Gestion de crise : réagir grâce à un programme centralisé à l’échelle de la firme Etant donné la forte probabilité d’être la cible d’une cyberattaque, il est indispensable que les organisations développent un solide dispositif de réponse à une violation cyber (CBRP : Cyber Breach Response Plan) s’inscrivant dans leur stratégie globale de gestion des risques. Déployé à l’échelle de l’organisation, le CBRP permet de donner un cadre de référence commun et de faire collaborer l’ensemble des parties prenantes en cas d’intrusion dans les systèmes de l’organisation. Son pilotage implique la maîtrise de la technologie, la mise en œuvre d’actions opérationnelles et stratégiques au quotidien, ainsi que de solides compétences dans les domaines juridique et réglementaire. Sa portée va également bien au-delà des programmes de gestion traditionnels, en permettant de s’assurer que le plan de continuité d’activité de l’organisation est correctement appliqué, qu’un plan de communication spécifique a bien été déployé auprès des parties prenantes internes, et que toutes les alertes et questions de sécurité sont traitées de façon centralisée, qu’elles proviennent de sources internes ou externes (collaborateurs ou clients). En d’autres termes, le CBRP adresse des directives à toutes les lignes de services impliquées dans la gestion de crise. Il sélectionne les informations cruciales à transmettre au comité exécutif, les dispense à propos, et assure avec précision et rapidité une réaction adaptée à la durée de l’attaque qui peut atteindre plusieurs jours, plusieurs semaines et parfois même plusieurs mois. Un programme CBRP efficace doit impliquer les directions fonctionnelles et métier clefs en cas d’attaque à fort impact. Elément pivot de l’investigation, il permet d’aider les enquêteurs à travailler en collaboration étroite avec les directions SI et de sécurité de l’information pour trouver l’origine de l’attaque, vérifier les réseaux et systèmes, et estimer l’ampleur des actifs compromis ou volés. Le CBRP supervise en effet non seulement le processus d’identification, de collecte et de protection des preuves, l’investigation numérique et l’évaluation de l’impact, mais peut aussi diriger et orienter les recherches sur la base de faits réels. Un tel programme garantit que les informations circulent avec fluidité entre les parties prenantes internes et permet de guider les organisations dans la gestion de la complexité inhérente au travail en commun avec une grande diversité d’interlocuteurs : conseillers juridiques externes, législateurs, forces de l’ordre, etc. Robuste et polyvalent, le CBRP est donc capable de délivrer une réponse à moindre coût, en impliquant l’ensemble des parties prenantes pour réduire l’impact de l’attaque. e 18 | 19 édition de l’étude EY sur la sécurité de l’information (2016)