Les lectures qui ont lieu au gré des découvertes sur la toile sont souvent intéressantes. Certaines parce qu’elles permettent de faire progresser la pensée, d’autres parce qu’elles révèlent le sacrifice à la mode cyber, selon laquelle tout ce qui est cyber est forcément différent de ce qui existe déjà. A ce titre, la lecture de Comment organiser une cellule de crise en cas d’attaque cyber ? produit par l’INHESJ en juillet 2015, pourtant d’actualité au vu des accusations de piratage de la campagne électorale, reflète la deuxième hypothèse.

Source.

Car la question induite par la lecture du titre est de savoir ce qui diffère la cellule de crise post attaque cyber d’une cellule de crise post tout le reste. On se dit donc qu’il y aura sûrement des spécificités cyber qui modifieront substantiellement cette cellule de crise. Et donc ?

Déjà, l’executive summary (p 5) plonge dans la perplexité. La croissance des attaques n’est pas exponentielle, il faut savoir raison garder. D’ailleurs, il est écrit plus loin (p 7) que Cap Gemini estime que le nombre des cyberattaques a augmenté de 120 % entre 2013 et 2014. Nous sommes loin de l’exponentielle… Il semble que l’exponentielle soit la fonction la moins bien connue des rédacteurs en tout genre. Mais son nom est beau, et cela rappelle ce que Deniau écrivait dans ses mémoires, à savoir que lors d’une réunion réunissant des responsables politiques européens, Giscard aurait affirmé que la courbe d’une variable économique était une lemniscate de Bernoulli. Personne n’osât le contredire, Deniau l’expliquant par le prestige du polytechnicien… Voici l’image de la lemniscate, vous vous ferez une idée par vous-même :

source.

Ceci étant posé, le plan du document est consternant intéressant. Alors que je m’attendais naïvement à une comparaison initiale entre la crise cyber et la non-cyber, pour ensuite en déduire les spécificités de la cellule de crise post cyberattaque et, in fine, des recommandations, le plan évoque la « gestion de crise cyber », puis « comment se préparer à gérer une crise cyber ». Soit. Je reste un peu déçu quand même…

Passons ensuite à l’argumentation. Là encore, la déception pointe le bout de son nez. Toujours dans l’executive summary, on peut se demander si le changement des moyens à mettre en œuvre pour résoudre la crise impacte nécessairement l’organisation. Pas sûr, sauf dans le cas d’un « révolution » des moyens. L’amélioration des moyens de culture et d’élevage n’a pas changé l’organisation des fermes agricoles pendant des siècles, jusqu’à ce que la mécanisation intervienne. En temps de crise, communiquer est vital pour coordonner l’ensemble des acteurs mobilisés. Mais les canaux numériques n’ont-ils pas été compromis par l’attaquant ? Bonne question, mais si la communication est vitale en cas de crise (quelle que soit sa nature, cyber ou non d’ailleurs), tous les médias ne peuvent être touchés simultanément, sinon personne n’a connaissance de la crise. Certains doivent encore fonctionner, c’est à l’organisation en crise de les trouver.

Par la suite (p 7), l’attaque cyber est définie de manière très large et peut concerner toute attaque puisque c’est une attaque mettant en œuvre des moyens numériques et effectuée au travers de réseaux informatiques. Ainsi des attentats de la gare d’Atocha, commis via des téléphones portables… Il aurait pu être utile de la restreindre à celles qui visent un objectif du cyberespace, car à notre époque, seuls les Amish sont capables de mener des attaques ne mettant pas en œuvre des moyens numériques puisqu’ils n’en ont pas.

La page 10 promettait d’être intéressante puisqu’elle propose une analyse de mécanismes d’exfiltration des données. Réflexion très pertinente, car dans une attaque, ce n’est pas l’infiltration ni l’action qui pose le plus problème, mais bien l’exfiltration. Comment sortir, son forfait accompli, sans se faire repérer ? Las ! C’est davantage l’attaque ou la récupération des données que l’exfiltration qui est détaillée…

La page 12, au sein de la partie Gestion de crise cyber, montre le cycle de la crise. C’est en fait le cycle d’une crise on ne peut plus classique, ce qui laisse penser que les différences dans la gestion de la crise seront minimes…

Passons à la page 15 où il nous est dit qu’il faut savoir détecter la fin de la crise, mais ni trop tôt ni trop tard. Lapalisse…

Source.

Il aurait été sûrement plus clair de définir les conditions de fin de crise, donc l’état final recherché.

C’est à partir de la page 16 que nous nous confrontons aux spécificités de la gestion de crise cyber. La première est que les cyberattaques sont longues à identifier, contrairement à d’autres types classiques de crise. Mais posons les termes correctement : est-ce la crise qui est longue à identifier ou la cyberattaque ? Dit autrement, tant que je ne sais pas que je suis la cible d’une cyberattaque, suis-je vraiment en crise ? La confusion de vocabulaire est ici flagrante, et un vocabulaire mal maîtrisé est souvent le symptôme d’une pensée mal assurée. Puis l’étendue des attaques est souvent difficile à évaluer. Oui, et donc ? Enfin, la dimension éminemment technique est soulignée, mais on pourrait en dire autant d’une crise nucléaire.

Se préparer à gérer une crise cyber commence par l’analyse de risques (p 19).  Là encore, déception, car cette analyse de risques s’apparente à une classification de l’information, préalable à toute défense digne de ce nom. L’assurance est évoquée, mais la « très forte croissance » du marché de la cyber assurance (p 21) n’est pas prouvée…

Par la suite, nous sommes dans les recommandations classiques de résolution d’incident cyber.

Finalement, cette figure imposée diffère peu de ce que l’on trouve ailleurs sur la toile. Ici ou là, l’argumentaire montre qu’il y a fort peu de différences entre la gestion d’une crise cyber et d’une autre. Ce qui est finalement rassurant, car il aurait été difficile, dans le cas contraire, de décider si à chaque arrivée d’une crise, elle était cyber ou non d’où des pertes de temps. Pour autant, les auteurs ne nous expliquent pas comment organiser réellement une cellule de cyber crise, et en quoi cela différerait d’une cellule de crise normale.

L’absence de mise en place de cellule de crise cyber lors des piratages des récentes élections laisse planer un doute sur la spécificité de la crise. Peut-être que le CALID aurait un avis différent ? Une actualisation serait alors la bienvenue.

Le titre accrocheur laisse finalement le lecteur sur sa faim. Tout ça pour ça…