Gouvernance
Crises Cyber : le rôle vital du pilote
Par Laurent Delattre, publié le 28 septembre 2023
A l’occasion des prochaines « Rencontres de la Cybersécurité » (Lyon, Hôtel de Région, 24 octobre 2023), retour sur un rôle particulier apparu ces dernières années dans l’organisation de la gestion des crises Cyber : le pilote de crises. Ni décisionnaire ni opérationnel, il est à la fois le conseiller et l’organisateur du dispositif. Focus sur un rôle essentiel et méconnu.
Par Jérôme SAIZ, senior advisor du CyberCercle
Pour l’Agence nationale de la sécurité des systèmes d’information (ANSSI), qui l’a baptisé Responsable des Opérations de Cyberdéfense (ROC), la création d’un rôle de « pilote de crise » a été motivée par la complexité croissante des cyberattaques. Selon l’agence, sa mission est « d’accompagner la victime dans son processus de gestion de crise jusqu’au rétablissement de son activité ».
C’est donc bien la complexité croissante des attaques Cyber qui donne sa raison d’être au pilote de crise. Face à une malveillance numérique de plus en plus souvent transverse, et dont l’impact sur l’entreprise l’est tout autant, la réponse ne peut qu’être, elle aussi, transverse.
Cette transversalité est le socle même de la valeur ajoutée du pilote de crise. Celui-ci doit être parfaitement à sa place au sein de la DSI lors des points d’étapes techniques, lors des échanges avec l’équipe d’investigateurs numériques, ou encore auprès du RSSI, qu’il pourra conseiller sur le déploiement de nouvelles solutions de cybersécurité en soutient à la réponse à incident. Mais il doit être tout autant à l’aise en matière de communication de crise ou face au comité de direction de l’entreprise, avec qui il devra faire preuve de pédagogie en présentant de manière transverse et claire les situations, les options et les risques. Car, in fine, son rôle est de fournir aux dirigeants les moyens de prendre des décisions éclairées dans une situation qui ne l’est pas !
Priorité aux « soft skills »
À un socle de solides connaissances techniques (probablement issues d’un parcours préalable dans le conseil en cybersécurité), le pilote de crise doit ajouter une forte capacité organisationnelle et surtout une série de « soft skills », des compétences interpersonnelles et de communication plus difficiles à évaluer de manière formelle. Parmi celles-ci, l’on retrouve notamment les capacités d’écoute, de synthèse, de communication, ainsi que l’empathie, la ponctualité, l’attention aux détails, la capacité à résoudre les conflits, à organiser le chaos, à mener plusieurs tâches de front… et tant d’autres pour lesquelles n’existe aucun diplôme !
Bien que difficiles à évaluer, ces caractéristiques sont pourtant essentielles, tant la journée du pilote de crise se déroulera au contact d’interlocuteurs variés aux attentes diverses et aux niveaux de connaissance (technique, notamment) hétérogènes. Pire : chacun aura à cœur de résoudre au plus vite les problèmes sur son propre périmètre, parfois au détriment des autres et surtout en dehors de toute logique de séquençage (certaines activités doivent être opérationnelles avant d’autres). C’est alors le rôle du pilote non seulement de proposer les méthodes et l’organisation qui permettront d’atteindre les objectifs de la gestion de crise sans s’égarer (notamment le redémarrage de l’activité en toute sécurité), mais aussi d’aligner les attentes de chacun et, parfois, de calmer les ardeurs.
Les responsabilités du pilote au déclenchement de la crise
À l’activation du dispositif de crise, le pilote aura la responsabilité de suivre la montée en charge du dispositif, du gréement des différentes cellules au suivi des premières actions techniques, en passant par la compilation des premières synthèses managériales. Il n’est certes pas en charge de ces différentes actions (le plan de gestion de crise en a identifié chacun des responsables au préalable), mais il doit s’assurer qu’elles ont bien lieu, et alerter si ce n’est pas le cas. Ainsi, dès les premiers instants de la crise, le pilote est le garant de la structure du dispositif, quelle que soit la situation sur le terrain. C’est lui qui fait toute la différence entre la théorie (le plan de gestion de crise) et la réalité (composer avec les absences, les indisponibilités de solutions techniques essentielles, les erreurs inévitables, l’effet de sidération dû à un impact majeur, etc.)
Enfin, son positionnement hiérarchique est important : si une certaine séniorité est un atout, il est préférable que le pilote ait un statut d’expert autonome et ne soit pas dans la hiérarchie, où il pourrait se heurter alors à des conflits d’intérêts ou subir des pressions inutiles. C’est pourquoi le rôle est souvent confié à un expert externe, un consultant soit intégré au dispositif de réponse à incident tiers (l’avantage d’un regard neuf), soit partenaire régulier de l’entreprise (l’avantage de déjà bien connaître le contexte d’intervention).
Le pilote dans le cycle de vie de la crise
Une fois les premières heures passées, le pilote sera garant du rythme de bataille (s’assurer du bon enchaînement des cellules de crise) et, surtout, contribuera activement au partage d’information entre les différents acteurs. Il veillera en particulier à l’articulation toujours difficile entre la gouvernance (cellule décisionnelle) et la technique (cellule opérationnelle). Il fera également le lien avec l’équipe d’investigation, fournissant contexte et nouveaux éléments de part et d’autre.
Étant donné son expérience, son agilité, sa disponibilité et ses compétences à multiples facettes (il est susceptible d’intervenir également aussi bien sur la communication que conseiller sur une architecture réseau), le pilote de crise est la cheville essentielle de la prise de décision en temps de crise.
Pour en savoir plus : « Les fondamentaux de la gestion de crise cyber » (2022, Editions Ellipses), livre collectif sous la direction de Laurane RAIMONDO
À LIRE AUSSI :