporalité folle qu’est le temps réel des médias et réseaux sociaux !

On entend presque quotidiennement que des entreprises font face à des crises digitales, il s’agit de crises de réputation ou bien de cyber-attaques, comment analysez-vous cette situation ?

On peut dire que pratiquement 100 % des crises sont dorénavant digitales. C’est pour cela que nous collaborons étroitement avec le laboratoire de recherche sur les crises digitales, DCRX. Nous associons ainsi les méthodologies de gestion de crises dites « classiques » à celles spécifiques qui concernent les crises digitales. Nous sommes dans un changement de paradigme, les entreprises et la gestion des situations sensibles doivent s’adapter à ce nouveau monde.

Que doivent faire les entreprises pour mieux se préparer ?

La première chose est, comme le souligne, un expert en sécurité informatique américain Dan Lorhmann, est de créer sa propre échelle de Richter. Il parle des violations de données mais cela peut s’appliquer aux différents types de crises digitales. Il s’agit, comme en crise classique, de qualifier l’événement avec une gradation qui va déclencher un mode de gestion particulier.

Encore plus hier qu’aujourd’hui, cette évaluation de la situation doit être holistique pour pouvoir appréhender les aspects techniques, juridiques,sociaux, humains, « réputationnel »d’une situation.

Le second point porte sur le fonctionnement de la cellule de crise de l’entreprise. Nous avons pu l’observer lors d’exercices de simulation et dans des cas récents, dans ce type d’attaques, la dimension technique prend parfois le dessus au détriment des autres impacts.

La cellule opérationnelle SI, concentrée sur la résolution technique du problème, n’est pas en mesure de prendre en compte autres impacts potentiels. D’un autre côté, la cellule de crise managériale, n’est pas assez experte pour comprendre et anticiper les impacts techniques sur l’image, la réputation, de l’entreprise.

Nous rejoignons ici les propos récents de Gérard Peliks, directeur adjoint du MBA Management des projets et des données numériques, pour qui « les entreprises ont besoin d’un expert qui pourra appréhender tous ces aspects juridiques, sociaux, humains de la sécurité des données numériques, et avoir une idée suffisante sur les nouvelles technologies de rupture qui vont bouleverser le monde de la cybersécurité,… et qui sera le chaînon indispensable entre la Direction Générale et les spécialistes sécurité du terrain. »

Cela nécessite donc que les entreprises se penchent de nouveau sur la composition de leur cellule de crise 2.0, et développent les compétences et les réflexes de leurs membres dans ce sens.

Quel type d’expert pourrait prendre ce rôle en cellule de crise ?

Nous pensons qu’il s’agit d’une expertise très spécifique, un peu comme le coordinateur dans la cellule de crise classique. Nous préconisons qu’un Facilitateur fasse le lien entre la Direction Générale et les spécialistes sécurité du terrain. Ce facilitateur a des responsabilités dans l’évaluation de l’événement potentiellement crisogène, ainsi que dans le travail commun des cellules de crise. Il est en mesure de faire une évaluation afin de qualifier l’événement sur l’échelle de graduation. Et son rôle consiste aussi à traduire le langage d’une cellule à l’autre afin d’être en mesure de gérer la crise 2.0 dans sa globalité en expliquant concrètement les problématiques techniques pour que la cellule « managériale » puissent en gérer les conséquences. Cela semble évident comme ça, mais la réalité est toute autre.

Une crise digitale de type défaillance de sécurité des données nécessite-t-elle tout de même une communication vers certaines parties prenantes ?

La problématique de la communication est clé en cas de défaillance de sécurité. Dans le cas d’une crise digitale ou d’une cyber-attaque, l’exercice est difficile car l’entreprise n’a parfois que peu d’informations et les experts de sécurité informatique ne sont pas toujours enclins à communiquer. TV5 Monde a très vite réagi en faisant preuve de transparence et d’humilité. Des valeurs qui sont en ligne avec les attentes des consommateurs, citoyens et internautes. Mais là encore une préparation à minima s’impose.