1 59 Table of Contents 61 72

ATOUT RISK MANAGER N°31

ATOUT RISK MANAGER N°31 I HIVER 2021-2022 60 Actualités de l’AMRAE – Les assises de la cybersécurité 2021 Double vitesse Pendant la crise, se prennent des décisions opérationnelles, en s’appuyant sur les scénarios, les procédures et les ressources affectées. Tirer vite les leçons des incidents et des crises puis étudier les impacts immédiats, à trois et six mois, est primordial. Dans cette analyse du «demain possible» , produite avec une cellule d’antici- pation, la seule différence avec le réel, est que l’on prend le temps du projet. Il y a des décisions qui sont partagées et des décisions unilatérales qui sont prises à plusieurs échelles. « En gestion de crise, il faut une rigueur implacable» affirmait Anne Piot d’Abzac. «Dans les exercices, on s'aperçoit souvent qu’on oublie de s'arrêter pour imaginer les évolutions possibles de la crise. Or, c'est une étape absolument clé. Quand certains sont sursollicités - il faut les laisser faire leur travail - d’autres doivent prévoir des temps pour se poser et anticiper, en fonction des informations disponibles, les scénarios d'évolution possibles de la crise. La cellule d'anticipation joue ce rôle. » Le Cloud, une solution efficace? « La stratégie cloud nous permet de nous débarrasser de certaines contraintes, mais migrer les fonctions essentielles vers le cloud pour assurer leur résilience passe d'abord par uneétudedes risques et des impacts notamment en termes de configuration, de contrôle d'accès et de la gestion des identités» détaillait Didier Fournier. «Il faut être clairs avec les partenaires : expliquer les démarches, travailler avec les directions des achats, dire ce que l’on veut - surtout dans cesmétiers - pour pouvoir visualiser cette notion de risque. Nous l’avons incrustée dans les clauses contractuelles, dans tous les « Non Disclosure Agreement ». J’explique fermement à notre écosystème que je ne vais pas devenir unemenace pour lui et j’attends qu’il n’endeviennepas unepour lemien. C’est valable sur toute la chaîne de valeur et conditionne également les choix en termes de configuration d'infrastructures» ponctuait-il. Gérer ses priorités Pour le consultant Didier Saiz, la gestion des priorités reste encore à travailler. « Je gère beaucoup de crises de type ransomware et je constate souvent l'absence de priorités fortes en termes de fonctions d'entreprise qui puissent être déclinées en termes de techniques, comme le nombre de machines virtuelles, les noms de systèmes et d'hôtes, etc. De manière à avoir une priorité très claire sur ce que les services de reconstruction vont pouvoir suivrepour la reprise d’activité». « Il y a des fonctions incontournables : la communication, les Ressources Humaines, les opérationnels concernés par l’attaque, le juridique... L’objectif est de fournir au Comex - donc à ceux qui vont prendre les décisions – le meilleur éclairage possible pour prendre les bonnes décisions . » Anne Piot d’Abzac, Vice-président et Secrétaire général de l'AMRAE « En gestion de crise, il faut une rigueur implacable . » Anne Piot d’Abzac, Vice-président et Secrétaire général de l'AMRAE Aux Assisses de la Cybersécurité, mi-octobre à Monaco. « Nous gérons 30 crises cyber par an, majeures et importantes, avec de réelles conséquences financières. C’est un risque accepté et assumé par l’entreprise, parce qu’elle est inscrite dans une logique de partage du risque. » Didier Fournier, Directeur de la cybesécurité de Veolia

RkJQdWJsaXNoZXIy NjQyNDQw