Cyberattaque : les 7 plaies
de la gestion de crise

La récente cyberattaque visant l’hôpital de Corbeil-Essonnes nous amène à comprendre quel est le rôle des différents acteurs en période de gestion de crise. Cet événement est devenu par sa nature un véritable cas d’école. Il devrait nous permettre de prendre un peu (voire beaucoup) de hauteur pour définir dès maintenant, et surtout pour le futur, la philosophie des réponses à apporter. 

Bien entendu, la prévention est importante pour contrer des attaques devenues presque inévitables. Il est d’ailleurs normal que les expertes et experts dans la gestion de ce risque se relaient pour appliquer tout ou partie de leurs moyens. Nous le savons également : les boucliers déployés ne garantissent pas à 100 % de stopper les modes opératoires utilisés, dont les impacts sont imprévisibles. Car face à des attaquants dont l’éthique est variable, la prévention devient moins importante que la gestion de l’ensemble des conséquences. En d’autres mots, ce que les parties prenantes impactées demandent est extrêmement simple : et maintenant, nous faisons quoi ? Or, pour l’organisation concernée, il s’agit de coordonner l’ensemble des acteurs, alors que la plupart n’ont jamais travaillé ensemble. Elle doit également gérer la nouvelle médiatisation de ces événements où chacun veut montrer le temps d’un instant son rôle prépondérant. 

Gérer une crise dont le facteur déclenchant est une cyberattaque ne laisse pas de place à l’improvisation, même si le modèle de réponse à apporter est souvent à créer de toutes pièces. La gestion de cette typologie de crise est un véritable révélateur de notre réelle capacité à faire face aux impacts et à communiquer avec les parties prenantes concernées, attaquant compris. Celui-ci n’est plus un invité surprise, il est le chef d’orchestre d’une partition dont le résultat semble être, à ce stade, joué d’avance. 

Les cyberattaques génèrent lors de la gestion de crise 7 plaies sur lesquelles les pansements ne suffisent plus. Même le temps ne fera pas disparaître ces cicatrices. 

Plaie numéro 1 : effet de choc versus acceptation

La découverte d’écrans totalement noirs et l’incapacité de pouvoir réaliser les tâches attendues par les personnels de l’hôpital de Corbeil-Essonnes ont généré un effet de choc et de sidération. Suivi de la sempiternelle phrase : « Non, ce n’est pas possible, cela ne peut pas arriver ici ». Et pourtant, le constat de l’incapacité à poursuivre les activités en mode normal devient avéré. Quoi que nous fassions, nous devons l’accepter. Sans acceptation, pas de gestion possible. 

Plaie numéro 2 : le retour du crayon et du papier

Nous sommes entourés d’un environnement numérique et d’applications tellement vaste que nous en oublions les bonnes pratiques d’un passé pas si lointain. Le papier et le crayon font leur retour, car c’est la seule chose que les pirates informatiques ne peuvent nous dérober ou entraver. Des pratiques qui pour certaines personnes sont d’un autre âge, mais que le présent remet sur le devant de la scène comme étant un incontournable. C’est pourquoi, en amont, il convient de s’entraîner à gérer des crises avec, comme support initial, un simple crayon et une feuille de papier.

Plaie numéro 3 : le déclenchement des plans 

Face à la réalité et à la sévérité des impacts, les plans sont lancés. Plan blanc, plan de continuité d’activité, alerte de tous les acteurs pouvant intervenir sur tout ou partie des conséquences. Tout en sachant que ces plans ne seront pas suffisants, car la réalité dépasse déjà le seuil d’acceptabilité envisagé dans les études des potentiels scénarios (quand ces études existent).

Jusque-là, nous sommes dans une zone de turbulence importante où l’expérience et la bonne volonté des acteurs permettent de stabiliser un patient, dont on ne connaît pas encore vraiment son état de santé.

Plaie numéro 4 : la négociation de crise devient télé-réalité 

Qui dit demande de rançon, dit négociation de crise. Qui dit négociation de crise, dit confidentialité. La suite de l’histoire nous a malheureusement montré une tout autre réalité. La diffusion d’une partie des échanges par les pirates, et les divulgations dans la presse des objectifs d’une phase de négociation lors d’une cyberattaque nous font basculer dans le monde de la télé-réalité, sans pouvoir contrer ses effets néfastes. Il y a encore beaucoup à apprendre sur le véritable rôle des négociatrices et négociateurs de crise. Et il n’y a que les personnes qui pratiquent ce métier qui peuvent le mesurer concrètement. C’est à se demander si, un jour, nous n’aurons pas la possibilité de suivre en direct les négociations entre les hackers et les spécialistes. Tout le monde oublie qu’à trop médiatiser la réponse apportée à cette typologie d’événement, nous faisons en premier lieu le jeu de l’adversaire.  

Plaie numéro 5 : Fin de l’ultimatum et divulgation de données

Les hackers n’ont rien inventé, ils ne font que reprendre les phases connues d’une prise d’otages. Nous ne gérons plus des personnes, mais des données retenues en otage et qui seront « exécutées » par divulgation.

C’est le début d’une course pour connaître la nature des informations dévoilées, et les parties prenantes concernées, qui se trouvent impactées en quelques clics seulement. 

Informer, prévenir les multiples victimes, trouver les bons éléments de langage devient un véritable défi à relever pour une cellule de crise déjà bien éprouvée. 

Plaie numéro 6 : la double détente de la divulgation

La divulgation d’une partie des données permet aux hackers de montrer leur crédibilité et leur capacité de nuisance. Malheureusement, ce n’est que le début d’une nouvelle crise, et en particulier pour les victimes, qui se retrouvent dans une situation délicate. L’utilisation potentielle par d’autres hackers de leurs données : c’est l’effet double détente de la diffusion d’informations confidentielles lors d’une cyberattaque. Le périmètre de celle-ci prend alors et rapidement une tout autre dimension. 

Plaie numéro 7 : La pression par l’exemple

Et si le véritable objectif des hackers était tout simplement de rendre la plus médiatique possible une de leurs attaques ? Créer un exemple a sans doute plus d’effets en installant une véritable pression sur les cibles visées par ces mêmes auteurs. Payer la rançon demandée restera sans doute la dernière des solutions. Car à l’instar des enlèvements, il n’est pas certain qu’il existe encore un accord tacite pour obtenir à chaque fois la concrète libération des données et des systèmes entravés. 

Gérer les conséquences d’une cyberattaque ressemble de plus en plus à une course de longue distance sans ligne d’arrivée. Il apparaît que les pirates ont pris une véritable longueur d’avance. Et celle-ci n’est pas que technique. Elle est clairement liée à leurs capacités de générer un ensemble d’impacts où les parties prenantes semblent travailler en silo en répétant le sempiternel message : « Nous ne payerons pas ». 

Nous ne pouvons que saluer les initiatives pour améliorer au-delà de la prévention la gestion de ces crises. Et pourtant, il convient d’être vigilant. À trop les médiatiser, nous donnons involontairement des clés de décryptage aux attaquants sur nos forces et nos faiblesses. 

La gestion de crise cyber ne doit pas devenir un événement de télé-réalité où chacun et chacune apparaît pour exister. Elle se doit de rester la plus silencieuse et confidentielle possible. C’est par ce silence médiatique que vous commencerez à semer le doute dans l’esprit des attaquants.