Cybersécurité : peut-on négocier avec un hacker ?

Face à ces menaces, il n’existe que deux moyens pour libérer un otage. 

• Le premier est de le localiser, pour transformer (on parle de mutation du scénario) l’enlèvement en situation de prise d’otage et ainsi déclencher une manœuvre de libération par la force.
• Le deuxième moyen est plus courant. Cela se nomme la négociation, la négociation de crise. Car, pour ceux qui l’auraient oublié, l’enlèvement, en raison de ses conséquences immédiates et potentielles, nécessite une posture dérogatoire. En d’autres mots, c’est une affaire de spécialistes, où les marges de manœuvre demeurent étroites. 

La cyberattaque n’est pas juste un risque technique. C’est avant tout une volonté humaine de nuire. Face à ce risque de cyberattaque, la première réponse de « libération par la force » n’est pas possible, et le hack back n’est pas légal. Seule la négociation semble possible. 

“La cyberattaque n’est pas juste un risque technique. C’est avant tout une volonté humaine de nuire.”

Un catalogue de réponses face aux cybermenaces

Avant d’en arriver là, les managers actuels des risques cherchent dans leur catalogue les moyens qui pourraient les aider à prévenir, à réagir et à gérer les conséquences des attaques potentielles.

Tout d’abord, il existe bien entendu les moyens « techniques » qui permettent de se protéger et, le cas échéant, de gérer les caractéristiques de l’attaque. Ces moyens techniques permettant de se protéger sont généralement déployés par des cabinets d’experts. Ceux-ci interviennent à la fois en amont pour prévenir le risque, ensuite, pendant les attaques (en complément ou non des agences et forces étatiques), et enfin, après les attaques, pour remettre les systèmes entravés en bon état de marche. 

En complément de ces moyens, il existe également le plan de continuité des activités, qui permet de faire face aux premières conséquences des attaques, et d’éviter, dans la mesure du possible, que celles-ci entravent les processus opérationnels et organisationnels. C’est le plan par excellence de la continuité de services des opérateurs, et en particulier en ces temps de télétravail généralisé, où les moyens de communication, quels qu’ils soient, sont d’une importance vitale.

Ces deux premières réponses entrent dans le registre du management des risques. En cas de cyberattaque avérée, affectant de manière significative les personnes, les activités et la réputation de l’entité visée, nous entrons dans le champ de la gestion d’une crise.

Répondre à la crise en cassant les silos

La réponse du manager des risques est alors généralement complétée par la thématique de la communication de crise. Tous les experts techniques sont rassemblés autour de la table, recherchant dans un premier temps les causes, vérifiant la bonne marche du plan de continuité d’activités, ou constatant déjà son décalage par rapport aux attendus. Face à cette « agression » inacceptable, les cabinets d’avocats experts en procédure pénale et en cyberattaque font leur apparition. Et enfin, les communicants reconnaissent une difficulté technique passagère, alors qu’un grand nombre de parties prenantes internes comme externes connaissent déjà la réalité.

Nous nous retrouvons donc face à une addition de management de risques qui, dans certains cas, agissent de manière éparpillée, et en silo. En d’autres mots, chacun gère son risque. Et que se passe-t-il alors quand un ultimatum est lancé avec une demande de paiement d’une rançon ?

La négociation de crise appliquée aux cyberattaques

Dans le cas d’une demande de rançon « digitale », l’élément fondamental à prendre en compte est d’intégrer que celui qui dirige l’attaque est un être humain. Nous ne pouvons certes pas négocier contre une machine, mais une nouvelle voie nous montre qu’une discipline, ignorée dans les entraînements comme dans la réalité, apporte une solution éprouvée pour gérer cette situation d’enlèvement et d’entrave numérique. Cette discipline est la négociation de crise.

La négociation de crise n’est pas à considérer comme une arme absolue. Elle n’a pas vocation à tout résoudre. Elle permet, plus que certains peuvent le croire, de comprendre qui est l’adversaire. En d’autres mots, de reconstruire son ADN. L’objectif est alors de « libérer  » les processus entravés ou les informations enlevées.

Dans le cas d’une cyberattaque, il est difficile d’imaginer que les informations enlevées puissent s’enfuir seules. Pour libérer par la force, il faut localiser l’attaquant, et cette caractéristique peut malheureusement prendre du temps. Le temps. Voici la donnée essentielle. Combien de temps peut tenir une organisation lorsque l’ensemble de ses processus est entravé ? Que risque-t-elle en cas de divulgation des informations confidentielles que l’adversaire a en sa possession ? 

À l’instar des enlèvements de personnes, le travail du négociateur vise à s’assurer de la crédibilité de l’auteur, et à mesurer le degré de confiance nécessaire à la résolution de la crise. Le négociateur de crise n’est pas un « gladiateur en costume », comme certains voudraient nous le faire croire. C’est avant tout un « guerrier pacifique », qui cherchera par tous les moyens, non pas à terrasser l’adversaire qu’il a en face de lui, mais bel et bien à résoudre la situation le plus rapidement possible, en minimisant les impacts dans le temps.

“Face à une cyberattaque, il est essentiel de dépasser l’addition des managements des risques, et de basculer dans une posture de gestion de crise.”

Vient alors la question que tout le monde se pose. Doit-on payer la rançon demandée par l’attaquant ? Et c’est une véritable équation à résoudre. Quel prix êtes-vous prêt à payer, et pendant combien de temps ? En d’autres mots, combien de temps votre entité peut-elle être entravée ? Êtes-vous prêt à accepter l’épée de Damoclès au-dessus de votre tête, et représentée par la menace de divulgation, voire de vente de vos informations confidentielles ? Êtes-vous certain qu’en cas de paiement de la rançon demandée ou négociée, vos processus et informations seront « libérés » ? 

Une grande partie des managers de ces risques vous diront de ne rien faire. Nous pouvons les comprendre, car ils se limitent à la gestion d’un risque qu’ils maîtrisent. Ne rien faire en période de crise n’est plus une option, et espérer que tout s’arrange est une tactique dont nous connaissons déjà le résultat. 

Face à une cyberattaque avérée, il est essentiel de dépasser l’addition des managements des risques, et de basculer dans une posture de gestion de crise. Celle-ci a pour objectif de fédérer les compétences utiles à la gestion des impacts et des parties prenantes. En un mot, les coordonner, pour ne faire qu’un. Mobiliser un négociateur ou une équipe de négociateurs au sein d’un dispositif est aujourd’hui à prendre en compte par les entités affectées. C’est indispensable pour faire face à ce scénario, qui se multiplie de manière importante dans le contexte actuel. Avoir un négociateur dans son équipe de gestion de crise, c’est avoir dans son jeu un atout supplémentaire pour comprendre et tenter de résoudre la situation. Il ne vous fera pas obligatoirement gagner le match qui s’est engagé contre un adversaire, et contre le temps imposé par les ultimatums. Ce serait juste dommage de le laisser sur le banc de touche ou aux vestiaires.