3 questions à … Sébastien Jardin, Instructeur en Crise Cyber, IBM Security

Pourquoi les dirigeants ont-ils plus que jamais besoin d’être coachés en cybersécurité ?

Dans mon secteur, il y a une phrase que beaucoup connaissent : « Ce n’est pas une question de si, mais de quand vous serez impactés par une cyberattaque. » C’est à la fois provocateur et assez vrai, si l’on en croit l’ANSSI, qui constate une augmentation de 400 % des attaques en France par rapport à l’année dernière. Le chiffre de 50 % de défaillance d’une PME en cas de cyberattaque, partagé par notre gouvernement sur l’un de ses sites publics[1], confirme également cette tendance. La menace est donc réelle et la presse a maintes fois relayé des crises cyber coûtant très cher à leurs victimes (pertes financières, atteinte à l’image de marque, départ de clients, amendes, etc.). Tout ceci est la conséquence de plusieurs facteurs tels que le taux de chômage et de qualification technique dans certains pays peu regardants, le manque de cadre juridique international, et bien évidemment la transformation numérique débridée de l’économie de tous les pays développés. C’est un cocktail détonant où les cybercriminels courent moins de risques que ceux qui se livrent au trafic de stupéfiants par exemple, mais avec un retour sur investissement bien plus important.

Si les dirigeants doivent plus que jamais être coachés pour faire face à la crise cyber, c’est parce que c’est toute l’organisation qui en ressentira les conséquences, et ce pendant plusieurs années. Ce n’est pas à l’informatique de répondre à la presse, aux actionnaires, aux clients, aux fournisseurs, aux investisseurs, et de prendre les décisions à chaud impactant les métiers de l’entreprise. Certes, lors du passage d’un incident de cybersécurité au niveau de crise, mobilisant de facto la direction générale en cellule décisionnelle, il y aura un bon nombre de tâches techniques à réaliser par la DSI et la cybersécurité. Cependant, les exemples ci-dessus montrent que faire face à une cyberattaque nécessite l’implication de toutes les lignes métiers, à commencer par la direction.

Enfin, si tout ceci peut paraître quelque peu anxiogène, j’ai tendance à partager plusieurs éléments de bon sens. Le premier est que le risque cyber, étant le risque numéro un au niveau mondial pesant sur les entreprises, selon Allianz[2], il est donc tout aussi cohérent de s’y entraîner régulièrement, comme on pourrait faire un exercice incendie par exemple. Le second est qu’étant donné que le risque cyber est systémique, s’y entraîner revient à garder une longueur d’avance sur la concurrence, dont les systèmes seront à l’arrêt plus longtemps que les vôtres en cas de cyberattaque. Le troisième est qu’ajouter de la cybersécurité dans ses produits et services est un avantage aux yeux de plus en plus de clients finaux. En résumé, la cybersécurité est un enjeu d’entreprise, pas seulement un sujet informatique, pouvant être vu comme une contrainte, mais étant clairement une opportunité. C’est pour cela que le coaching des dirigeants est si important, car c’est à eux qu’il revient de guider l’entreprise à travers les temps calmes comme les tempêtes.

Comment faites-vous pour les entraîner ?

Les entraînements que je conçois capitalisent sur des années de pratique personnelle des sports de combat. Il n’y a donc rien de très original à commencer par un échauffement, à continuer sur une longue phase de mise en situation, et à terminer par un retour au calme. En matière d’entraînement de la direction générale à la crise cyber, il s’agit donc de poser les règles du jeu, de simuler plusieurs situations plausibles en regard de l’exposition numérique le jour de l’entraînement de l’entreprise, et de conclure avec un partage de bonnes pratiques et de leçons apprises à chaud. Il s’agit d’un test de forme, de connaissance des procédures en place, de réflexes à aiguiser, le tout dans la bienveillance et une mise sous pression constante. Ces entraînements sont réalisés tous les six à douze mois, en fonction des organisations, et sont à chaque fois réalisés sur mesure, car l’état de la menace, le périmètre de l’organisation et les systèmes changent rapidement.

Comment inscrire cette démarche dans la durée, pour quels résultats ?

Le réalisme ainsi que la régularité des entraînements sont bien évidemment clés. Imaginez que vous deviez monter sur le ring face à un champion de boxe et que vous vous entraîniez uniquement avec des débutants, ce n’aurait pas de sens n’est-ce pas ? Imaginez que vous souhaitiez courir le marathon de Paris et que vous ne vous entraîniez pas régulièrement, car vous avez couru celui de Boston il y a quatre ans, ce serait étrange n’est-ce pas ? Eh bien, dans l’entraînement à la crise cyber, c’est exactement la même chose. Les membres de la direction générale sont des personnes brillantes, c’est indéniable. Ils comprennent très vite les enjeux, ont parfois les bons réflexes naturels, enregistrent les conseils et les bonnes pratiques enseignés par le formateur, mais s’ils ne s’entraînent pas régulièrement et de manière réaliste, alors ils seront mécaniquement moins efficaces le jour où ils en auront besoin, ce qui signifie que l’impact sur leur entreprise sera plus important.

Une phrase attribuée à Bruce Lee que j’affectionne particulièrement est : « Il vaut mieux être un guerrier dans un jardin qu’un jardinier sur un champ de bataille. » Si cet état d’esprit n’est pas automatique chez les membres de la direction générale, alors on va s’appuyer sur les personnes que l’on aide indirectement au travers de ces simulations : le DSI et le RSSI. N’oublions pas que ce n’est pas toujours évident de traduire en termes métiers les risques et concepts de la cybersécurité, et qu’au quotidien, ce sont les équipes techniques qui font face aux tentatives d’attaques (qui, heureusement, ne se transforment pas toutes en crise cyber). Ce sont donc ces équipes que nous aidons au travers de ces entraînements de la direction, car ces derniers positionnent la cybersécurité comme un sujet stratégique et favorisent une bonne écoute des dirigeants sur les investissements prioritaires à faire en matière de cyberdéfense. De ces entraînements découle donc systématiquement un soutien additionnel des lignes métiers sur les projets de cybersécurité, et donc une amélioration étape par étape du niveau de protection de l’organisation.

[1] https://www.francenum.gouv.fr/magazine-du-numerique/les-tpe-et-pme-sont-les-cibles-privilegiees-des-pirates-informatiques-en-2022

[2] https://www.agcs.allianz.com/news-and-insights/reports/allianz-risk-barometer.html

Biographie – Sébastien Jardin :

Sébastien Jardin est actuellement instructeur en gestion de crise cyber de l’IBM X-Force Cyber Range. Il travaille donc en étroite collaboration avec les RSSI et CISO de grandes organisations, principalement en Europe, afin de construire & mener des entrainements dédiés au Top Management sur les risques principaux de l’organisation au moment de la session. Son rôle est d’aiguiser les réflexes des Directions Générales sur ces scénarios critiques, et ce faisant de positionner la cybersécurité comme un sujet stratégique dont les frontières dépassent largement celles de la DSI. Afin de mener à bien son rôle actuel, Sébastien s’appuie sur une solide expérience en sécurité et dans les ventes complexes de plus de 15 ans. Ancien Directeur du Business Development d’IBM Security en France, mais également instructeur certifié en Krav-Maga avec une approche très réaliste affinée avec certaines opérateurs de branches spécialisées de l’Armée française, Sébastien a également travaillé avec des profils Sûreté & Police pendant quelques années. Ce mélange, associé à ses capacités et son entrainements à parler de sécurité en public (conférences, réseaux sociaux, Presse…), confèrent à Sébastien une capacité à faire adhérer un large public aux enjeux de la réduction du risque numérique.