1 58 Table of Contents 60 72

ATOUT RISK MANAGER N°31

ATOUT RISK MANAGER N°31 I HIVER 2021-2022 59 Actualités de l’AMRAE – Les Assises de la cybersécurité 2021 opérationnel dont les impacts touchent autant la finance que l'usine de traitement d'eau ou encore l’approvisionnement de chaleur de telle ou telle usine en Pologne.» «Mêmesi cenesontquedes scénarios, quantifier leur impact potentiel peut sérieusement aider à motiver l'investissement dans des budgets de prévention, de protection et de gestion de réponse à incident» a-t-il expliqué. «On peut ensuite parler d'assurance, mais c’est un autre volet. Le fondamental est d'avoir bien compris ces risques et de mettre en œuvre proactivement prévention et protection. Ensuite, on pourra parler de façon intelligente aux assureurs» a conclu sur ce chapitre le Président de l’AMRAE. Scénarios et cellules de crise Rançongiciels, déni de service, blocages techniques : quelles que soient les attaques, c’est l’analyse de leurs conséquences opérationnelles immédiates et dans la durée qui déterminent les investissements en prévention, les réponses opérationnelles à apporter et les plans de continuité à déclencher. Les priorités sont doubles. Celle des Risk Managers est de préparer leur entreprise à travailler en mode dégradé pour fournir ses services essentiels comme l’eau ou le chauffage urbains, la production et livraison de médicaments, ou encore les paies en fin demois. Par exemple, a témoigné Oliver Wild, «si mon usine de distribution d'eau potable est à l'arrêt, j'ai un plan de secours pour distribuer de l'eau en bouteille pendant un jour, une semaine ou plus. Et nous avons identifié et affecté les opérateurs, qui,mêmeen tempsdepandémieet de télétravail, vont aller sur le site effectuermanuellement ceque faisait l’informatique industrielle.» Et Anne Piot d’Abzac de compléter : « notre hantise est l'interruption de production ou de livraison de médicaments aux patients. Nous y répondons par la constitution de stocks de produits dans la chaîne d'approvisionnement et de distribution. » Entraînement et composition de la cellule de crise opérationnelle On observe souvent deux cellules de crise parallèles : - l’opérationnelle, qui va rassembler toutes fonctions de l’entreprise et – c’est indispensable – les parties prenantes susceptibles d’être touchées, instantanément ou ultérieurement : fournisseurs, clients, pouvoirs publics. On restreint ensuite en fonction des situations. - la technique, l’IT, qui prélève les traces, isole et lance les reconstructions, selon les priorités fonctionnelles établies. En octobre 2011, Veolia conduisait son premier grand exercice cyber mondial, simulant une crise majeure via une attaque de rançongiciel sur plusieurs usines du groupe dans le monde. «Ça n'a pas été une petite crise» racontait Oliver Wild. «Les membres du Comex étaient sur le pont. Le président est passé. Quatre cellules de crise mobilisées dans le monde, une bonne dizaine d'heures d’exercice.» Conclusions? Bien fixer les priorités, gérer la liste des partenaires essentiels pour pouvoir effectuer une reprise d'activité. «Nous avons sumobiliser les gensmais avons repéré – c’était le but - quelques lacunes dans notre organisation comme la manière de gérer une main courante de crise, etc.» Une fois de plus s’est dégagée l'importance du chef d’orchestre. «Le pilote, n’est pas forcément le décisionnaire, mais celui qui va coordonner la cellule de crise et qui va rapporter ou soumettre une question au P-dg de l'entreprise. D'où l'importance de s'entraîner parce que l'on ne naît pas bon coordinateur de gestion de crise. Ceci n’est pas une faiblesse. Il y a des gens qui peuvent gérer ça très bien et d'autres qu'ils le géreront moins bien. On les affectera alors dans des groupes de travail et d’experts pour apporter une solution» soulignait le président de l’AMRAE. «Il y ades fonctions incontournables: la communication, les Ressources Humaines, les opérationnels concernés par l’attaque, le juridique... L’objectif est de fournir au Comex - donc à ceux qui vont prendre les décisions – le meilleur éclairage possible pour prendre les bonnesdécisions» , a complété la Vice-présidente de l’Association. À une question de l’auditoire sur la présence des ressources humaines, la réponse fut unanime : présence essentielle, ne serait-ce que dans le périmètre limité des crises de type rançongiciel. «Surtout si la crise arrive après le quinze dumois car les payes peuvent être touchées. En cas de blocages, c’est-à-dire d’impossibilité de reconstituer les éléments déterminant les salaires du mois en cours, on peut opter pour une solution provisoire et, avec les finances, demander aux banques de verser aux employés l’équivalent du salaire du mois précédent.» « Même si ce ne sont que des scénarios, quantifier leur impact potentiel peut sérieusement aider à motiver l'investissement dans des budgets de prévention, de protection et de gestion de réponse à incident . » Oliver Wild, Président de l’AMRAE « Le pilote, n’est pas forcément le décisionnaire, mais celui qui va coordonner la cellule de crise et qui va rapporter ou soumettre une question au P-dg de l'entreprise. D'où l'importance de s'entraîner parce que l'on ne naît pas bon coordinateur de gestion de crise. » Oliver Wild

RkJQdWJsaXNoZXIy NjQyNDQw