Gestion de crise cyber, une masterclass pour les étudiants en Digital Marketing & Data Analytics

Il n’y a pas de crise cyber, il n’y a que des crises d’origine cyber. C’est le constat à partir duquel des représentants de l’ANSSI – l’Agence nationale de la sécurité des systèmes d’information – et de la filiale Orange Cyberdéfense du groupe Orange proposaient une masterclass à destination des étudiants de 4e et 5e années du Master Digital Marketing & Data Analytics du Programme Grande École de l’EMLV.

La data est l’or noir de la transition numérique, elle attise de plus en plus les convoitises tant des criminels que des états. L’actualité récente nous a montré à quel point toutes les structures sont susceptibles de devenir les cibles d’attaques.

Mais qu’est-ce qu’une crise d’origine cyber ? Quelles sont les bonnes pratiques pour la gérer dans les meilleures conditions ? Quelles compétences sont requises ? Quels risques et quelles conséquences en sortie de crise ?

Les bonnes pratiques et retours terrain ont fait l’objet d’une intervention des experts de l’ANSSI et du groupe Orange Cyber Défense dans le cadre de la masterclass « Gestion de crise cyber ». Cette activité vise à sensibiliser les futurs diplômés du double-diplôme Digital Marketing & Data Analytics à l’importance de la préparation de l’ensemble des métiers à l’organisation de crise.

Une masterclass encadrée par le responsable du Campus Cyber -ESILV, ANSSI et Orange Cyberdefense

A l’occasion d’une masterclass sur la campus du Pôle Léonard de Vinci, plus de 200 étudiants des promotions 2023 et 2024 du bi-cursus Digital Marketing & Data Analytics étaient invités à imaginer et anticiper les cybercrises à venir et leurs impacts sur l’ensemble de l’organisation du travail en milieu privé et dans le secteur publique.

La timeline de la masterclass comportait trois interventions d’experts cyber et informatique :

• Walter Peretti, responsable Campus Cyber pour l’ESILV et référent enseignement de Défense et Sécurité Nationale pour le Pôle Léonard de Vinci
• Marc Tolub et Emmanuel Waterlot, spécialistes Conseil & Audit chez Orange Cyberdéfense
• Martial Castillon-Le Guédard, Head of Cyber Crisis Management chez ANSSI

Des cyber-menaces qui pèsent sur l’ensemble des secteurs

Selon le rapport Threat Landscape 2022, entre juillet 2021 et juin 2022, près d’un quart des cybermenaces visaient principalement les entités du gouvernement et les administrations publiques. Suivent ensuite les entreprises de services numériques  (13,09%) et celle du secteur des services (11,78%). Près de 13% des incidents enregistrés pendant cette période visent les utilisateurs particuliers. Les cyberattaques ont des impacts multiples :

• En termes de réputation pour les entités visées
• Conséquences numériques : systèmes endommagés ou indisponibles, fichiers corrompus, exfiltration de données, etc
• Impacts physiques : blessures et/ou préjudices subis par les employés, les clients, les patients
• Impact social : les effets sur le grand public, perturbations touchant une partie importante de la population (par exemple, les incidents perturbant le système national de santé d’un pays)

Qu’ils visent la partie immergée ou émergée de l’iceberg, les coûts des crises cyber sont nombreux et peuvent être dévastateurs pour les organisations visées. Désormais, la question n’est plus de savoir si on sera attaqué ou non, mais de savoir quand… La question c’est de savoir si on est prêt à faire face à une crise cyber.

La cybersécurité, un effort qui concerne l’ensemble des métiers, techniques et non-techniques

« Aujourd’hui, le vol de données, la paralysie partielle ou totale des services numériques ont des impacts opérationnels, juridiques, financiers ou réputationnels critiques. On ne peut pas improviser des réponses en plein milieu d’une catastrophe », pense Guillaume Poupard, directeur général de l’Agence nationale de la sécurité des systèmes d’information. C’est une évidence, l’anticipation et la gestion des crises cyber concerne l’ensemble des équipes – communication, juridiques, ressources humaines – et non pas seulement les métiers IT.

L’imagination des cyber-criminels est sans limite et la diversité des attaques cyber révèle un nombre important d’écarts par rapport aux bonnes pratiques en gestion de crise :

• Une mauvaise compréhension des particularités du cyber avec des organisations souvent silotées en matière de gestion de crise : la cyber d’un côté, le métier d’un autre
• Une gouvernance de crise non adaptée à des crises « longues » et parfois sans governance « cyber/numérique » spécifique
• une vision parfois trop technique de la gestion de crise cyber d’origine cyber
• Des dispositifs de continuité d’activité ou de reprise d’activité souvent non-adaptés à la menace cyber
• Une communication de crise pas suffisamment préparée et coordonnée
• Une méconnaissance de la chaîne de valeur, des systèmes critiques sous-jacents et des dépendances (interne comme externe)

Sensibilisation, formation, procédures, organisation, politique… la cybersécurité concerne l’ensemble des mesures de protection, techniques et non-techniques, qui permettent aux entreprises et aux acteurs publics de parfaire leur posture de cybersécurité. La sécurité numérique dépasse les seules questions technologiques et impose de repenser la gouvernance de l’entreprise.

Une ambition qui, au Pôle Léonard de Vinci, se traduit notamment par un engagement au service des projets innovants sur le Campus Cyber, dont l’ESILV est école membre.