La cybersécurité, c’est aussi de l’organisation

Allen Jolan
LinkedIn

On a tendance à l’oublier, mais en cybersécurité, la technique est le bouclier, tandis que l’organisation est la colonne vertébrale. C’est ce que j’ai découvert en travaillant sur la GRC (Gouvernance, Risque et Conformité). J’ai conçu un Plan de Communication de Crise (PCC) pour une entreprise imaginaire, FAKESEC, pour comprendre comment on gère l’imprévu quand tout s’écroule.

Ce projet m’a appris une chose essentielle : savoir ce qu’il faut dire est aussi important que de savoir comment réparer le serveur.

Le déclic : Savoir quand on est en crise

La première question que je me suis posée : à quel moment un incident devient-il une crise ? Un simple bug n’est pas une crise. Pour y voir clair, j’ai mis en place un arbre de décision très simple fondé sur trois critères :

  • L’activité est-elle bloquée ?
  • Des données sont-elles compromises ?
  • L’image de l’entreprise est-elle en jeu ?

Si l’une de ces cases est cochée, la cellule de crise est activée. Une de mes priorités a été d’imposer l’utilisation d’outils de communication “hors-bande” (comme Olvid). Pourquoi ? Pour être sûr que si un attaquant est encore sur le réseau, il n’écoute pas nos conversations de crise.

Qui fait quoi ? La matrice RACI

En plein stress, la panique est l’ennemi. Pour éviter la confusion, j’ai structuré les rôles de chacun (méthode RACI) :

  • Le Chef de Crise (Direction) : C’est lui qui tranche.
  • Le RSSI (Technique) : Il explique ce qui se passe réellement.
  • Le Responsable Com’ : Il prépare les messages pour l’extérieur.

Un principe que j’ai retenu : on ne parle qu’à une seule voix. Rien n’est plus destructeur pour la confiance que deux messages contradictoires.

Communiquer par paliers

Tout le monde n’a pas besoin de tout savoir tout de suite. Ma stratégie repose sur trois niveaux de réaction :

  • Niveau 1 (Discrétion) : L’incident est sous contrôle. On informe uniquement les clients directement touchés.
  • Niveau 2 (Réactivité) : On commence à en parler sur les réseaux. Il faut répondre calmement et de manière factuelle.
  • Niveau 3 (Alerte Maximale) : La crise est publique. Il faut diffuser un communiqué officiel pour éviter que les rumeurs ne prennent le dessus.

La loi et le retour d’expérience (RETEX)

Enfin, la GRC rappelle qu’il y a des règles du jeu, comme le RGPD. Si des données personnelles sont volées, il faut prévenir la CNIL sous 72 heures. C’est une obligation légale, pas une option.

Le point le plus important pour moi a été le RETEX (Retour d’Expérience). Une crise n’est vraiment finie que quand on s’est posé pour comprendre ce qui n’a pas marché et comment s’améliorer. C’est là que l’on transforme un échec en une force.

Ce que j’en retiens

L’élaboration de ce plan m’a montré que la résilience n’est pas qu’une question de firewall. C’est surtout une question de préparation et de méthode. C’est une compétence qui complète parfaitement mes connaissances techniques.

Allen Jolan