Les RH au cœur de la cyber-crise

Par Bertrand Milot

Intro : rappel les RH, la première ligne de cybersécurité

Ce nouvel article vient à la suite de plusieurs conférences et formations effectuées dans diverses industries sur la gestion efficace et collégiale de la cyber-crise. Dans un précédent article, je vous expliquais que le service des Ressources humaines était chronologiquement la toute première équipe et les tout premiers processus à collecter et à gérer la donnée confidentielle, sensible, régulée et privée de l’organisation (et ce, même avant que l’employé soit officiellement employé). C’est aussi la première équipe à donner à l’employé, soit via le code d’éthique, soit via une explication informelle de la culture d’entreprise, soit via la formation initiale de sécurité du nouvel employé à livrer les objectifs de sécurité et de protection des actifs informationnels de l’organisation.


Le devoir de proximité

Dans un cas où un désastre physique ou environnemental survenait, les Ressources humaines, souvent responsables des processus de santé et sécurité au travail, seraient les « premiers répondants », adjuvants et communicants des employés de l’organisation. Premières collectrices des informations personnelles de l’employé, elles jouent un rôle primordial dans la capacité de l’organisation à rejoindre, hors des heures, la totalité des employés. Dans les cas de détresse personnelle des individus de l’entreprise, elles fournissent les services de ligne anonyme d’aide aux employés. Premières conseillères sur les thèmes de l’excellence et de la culture organisationnelle, ce devoir de proximité fait donc partie de l’ADN des RH. Mais quid de la cyber-crise? Allons-nous tomber dans cette perception désuète et étriquée du « c’est Cyber, c’est la responsabilité des TI! » ou au contraire allons-nous rationaliser l’approche en acceptant que la cyber-crise est une crise comme les autres…?

La RH à la droite du CISO dans la cellule de crise

La formule « à la droite du CISO » semble un peu pompeuse, mais laissez-moi vous donner quelques « cas d’école » à, si le cœur vous en dit, projeter ou expérimenter dans vos organisations. Nos perceptions nous mènent, à tort, à penser que la cyber-crise est annoncée par un gyrophare rouge ou un courriel d’alerte ou une sonnerie sur une console (comme celle pour l’incident) qui va se déclencher au sein de notre infrastructure technologique. Malheureusement, il n’en est rien dans la TRÈS grande majorité des cas et des organisations. Il n’y a pas de gyrophare, les courriels d’alerte ne sont pas configurés, ou pire désactivés, car ils spamment les administrateurs informatiques et les consoles de cybersécurité sensées biper frénétiquement à la détection d’une intrusion sont soit inexistantes, soit très inadaptées ou mal configurées pour réellement détecter les menaces modernes des deux dernières années (d’où les fuites de données massives et encore grandissantes malgré des entreprises toujours plus conscientes des enjeux et besoins de cybersécurité). Alors quoi ? À quel moment la cellule de crise où le CISO et la RH vont s’asseoir côte à côte va-t-elle se déclencher? C’est l’impact qui va alerter l’organisation… En effet, dans les pires cas d’entreprises locales que j’ai pu constater, ce sont les médias ou une source externe (clients, partenaires d’affaires, firme de sécurité, instance gouvernementale ou criminalité elle-même) qui annoncent la fuite de données, la compromission d’identités corporatives ou une cyberfraude en cours. Projetez-vous quelques secondes dans un tel événement… Réalisez que plus de 98 % des organisations  au Canada ont déjà des identités compromises et en vente sur le Darknet/Darkweb, mais n’y croient pas, ne le savent pas ou ne cherchent pas à le savoir. Comment une cyber-crise peut-elle vraiment se déclencher depuis une source d’information contenue et isolée à l’interne? C’est hautement improbable et pourtant, même chez les TI, la croyance est là. Imaginez donc que votre cellule de crise s’active. Comprenez que les médias vont se « jeter » sur le « scoop » de votre mauvais pas et tenter de demander une réaction ou un commentaire à un représentant de l’entreprise : au moins un employé connaît personnellement un journaliste et vice-versa, un ami d’ami… La communication interne pour répondre aux risques d’une mauvaise communication externe devient alors IMMÉDIATEMENT critique! Si cet événement arrive hors des heures d’affaires, il faut rejoindre les employés. Dans une crise tout se sait, espérer qu’un événement reste confidentiel est tout simplement une inconscience et une déraison mettant à risque l’organisation. Il est important de ne pas tenter de retenir la dispersion des canaux de communication, mais d’en contrôler le contenu. Ainsi, ne demandez à personne de se taire, mais bien de communiquer de la même manière : « C’est souvent parce que les gens n’ont rien de concret à dire, qu’ils en disent trop. »



crédits:depositphotos.com

La réputation et l’image de l’organisation sont les premières victimes muettes d’une crise mal communiquée. Warren Buffett a dit « Il faut 20 ans pour construire une réputation et cinq minutes pour la détruire. Si vous gardez ça à l’esprit, vous vous comportez différemment. »

Ainsi communiquer correctement à l’interne et faire évoluer la culture d’entreprise pour qu’elle intègre ces stratégies sont donc les nerfs essentiels d’une crise bien gérée. La cyber-crise est une crise comme les autres, vous ai-je dit, mais en réalité c’est une des pires. En effet, sa vélocité et sa capacité de changer de direction ou de se diversifier sont directement liées à la créativité de la cybercriminalité.

Les solutions

Vous comprenez que l’inévitable est déjà en marche. Je dis souvent dans mes allocutions que nous sommes tous en « phase O » de la crise, elle est déjà active : il est donc important d’être prêts. Nous ne pourrons pas nous prémunir de l’incident, il est donc primordial de savoir ce qui devra être fait. Simulez, simulez, simulez et quand vous aurez fini de simuler, simulez encore. Rien de mieux que de se projeter en groupe pour commencer à en parler, définir des exemples de verbiage ou de trames de communication. Ces exercices vous feront gagner de précieuses minutes et garderont le niveau de stress à un niveau, peut-être, acceptable, votre CISO vous remerciera. Les autres solutions : regardez par-dessus votre muraille pour avoir une chance de deviner ce que l’adversité (pas la concurrence), je parle bien des cybercriminels (vous êtes une victime parfaite, votre organisation a un compte en banque : oui, c’est aussi trivial que cela).

J’aimerais terminer cet article sur une note plus motivante. Je comprends que le constat : « Nous ne pourrons pas nous prémunir de l’incident. » peut faire peur et nous laisser tomber dans un fatalisme immédiat lié à notre probable inefficacité face à la cybercriminalité.

« La fatalité, c'est l'excuse des âmes sans volonté. », citation de Romain Rolland, écrivain français, lauréat du prix Nobel de littérature de 1915. Son exigence de justice le poussa à souhaiter la paix « au-dessus de la mêlée » pendant et après la Première Guerre mondiale. Il est animé par un idéal humaniste et la quête d’un monde non violent, par son admiration pour Léon Tolstoï, grande figure de la non-violence (source : Wikipédia.fr). En effet, il est important de gérer la crise par la médiation et le désamorçage rapide, la cybersécurité moderne est une affaire de réduction permanente d’hémorragie de données de plus en plus sensibles. C’est avant tout de l’HUMAIN.


À proposMentions Légales