Exercice formation et audit PCA/PRA

Contexte

Secteur marqué de nombreuses règles et une évolution notable de la réglementation applicable face à une crise d’origine cyber, un acteur du secteur financier (fonds d’investissement) a souhaité renforcer son niveau de cyber résilience.

L’entrée en vigueur de DORA a par ailleurs constitué un élément central de la réflexion et du plan d’accompagnement mis en œuvre.

Si initialement la cyber résilience a été appréhendée sous le prisme de la réalisation d’un exercice (obligation sectorielle), l’entraînement s’est poursuivi par une mission de plusieurs mois de la formation à la communication de crise cyber jusqu’à l’audit des procédures de crise.

Objectifs

• Réaliser un exercice de gestion de crise d’origine cyber afin de faire un état des lieux du niveau de maturité de l’organisation et identifier les axes d’optimisation ;
• Accroître la cyber résilience de l’organisation et systématiser la réalisation d’entraînements ;
• Tester l’appropriation et l’opérationnalité des procédures de crise existantes face à un scénario réaliste ;
• Tester la stratégie de communication interne et externe de la cellule de crise ;
• Former la cellule de crise aux spécificités de la communication de crise d’origine cyber ;
• Évaluer le niveau de maturité des procédures de crise et PCA/PRA et l’écart vis-à-vis de l’état de l’art ;

Définir un plan d’action clair et opérationnel permettant à l’organisation d’enrichir son corpus documentaire, ancrer ses bons réflexes et, globalement, répondre aux exigences réglementaires (DORA).

Description de la mission

L’accompagnement s’est réalisé en différentes étapes :

• Exercice immersif pour la cellule de crise décisionnelle (sur 0,5 j) et RETEX à froid ;
• Les conclusions de l’exercice ayant souligné le besoin de renforcer la préparation de la cellule sur les sujets de communication de crise d’origine cyber, organisation d’une session de formation ;
• Audit du dispositif de crise et du PCA/PRA de l’organisation ;
• Organisation d’un atelier de travail afin d’accompagner la direction des opérations dans l’identification des actions prioritaires à réaliser pour optimiser le corpus documentaire existant.

Enjeux et spécificités

Les enjeux liés à cette prestation étaient en partie liés à un réel besoin d’opérationnaliser l’existant.

La forte réglementation sectorielle induit de fait la mise en place de procédures souvent exhaustives et répondant aux exigences réglementaires mais manquant parfois fortement de pragmatisme.

L’objectif était donc de valoriser la maturité de l’organisation sur l’anticipation des risques et la structuration de son dispositif de crise tout en lui permettant de faire évoluer ses processus pour favoriser une réponse plus réactive en cas de crise.

Cela passait, entre autres, par la simplification et la clarification de la chaîne de décision.

Plus-value expertise Alcyconie

La conjugaison d’experts en droit du numérique, en communication de crise cyber et d’une fine connaissance des enjeux légaux du secteur financier ont permis à Alcyconie de proposer un accompagnement adapté à l’organisation, à mesure de l’évolution de son besoin.

L’accompagnement sur mesure au travers de la formation en comité restreint et d’atelier thématiques a par ailleurs permis d’identifier les points structurants pour renforcer sa cyber résilience.