La perception de la cybersécurité et des menaces pesant sur les organisations


La question n’est pas tant SI ou QUAND, mais COMMENT votre organisation y répondra

Stéphanie Ledoux

Cette échange met en lumière la perception de la cybersécurité et des menaces pesant sur les organisations, notamment depuis la crise sanitaire du Covid-19, par Stéphanie Ledoux, CEO du cabinet Alcyconie.

Retrouvez le contenu complet de l’interview sur le site de Global Security Mag (GS Mag).

GS Mag : Quelles sont les principales menaces que vous avez pu identifier en 2021 ?

Stéphanie Ledoux : Plus que les menaces et la sophistication croissantes des actes de malveillance cyber, c’est la créativité des attaquants qui nous intéresse tout particulièrement. Ces derniers ont su adopter les best practices du marketing, de la communication ou encore de la relation client et ont bien saisi que la réputation et la conformité des organisations étaient au cœur des enjeux. L’émergence de la double voire de la triple extorsion, l’achat d’espace sur les réseaux sociaux, l’impression en masse de demandes de rançons sont autant de leviers activés par les attaquants pour faire pression sur leurs victimes.

Au-delà de la menace cyber, c’est la fragilité des organisations face à cette nouvelle criminalité que nous identifions et à laquelle nous répondons de manière pragmatique, en insufflant une culture de la gestion de crise cyber auprès de nos clients. Cela passe par exemple par le développement d’une organisation de réponse à incidents efficace et opérationnelle, la formation des juristes, des financiers et des communicants sur les pratiques et réflexes à avoir en matière de crise cyber et d’origine numérique. Il s’agit de construire la résilience des organisations, de ne plus donner aucune prise aux attaquants.

GS Mag : Quid des besoins des entreprises ?

Stéphanie Ledoux : Nous identifions deux besoins prioritaires chez nos clients :

Le premier concerne la préparation et l’entraînement. Elles prennent conscience que répondre à une crise cyber par le seul prisme technique n’est plus possible. Ainsi, outre le fait d’optimiser le rôle d’un SOC, l’utilisation d’un SIEM, le déclenchement d’un PCA et la mobilisation d’une cellule de crise, il est nécessaire d’effectuer des missions en situation réalistes et concrètes afin de développer des réflexes pertinents et rendre les procédures plus efficaces le jour J.

Le second porte sur la communication de crise. Si la tendance était traditionnellement au mutisme, les organisations ressentent désormais le besoin voire l’obligation de communiquer. La question qui les occupe désormais porte sur les messages à communiquer, la manière de les rendre intelligibles sans oublier les obligations qui incombent à certaines organisations. Nous développons ainsi depuis plus de 3 ans un réel savoir-faire sur cette thématique épineuse de la communication de crise cyber et avons constitué nos équipes d’astreinte de manière à pouvoir adresser cette problématique en tout temps.

GS Mag : De quelle manière votre stratégie est-elle amenée à évoluer pour adresser ces enjeux ?

Stéphanie Ledoux : Cet état de fait a été identifié dès la création d’Alcyconie. Notre stratégie demeure donc des plus actuelles. Nous avons en revanche pris le parti d’accélérer le développement du cabinet sur 2 axes :
 Le recrutement, en étoffant l’équipe et en allant chercher des compétences spécifiques et des experts pointus,

 En concevant une plateforme de simulation unique, PIAâ. Développée avec le soutien de la French Tech et de la Région Bretagne, cette plateforme Saas (software as a service) offre un terrain de jeu sécurisé et ultra réaliste pour immerger les équipes décisionnelle et technique au cœur d’une crise ou d’une cybercrise. Elle nous permet d’activer l’ensemble des dimensions à gérer dans le cadre d’une situation dégradée (juridique, communication, technique…) et de placer les équipes dans l’intensité d’une crise, en reproduisant en temps réel, la pression des réseaux sociaux, des médias et des parties-prenantes. PIA® répond bien entendu également aux exigences et aux besoins d’entrainement de nos clients les plus sensibles. Opérationnelle depuis quelques mois, PIA® a déjà permis d’entrainer une vingtaine d’organisations à affronter une cyberattaque.

GS Mag : Avec la pandémie, le télétravail et sa sécurisation sont devenus incontournable aujourd’hui. De quelle manière intégrez-vous ces principes au sein de votre entreprise et de votre offre ?

Stéphanie Ledoux : Avant la pandémie, nous intervenions déjà fréquemment à distance, notamment en crise à chaud. La fulgurance des crises cyber impose en effet une réactivité encore plus forte, rendue possible par un accompagnement à distance, dès les premières minutes de la crise, par nos consultants d’astreinte.

Nous avons par ailleurs repensé nos formations et plus particulièrement nos exercices pour une réalisation à distance, qui reflète la réalité des cellules de crise à l’heure actuelle. S’il reste souhaitable de s’entraîner régulièrement en réunissant physiquement les acteurs de la gestion de crise, il convient de panacher les exercices et simulations en mettant également les participants en situation de gestion à distance. Cela permet d’expérimenter la gestion d’une crise cyber, avec des canaux parfois dégradés voire compromis, en faisant fi de la communication non-verbale, en ajoutant au stress avec une connexion hachée. Bref, la réalité de 2021 !

GS Mag : Quels sont vos conseils en la matière, et plus globalement pour limiter les risques ?

Stéphanie Ledoux : Limiter le risque de survenance d’une cyberattaque constitue évidemment une nécessité. Protéger son organisation par la rédaction d’une PSSI, par l’implémentation d’outils de détection et d’analyse, par le recours à un SOC est incontournable.

Mais cela reste insuffisant. La réponse ne doit pas être que technique mais également ORGANISATIONNELLE. Une fois l’incident détecté, il faut être en mesure de le traiter et le qualifier dans les plus brefs délais, de déclencher le niveau de crise requis en cas de problème avéré. De nombreuses organisations se dotent d’outils extrêmement puissants mais n’ont pas la réponse organisationnelle adaptée : quel environnement de repli sécurisé ? quels canaux de communication ? quelles sont mes activités prioritaires ? Le risque 0 n’existe pas, et c’est précisément ce risque résiduel que les mesures organisationnelles, les plans de gestion de crise et de continuité d’activité neutralisent.

Vous souhaitez découvrir d’autres interviews et articles de Stéphanie Ledoux, CEO du cabinet Alcyconie ? Découvrez-les dans nos rubriques Actualités et Articles de notre Blog.

Partagez cet article :
Facebook
Twitter
LinkedIn
Reddit
WhatsApp
Email