- Speaker #0
Bonjour à tous et bienvenue dans InCyber Voices. Aujourd'hui, on va parler gestion de crise cyber. Avec nous, Sébastien Jardin, directeur cyber résilient chez Deloitte et coach de diligence. Il accompagne les entreprises dans sa dérape. Libère attaque, panique, pression. Son rôle ? Les aider à anticiper, réagir et limiter les dégâts. Ceux qui peuvent coûter des millions. Sébastien est aussi l'auteur de « Crise cyber, se préparer au pire pour donner le meilleur » . Une référence pour savoir que faire, quoi dire, quand le dire, mais aussi comment éviter que la crise ne vire au désastre réputationnel. Alors, que faire en cas d'attaque ? Qui doit parler ? Peut-on vraiment être prêt ? On voit ça tout de suite. Je vais vous demander de vous présenter... Votre vivre autre oeuvre en quelques mots.
- Speaker #1
Je suis le directeur de l'offre cyber résilience chez Deloitte pour la France et l'Afrique francophone. J'ai en charge un pilier qui travaille autour de quatre grands axes. La gouvernance de la cyber résilience, la continuité de l'activité, la reprise d'activité et la gestion de crise. Même si je n'aime pas tout à fait le mot gestion de crise, c'est comme ça que ça s'appelle. Et puis, ça fait 18 mois que je suis arrivé chez Deloitte. Ça fait quelques années que je suis dans le domaine. J'étais chez IBM avant. J'étais instructeur de gestion de crise au niveau mondial et c'est ce que je continue à faire chez Deloitte. Je passe mon temps à faire transpirer des dirigeants, des conseils d'administration, des conseils de surveillance sur la crise cyber.
- Speaker #0
Vous ne faites pas transpirer que des dirigeants. Je crois que vous faites à vos heures perdues, vous enseignez le Krav Maga.
- Speaker #1
À mes heures perdues, une fois par semaine, pas assez, mais on est en binôme avec un sergent qui est adorable et qui est extrêmement brillant au premier régiment étranger à la Légion. Parce que comme dit mon accent, j'habite pas à Paris, j'habite à côté de la Chambre Provence donc je suis à Aubagne au Premier Régiment une fois par semaine pour faire des gros câlins avec des gens un peu particuliers, très attachants aussi
- Speaker #0
Un accent très chantant qui saura ravir ce deuxième épisode et vous êtes aussi l'auteur du livre Chris Siebert Se préparer au pire pour donner le meilleur, évidemment une référence désormais en la matière et justement aujourd'hui je souhaitais qu'on aborde le sujet de la gestion de crise mais post... cyberattaque ou comment se préparer justement à une cyberattaque, mais qu'on s'adresse plus particulièrement aux dirigeants et aux communicants pour voir quelles peuvent être les clés qu'on peut leur donner en amont si cyberattaque il y a de n'importe quelle nature. Justement la gestion de crise cyber pouvez nous dire en quoi elle est différente des autres crises en quelques mots ?
- Speaker #1
Je vais volontiers répondre à cette question mais avant je vais faire une petite intro parce que j'ai dit tout à l'heure que la gestion de crise le mot me plaisait pas même si c'est le mot qu'on voit tout le temps mais en fait Il y a un truc qui me choque dans le mot « gestion » . Ça paraît idiot, ce que je veux dire, c'est vraiment de la sémantique. Mais moi, quand on dit « gestion » , j'ai l'impression qu'on gère. Quand on gère, on maîtrise, on est là, easy. Moi, je préférais « survie à la crise » ou ce genre de choses-là, parce qu'en fait, déjà, si on essaye de réduire la casse et de s'en sortir, c'est déjà pas mal. Le jour où on sera à l'aise... Bon, je ne suis pas persuadé que ça arrive demain matin, mais bon, après, c'est le terme consacré, c'est vrai, mais c'est vrai qu'il y a une petite nuance qui fait que... J'aime bien préciser ça. Puis certains qui écouteront le podcast verront de quoi je parle, à mon avis. La question, c'est qu'est-ce qu'elle a de différente, la crise cyber, par rapport aux autres crises, c'est ça ?
- Speaker #0
Oui, une crise de notoriété qui arrive dans l'entreprise, par exemple. Quelle est la différence ?
- Speaker #1
Moi, j'en vois deux majeures, et je n'ai pas la prétention d'avoir la science infuse, mais j'en vois deux majeures. La première, c'est, comme disent les assureurs, non aléatoire et non indépendante. Non aléatoire, c'est en hypersynthèse, ça finira par nous arriver à tous. Et non indépendante, c'est ce qui se passe à un bout de la terre dans votre entreprise, peut avoir le même impact à l'autre bout de la terre dans votre même entreprise. Parce que vos systèmes sont interconnectés, parce que tout ça, ça va très vite. Et parce que le deuxième volet qui, pour moi, la rend un peu particulière, c'est son caractère très technologique. Et qui dit technologique, dit pour le commun des mortels, un peu virtuel. C'est une crise cyber, c'est dans le monde virtuel. Oui, sauf que les impacts, c'est des salaires qui ne sont pas payés, c'est des gens qui ne sont pas pris en soins à l'hôpital, c'est un cours de bourse qui chute, c'est une réputation qui s'enflamme. Enfin bref, les impacts sont quand même très très tangibles. mais il y a quand même un côté technologique où on se dit que c'est un truc de geek que ça ne va toucher que l'informatique non, quand on est au niveau de la crise d'origine cyber, c'est de loin un sujet que informatique sinon on est au niveau de l'incident et on n'est pas sur une crise dès que c'est une crise et que ça commence à mobiliser les patrons de la boîte, ça ne touche pas que l'informatique.
- Speaker #0
Très clair et merci pour la précision sur la sémantique que je trouve très intéressante et très pertinente Merci. Et du coup, on parle beaucoup, le mot cyberattaque, il y a pas mal de gens qui emploient ce terme sans réellement savoir de quoi il s'agit. Je pense qu'il y a pas mal de confusion quand on pense cyberattaque, on pense à une unité de cyberattaque, alors qu'en fait, elles sont de différentes natures. Et justement, aujourd'hui, vous travaillez avec des dirigeants qui ont déjà eu ou qui n'en ont pas forcément eu, mais vous leur expliquez que c'est quoi les attaques les plus courantes auxquelles ils sont exposés ?
- Speaker #1
Alors déjà, il y a des motivations qui sont particulières. Puis après, il y a des vecteurs qui sont aussi spéciaux. Mais si on commence déjà par parler de la motivation, une des grandes motivations, c'est le caractère criminel. N'oublions pas que c'est quand même un moyen de générer beaucoup d'argent à moindre frais. Ce n'est pas forcément vrai, mais en tout cas à moindre risque. Et donc, le côté criminel est quand même très, très vrai. Donc, des rançons, du vol de données pour revente sur le dark web, ce genre de choses-là. Donc, avec des groupes structurés qui sont capables de blanchir de l'argent. On me demande souvent comment est-ce qu'on fait pour faire du vrai argent avec des bitcoins, des moneros et autres. En fait, ce n'est pas trois adolescents dans un garage, si on résume, qui sont capables de faire ça. Et donc, ça, c'est le premier point. Après, il y a tout ce qui tourne autour de l'espionnage et qui, là, pour le coup, sort très souvent du caractère de l'entreprise pure et dure. C'est-à-dire qu'on est souvent sur de l'étatique ou sur du privé appuyé par des États, donc forcément plus pernicieux, plus long, plus difficile et souvent moins invisible. Donc, c'est ce qui se voit beaucoup moins. et puis après on a tout ce qui est autour de la destruction, de la désinformation, de la manipulation. Donc là, on est vraiment sur la désinformation, si on résume. Et c'est une sorte de destruction, finalement, mais par un vecteur un peu vicieux, si je résume, et qui est compliqué à gérer pour tout le monde. Les trois sont très différents, mais concrètement, qu'on soit du côté dirigeant d'entreprise ou qu'on soit du côté communicant, particulièrement le dernier, quand il s'agit de reprendre le pli sur le côté communicationnel, c'est compliqué. Donc, je vois ces trois vecteurs-là. Il y en a probablement d'autres. Ceux qui écoutent en auront probablement d'autres, mais moi, je vois ces trois-là comme ça.
- Speaker #0
On va parler maintenant de la crise en temps réel. Quelle que soit la nature de cette crise, ou pas d'ailleurs, peut-être qu'on peut rentrer un peu dans le détail, c'est quoi les principales difficultés rencontrées par les dirigeants et les communicants en pleine crise ? Qu'est-ce qui est le moins... Qu'est-ce qui est le plus dur à gérer ? En général, en plus, ça n'arrive pas tous les 15 jours, et quand ça arrive, on a beau avoir eu des formations...
- Speaker #1
Il y a quelque chose qui me frappe, c'est le fait de dire qu'on a le droit d'être surpris quand on est sous le coup d'une crise, par contre on n'a pas le droit d'être démuni. Et c'est pour ça que se préparer en amont, forcément en temps de paix, il y a des gens qui disent « la sueur évite le sang » , il y a des gens qui disent des choses comme ça, que je suis tout à fait d'accord. Si mon camarade Raphaël de Vitoris nous écoute aujourd'hui, il reconnaîtra aussi d'où vient le « crisis survival » que j'ai cité tout à l'heure, parce que ce n'est pas de moi, c'est de lui. Concrètement, même si je suis tout à fait d'accord avec ce qu'il vient de dire là. Et donc concrètement, arriver à reconnaître qu'on est en situation de crise, parfois c'est plus ou moins facile en fonction du fait de... de savoir si l'entreprise ou l'organisation a posé des seuils. Souvent, on me demande à partir de quand on est en crise. Il y a des choses qui sont tellement évidentes qu'on se pose pas la question, mais parfois, je dis, est-ce que vous avez posé vos seuils ? Parce que déclencher une organisation de crise, encore heureux, ça se fait pas tous les quatre matins, mais se mobiliser, se coordonner, passer de l'efficience à l'efficacité, ça nécessite de changer même la hiérarchie. Donc monter une équipe de crise, c'est pas un truc qu'on fait comme on monte une équipe projet. Donc, il y a cette logique à mettre en place. Et ça, pour moi, ce n'est pas évident parce qu'en Cororo, les gens ne sont pas confrontés tout le temps.
- Speaker #0
En plus, la gestion de crise cyberattaque, c'est encore différent parce que si je suis un industriel, je sais quelle crise peut survenir par rapport à mon secteur d'activité, par exemple. Mais là, la cyberattaque, ça va concerner tous les secteurs d'activité. Et c'est moins, en effet, comme vous disiez, c'est moins tangible. C'est moins spécifique à un secteur, en fait, que n'importe quel secteur peut être touché, même s'il y en a qui sont plus à risque et on sait pourquoi. mais
- Speaker #1
Ce qui est très très vrai sur le fait que tous les secteurs sont touchés, la réponse est hyper simple. Elle est qu'il y a du numérique de partout, déjà. Donc il n'y a pas un secteur qui peut dire « moi, le numérique, peu importe. Si mes systèmes tombent, si mes automates en usine, pour parler d'industriel, tombent, si ça touche des trains, des avions, des city commerce, n'importe quelle industrie, il y a du numérique dedans. Il n'y en a pas une, il n'y en a pas. Donc forcément, tout le monde est touché. Après, oui, il y en a qui sont plus attaqués que d'autres. Ce n'est pas pour autant qu'ils sont plus impactés que d'autres. Se faire attaquer, ce n'est pas grave. Ce qui est grave, c'est se faire impacter. Ce n'est pas tout à fait pareil. Si ça se casse contre une digue et que ça repart, tant mieux, heureusement qu'il y a une digue. Ce qu'on ne peut pas, c'est quand ça passe la digue ou quand la digue est ouverte. Ça ne serait pas terrible. Mais oui, c'est vrai que tous les secteurs sont attaqués. Et aussi, il y a une énorme factorisation quand on regarde bien d'un point de vue technologique. Il y a des technos qui sont très sectorialisés, c'est vrai. Maintenant, il y en a qui sont parfaitement généralistes. prenez je sais pas moi les systèmes d'exploitation prenez windows par exemple on va dire Il y en a partout, en fait. Donc, c'est très, très factorisé, en fait. C'est pour ça que ça rajoute un peu de complexité au sujet.
- Speaker #0
Et justement, dans tout ça, les responsabilités, les arbitrages sont partagés. Comment les dirigeants et les communicants, ils peuvent se coordonner pour arbitrer continuité des opérations, impact financier, relations clients ? Et je vais aller un peu plus loin, et vous allez prendre le temps de répondre. Qui prend la parole et à quel moment, finalement ?
- Speaker #1
Alors, déjà, il y a une question de structure. Quand on monte une opération, je dis opération vraiment volontairement, donc une organisation de crise, c'est comme quand on monte une opération, c'est-à-dire qu'il y a une répartition des rôles, il y a une hiérarchie qui se met en place, qui n'est pas toujours la même hiérarchie que celle qu'on a en temps de paix, effectivement, en temps de calme, on va dire, et ça veut dire qu'il y a aussi une structure de commandement, une structure de décision. Quand on est en cellule de crise et quand on fait ce travail-là, on voit le rôle de directeur de crise, on voit le rôle de coordinateur de crise, on voit le rôle de main courante, on voit le rôle d'observateur, on voit ces rôles-là qui sont clés. Et puis on voit surtout qu'il y a certes certains biais qui peuvent arriver et venir s'appliquer du côté négatif du biais. Un biais, ça peut être très bien. Un biais, c'est un réflexe. Après, quand un réflexe devient contre-productif, c'est un truc qu'il faut combattre. Mais un biais, c'est très bien. Et je dis ça, pourquoi ? Parce que ne serait-ce que le biais du leadership, ce n'est pas le terme exact, mais en gros, c'est pour que tout le monde comprenne. Quand c'est le patron qui parle et qu'il a forcément raison, ça, c'est un truc qu'on voit en cellule de crise et qu'il faut lutter. parce qu'en fait, il y a certes une décision collégiale... partagent collégiales les différentes informations pour arriver à une décision, il n'empêche qu'in fine, la décision est prise par le directeur de crise. Directrice ou directeur de crise. Ça, c'est logique. Tout le monde ne peut pas avoir un avis à exposer sur la place publique. Non, il faut qu'il y ait une ligne directrice, il faut que ce soit cohérent. D'un point de vue communicationnel, pour être de cet angle-là, clairement, il ne faut pas se désavouer. Dites ce qui est vrai. Ne commencez pas à vous flageller ou à inventer des trucs. Non, il faut juste être sur les faits, factuellement, anticiper, pas trop en dire non plus. Enfin bref, jauge un peu tout ça. Donc pour revenir à la deuxième partie de la question, qui on envoie pour parler finalement ? Envoyez pas les communicants. Même si je viens de ce monde-là à la base, je sais très bien l'image projetée que peuvent avoir certains communicants, et donc l'image perçue par les différentes audiences. Ce qui est dommage, quand on passe devant une caméra de télé, quand on est habitué à faire des relations de presse, on est beaucoup plus efficace. Mais on porte aussi une image qui peut vouloir dire à certains, t'es en train de me la faire à l'inverse. Alors c'est pas vrai ! Mais n'empêche qu'il y a un peu cette image du communicant. C'est vrai, c'est un peu dommage, mais c'est un peu comme ça. En tout cas, c'est comme ça que je le vois et que je le vis. Donc moi, je conseille rarement à mes clients d'envoyer comme porte parole le directeur, la directrice de la com. Non, moi, généralement, je préfère envoyer des gens un peu plus business. Faut voir la personnalité du dirigeant. Parfois ça se fait, parfois ça se fait pas. En fonction du secteur d'activité, en fonction de la personnalité, de l'historique de la personne, ça se juge vraiment en cas par cas. Parfois, ça peut être bien d'envoyer la patronne ou le patron. Parfois, c'est... la technique du fusible est intéressante aussi. Bref, ça se jauge. Après, c'est le porte-parole. Par contre, le porte-parole, il définit à l'avance.
- Speaker #0
Il y a un seul référent, pour éviter qu'il y ait des messages qui soient différents.
- Speaker #1
Il devrait y avoir un porte-parole et un backup. Parce que si le porte-parole a un souci, il n'arrive pas à un accident de voiture, un accident de ski, je n'en sais rien. Bref, il doit y avoir un backup. Mais que ce soit coordonné, que ça ne parte pas sur tous les fronts. Après, il peut y avoir des relais. Ça, oui, mais qu'ils viennent relayer ce que le porte-parole a dit sur différents vecteurs. Je ne sais pas, moi, s'il faut aller s'expliquer en politique, en fonction des métiers, bref. Pas forcément le porte-parole qui y va, mais plutôt le plus gradé, en l'occurrence. Mais c'est une ligne directrice qui est décidée, qui est actée, et surtout, éviter de revenir en arrière ou de se désavouer, parce que là, pour le coup, ça commence à faire cacophonie, et puis personne ne comprend plus rien, et c'est le meilleur moyen de perdre pied. Justement,
- Speaker #0
ce porte-parole, on requiert qu'il lui faut combien de temps pour réagir, et via quel canal ? parce qu'il y a le canal oral où il va peut-être s'adresser à la presse, mais... Est-ce qu'on peut faire un communiqué de presse ? Est-ce que sur les réseaux sociaux, il faut dire, voilà, ça a été ébruité, oui, voilà ce qui s'est passé. C'est quoi le canal principal, ce qu'il faut éviter ?
- Speaker #1
Alors, avant de parler de canal, je vais parler de contenu. Moi, j'ai tendance à dire immédiat, honnête et transparent. Il y a d'autres mots qui existent, mais en hypersynthèse, il faut essayer de prendre l'initiative, encore une fois, sur l'acte de communication. Les Américains, ils appellent ça « still the thunder » . C'est difficile à traduire parce que je vais voler un... C'est le tonnerre, non ? Oui, le tonnerre. Bon, bref, mais je trouve l'image intéressante. C'est-à-dire que quand on prend la foudre, il ne faut pas juste rentrer les épaules et attendre que ça passe. Non, il faut essayer de reprendre les devants. Et puis après, tout de suite, c'est transparent, c'est honnête, c'est forcément empathique aussi, parce que mine de rien, il y aura des impacts sur les collaborateurs, sur les clients, sur les investisseurs. Bref, il va y avoir des impacts. Donc, il ne faut pas dire, allez, c'est pas grave. Ou alors, c'est absolument très compliqué, On va tous mourir. il y a un juste milieu déjà petit 1 donc il faut être rassurant sans forcément en faire des caisses ni mentir aussi parce que ça ça finit toujours par se savoir et puis après il y a le canal celui qui est disponible déjà petit 1 je sais pas moi il y a certains ils mettent un encart sur le site internet mais si le site internet il est plus disponible on fait quoi on a vu des entreprises du nord de l'Europe par exemple il y a quelques années envoyer un directeur financier faire une conférence de presse sur Youtube il restait plus que ça et pourquoi le DAF ? parce que c'était un pays du Nord et que c'était celui qui parlait le moins mauvais anglais. En fait, il parlait plutôt pas mal anglais d'ailleurs en passant, mais je n'aurais pas envoyé un DAF instinctivement moi. En fait, dans le cas précis de cette entreprise à ce moment-là, il fallait envoyer cette personne sur YouTube. Oui, il y avait quoi d'autre ? À ce moment-là, ils n'avaient plus rien d'autre entre les mains. Un peu plus tard, je me rappelle de cette entreprise-là, ils avaient fait une campagne de com en mode publier-reportage, vraiment fait par les salariés à coups de photos prises dans les bureaux et dans les usines quand ils envoyaient des gappes pour réparer, ça partait sur Facebook. Mais en même temps, ils avaient quoi d'autre ? Quand on voit des transporteurs maritimes et qu'il ne leur reste plus que WhatsApp pour communiquer, c'est pas bien WhatsApp, c'est pas sécurisé. D'accord, mais il empêche que c'est disponible. Donc c'est bien beau, mais je relance, quand j'ai plus que ça, j'ai plus que ça. Donc ça fait penser en termes de canal à un acronyme que j'aime beaucoup, qui s'appelle PACE. C'est de l'anglais, ça veut dire Primary Alternate Contingency and Emergency. Pour dire autrement, plan A, plan B, plan C, plan D. Mais c'est comme ça que par exemple, moi je vois des clients qui se remettent à retirer des lignes filaires téléphoniques chez Orange ou autre, par exemple. Parce que qu'est-ce qui se passe si mon téléphone n'est plus dispo en VOIP ? Je suis coqué, je passe sur les mobiles. Je ne suis pas sur les mobiles, mais si jamais, imaginons, ce serait vraiment un truc compliqué, la 4G, la 5G ne marche plus, comment je fais pour continuer de communiquer ? La vieille ligne téléphonique marche très bien. Certains de mes clients vont jusqu'à acheter des téléphones satellites, on se le disait. Vraiment, au cas où, le pire. Vous voyez, donc, quatre niveaux de sécurité que font n'importe quel sportif quand ils vont en haute montagne, par exemple. C'est ce qu'on fait instinctivement, mais là, c'est pareil, mais appliqué à un vecteur de résilience. Donc, le canal, j'ai envie de dire, à l'avance, on les prépare. On espère jamais avoir à se servir de ceux qui sont tout à droite, en C et en E. Mais bon, si on n'a pas le choix, autant les avoir.
- Speaker #0
Et après la diffusion des différents messages, quelle suivi on peut mettre en place après une annonce, qu'elle soit en interne, médiatique ?
- Speaker #1
Alors là, on arrive sur le sujet presque de la veille, que j'aime bien, ce sujet, pour deux raisons. D'une, parce qu'avoir une veille en amont, en temps calme, et une veille en temps moins calme. C'est quand même super important pour voir quelle est la perception, pour voir à ce qu'on peut aller, pour voir comment est-ce qu'on peut réorienter éventuellement un message ou des actions. Donc, se tenir au courant de ce qui se raconte sur vous, sur les réseaux, par exemple. Écouter, par exemple, je ne sais pas moi, vos représentants syndicaux, si jamais vos collaborateurs sont impactés. Mettre en place des lignes, vous savez, ces numéros verts où les clients peuvent appeler, si jamais il y a aussi des impacts externes. Les autorités peuvent être de super relais aussi, de super moyens de faire cet effet miroir. Ça, c'est très vrai. en revanche je dirais un autre truc c'est que Moi, je conseillerais d'éviter de tomber dans le trop d'infos. Vous savez, on dit trop d'infos, tu l'infos. Et je sais qu'il y a des gens qui se disent, plus j'emmagasine l'information, plus avec l'IA, on peut en avaler un maximum. Ça finit par faire des nuages de trucs incompréhensibles, je trouve. Donc, voilà. Moi, je dis souvent, faire simple, c'est assez compliqué. Mais il faut chercher à faire simple, en fait. Voilà, donc une veille. Oui, avant, après, pendant, c'est évident. Par contre, pas trop de trop d'infos, sinon on finit par se perdre. et à croire que certains épiphénomènes sont des phénomènes majeurs. Alors qu'en fait, c'est juste parce qu'ils sont très relayés. Donc un peu de calme et de prise de recul, parfois, ça n'avait pas trop de mal à ce niveau-là. Donc anticiper, savoir ce qui pourrait nous arriver, savoir ce qui nous arrive. Et puis je conclurai sur cette question par un autre truc, c'est que moi j'entends souvent, en temps de crise, tout va plus vite. Le temps s'accélère. Cette impression de pression, justement, de chape de plomb. En fait, une heure, ça fait quand même 60 minutes. On se le dise, et une minute, ça fait quand même 60 secondes. En fait, moi, ce que je vois, et c'est ce que je dis à tous mes clients, je leur dis, mais allez chercher l'info. Dès l'instant où vous passez du temps à trouver, à comprendre ce qui vous arrive, déjà, vous pourrez l'expliquer, puis vous pourrez décider aussi. Donc, passez du temps à comprendre ce qui vous arrive. Vous verrez que le temps, bizarrement, il reprend son rythme normal.
- Speaker #0
Et justement, ce suivi, il permet aussi de mesurer un peu l'impact sur la notoriété. Si on le fait bien, ça permet de mesurer ça.
- Speaker #1
Mais disons qu'une crise d'origine cyber, et j'aime bien le terme d'origine, parce qu'on dit souvent crise cyber pour que ça aille plus vite, mais en fait, le terme, il est d'origine. parce que c'est l'origine qui vient du vecteur numérique mais les impacts seront, comme on l'a dit, dans le monde physique, financier, réputationnel, humain. Bref, j'en passe des vertes et des pas mûres. Et numérique aussi, effectivement, mais pas que. Est-ce que tu as d'autres questions déjà ?
- Speaker #0
Ce suivi, s'il est suffisamment bien fait, permet de mesurer l'impact sur la notoriété de l'entreprise suite à cette attaque d'origine cyber.
- Speaker #1
Il y a deux choses que je trouve intéressantes. Déjà, le fait d'être résilient numériquement, d'être cybersécurisé, comme on le voit souvent, je vois certaines entreprises qui s'en servent comme argument, comme argument commercial. On se rappelle peut-être, il y a quelques mois ou quelques années à peine, une espèce de bataille entre Apple et Samsung sur leur campagne télé, leur campagne Internet, où ils se servaient de l'argument cyber comme étant un argument de vente. C'est-à-dire que quand c'est sur nos téléphones, c'est plus sécurisé qu'à la maison. Apple, ils étaient déjà allés jusqu'à changer, je me rappelle très bien, sur un de leurs pubs web, le logo de la pomme, la petite queue là, ils avaient mis un cadenas à la place.
- Speaker #0
Oui, c'est vrai. Rappelez-vous ça ? Oui, tout à fait.
- Speaker #1
Et pour que les marketeux chez Apple, qui sont brillantissimes, on va enlever ça, fassent ça, c'est qu'il y a un intérêt commercial derrière. C'est que c'est bien une valeur ajoutée pour le client final. Donc déjà, c'est un argument avant le fait qu'il y ait un souci, si on résume. Après, l'autre point, c'est que quand on est bien organisé, quand on arrive à limiter la casse au maximum, si je résume, en temps de crise, c'est un élément différenciant par rapport à ses concurrents et aussi par rapport à ses clients, vis-à-vis de ses clients. que forcément si vous arrivez à remonter en condition opérationnelle, à revenir à une nouvelle normalité le plus vite possible, avec le moins d'impact possible, votre réputation va moins être entachée que si c'est une catastrophe nucléaire et que globalement, vous vous en sortez jamais. Donc ça va avoir des répercussions avant, en mode argument commercial presque, et forcément pendant ou après, parce que derrière, on voit très bien des crises qui s'enveniment parce que ça devient des crises de communication. Et que c'est vrai que la gestion de crise, même si je n'aime pas le mot gestion de crise, mais n'empêche qu'on va l'utiliser comme ça, le moment où on traverse la crise, on va dire, où on navigue à travers la crise, concrètement, c'est aussi beaucoup de com'. interne, externe, c'est aussi beaucoup d'outils de communication parce que voilà encore une fois il y a des crises qu'on a vu devenir pire que ce qu'elles n'auraient dû être parce que la com était gérée un peu de manière improvisée quoi.
- Speaker #0
Maintenant justement donc là on parle peut-être qu'on... les choses on les a prises un petit peu à contresens mais on va parler de l'anticipation et de la préparation en amont du côté des communicants, des dirigeants et peut-être souligner jusqu'où on peut être prêt. Ma première question, justement, elle est sur comment transformer cette fatalité du fait que, de toute façon, c'est quelque chose qu'on a beau parfois prendre des précautions, parfois ça nous tombe dessus, c'est aléatoire. Je suis un peu fataliste quand je dis ça, mais j'aime bien l'expression du fatalisme.
- Speaker #1
C'est une écosystème, c'est le même truc qui veut ça.
- Speaker #0
Comment transformer cette fatalité en préparation constructive ? Quels sont les exercices et les formations les plus efficaces ? Est-ce que vous vous différenciez dans votre ouvrage formation annuelle, un peu la grand-messe qui va, je vais le dire un peu vulgairement, farcir la tête des collaborateurs pendant une journée ? Ils vont repartir de là, « Ouais, ouais, c'était super, c'était intéressant. » Et il y a aussi des exercices en situ... Non, mais il y a les exercices plus du quotidien. Il y a même des... Comme moi, nous, au collège, la larme, elle sonnait deux fois par an. Voilà, on adorait, parce qu'en plus, on ratait les cours. Mais c'est... C'est quoi le parcours idéal pour sensibiliser pas que les collaborateurs, parce que ce n'est pas les seuls responsables des cyberattaques, pour sensibiliser tout le monde et faire en sorte que la gestion de crise, si elle arrive, soit moins dure, soit moins de la survie, soit plus de la gestion, justement.
- Speaker #1
De temps en temps, de la gestion ? C'est tellement bien, ça. Si vous voulez, à la fin, on parlera boule de cristal et ce genre de choses. Non mais, blague à part, on peut parler de ça, c'est un truc qui me fait sourire, moi. Comment on se prépare ? On se prépare, en fait, je vais enfoncer les portes ouvertes parce qu'en fait, il n'y a rien de nouveau sous le soleil. Il n'y a vraiment rien de nouveau sous le soleil. Je me rappelle d'une phrase, ça disait quoi ? Teddy Riner disait un truc, il disait « Mon vrai entraînement commence à partir du moment où celui de mes concurrents s'arrête. » Dit autrement, il faut juste être meilleur que les autres, déjà en passant, et puis avoir conscience que c'est exactement comme un sportif. Si on a des auditeurs qui nous écoutent et qui font du sport, ils comprennent très bien ça. Il y a un rendez-vous qui est une compétition, ou un challenge, ou un défi qu'on s'est imposé. Et ce n'est pas parce qu'on a couru le marathon de New York il y a 4 ans que le marathon de Paris, dans 4 ans, on fera une perf' si on n'a rien fait au milieu. Maintenant, on s'entraîne, il faut que ce soit régulier. Chez Deloitte, on a créé un truc qui s'appelle RPA, pour Régularité, Précision et Ancrage. mais en fait c'est vraiment notre point de vue mais c'est pas nous qui l'avons inventé, enfin l'acronyme c'est nous qui l'avons inventé effectivement le RPA dans ce sens là régularité, précision, ancrage Mais ça s'appuie sur des études. Moi, je cite souvent un professeur américain qui s'appelait Edgar Dale. Edgar Dale a créé un truc, tout le monde peut trouver ça en ligne, la pyramide de l'apprentissage, le cône de la connaissance, le cône de l'apprentissage, il y a différentes traductions. En hypersynthèse, vous voyez neuf niveaux qui vous disent quand on veut ancrer une connaissance, donc mécaniquement une série d'automatismes derrière, auprès d'une population. Lui, il prenait ses élèves, par exemple, à l'université. Il disait le niveau 1, donc le truc, le pire, c'est le pire, le plus facile, mais le moins efficace. c'est justement le cours magistral. Vous êtes un prof pour 500 élèves. Bon, vous en aurez peut-être impacté 3-4, vous serez content. La dizaine qui suit, elles auront peut-être un peu compris. Puis le reste, voilà. Bref, je suis un peu caricatural, mais je suis de parcours universitaire, donc je vois très bien ce que je parle. Bon, moi, j'étais au premier rang en permanence, mais c'est autre chose. Le neuvième niveau, donc le niveau le plus haut, c'est la vraie vie. Quand on a mis la main sur une flamme, on a compris que ça brûlait. L'expérience qui forge. C'est sûr que ce qui emblique les crises, bine de rien, quand c'est bien débriefé, quand on a évité un certain nombre de billets, quand le retour d'expérience est bien fait, c'est hyper utile. Malheureusement, c'est hyper utile. Et donc, nous, on essaie de se placer au niveau, nous et ceux qui font ça bien, si on résume, au niveau 8. Le niveau 8, c'est l'ultra immersif. D'ailleurs, c'est ce que disait Edgar Dale, qu'un cours, à part à le vivre dans la vraie vie, soit impactant, pour la personne chez qui il faut qu'on ancre une connaissance, il faut que ça ressemble vraiment à la vraie vie. Moi, j'ai des clients qui me disent « mais attendez deux secondes, c'est pour de vrai ou c'est pas pour de vrai ce qu'on peut faire ? »
- Speaker #0
Ça passe par des fausses campagnes de phishing, par exemple ?
- Speaker #1
Alors, il va y avoir des audiences qui vont être différentes. Quand on va s'adresser aux collaborateurs, on va avoir un discours qui sera très vulgarisé. On va faire des campagnes de phishing, effectivement, qui seront dans l'idée du déséquilibre avant, donc de l'apprentissage. Le but, ce n'est pas de dire « t'es nul, tu t'es rattrapé » , non, c'est de dire « tu t'es rattrapé parce que » . Ça permet d'augmenter le niveau d'hygiène. oui effectivement deux fois par an dans les conférences annuelles au mois de mai au mois d'octobre C'est fait du bien de mettre un refresh, oui, effectivement. Moi, je conseille à certains clients de mettre, ce n'est pas évident à faire, et parfois ça ne marche pas, parce que ce n'est pas si facile que ça à faire, mais de mettre des indicateurs de performance sur l'entretien annuel de la personne liés au numérique.
- Speaker #0
Oui, même si ce n'est pas pénalisant, ou même le pénaliser par un autre.
- Speaker #1
Moi, si la personne insiste et qu'elle ne fait vraiment jamais attention, un jour ou l'autre, tu nous fais porter un risque, Jean-Jacques, quand même. bonjour à tous les gens Jacques d'ailleurs mais à la longue ça peut être compliqué donc si vraiment la personne finit par rien comprendre et toujours faire la même erreur deux secondes quoi mais au début non, faut pas en rentrer dans le côté bâton c'est un peu dommage mais au contraire dans ceux qui seront plus respectueux de la sécurisation de leur propre entreprise c'est plutôt les valoriser plutôt que de taper sur ceux qui sont pas au niveau moi je préfère valoriser ceux qui l'ont fait comme ça ça amène tout le monde un peu positivement après il y a les profils techniques Merci. Les profils techniques, en général, ils s'entraînent plus souvent. Nous, on voit des clients qui montent des formations, des drills, si on résume, sur des plateformes techniques, d'entraînement technique. Ils font ça une fois par mois. J'ai des clients, ils font ça une fois par mois. Ils mobilisent une partie de leur équipe, pas toute l'équipe, sinon plus personne n'est au front. Donc, ils enlèvent une partie de l'équipe et puis ils les mettent en formation sur une plateforme technique où ils font semblant de faire face à des vrais attaquants. Comme ça, ils s'entraînent, ils restent aiguisés, ils restent affûtés, ils font ça. Puis après, il y a les dirigeants. Moi, j'ai ma précédente patronne. Bon, elle ne parle pas français, donc ça m'étonnerait qu'elle écoute le podcast. Mais c'était que la Global CISO.
- Speaker #0
C'est traduit, je vous ai pas dit. C'est traduit,
- Speaker #1
c'est vrai ? Non. Bon, si Shabla nous écoute...
- Speaker #0
Je devrais enregistrer en anglais.
- Speaker #1
On va tout refaire. C'était ma mentor quand j'étais chez IBM. Une femme formidable. Global CISO d'une petite PME de l'informatique de 250 000 clients. C'est vrai. Mais vraiment une nana vraiment géniale. Elle m'a appris un milliard de trucs, vraiment. J'ai adoré bosser avec elle. Elle n'est plus chez IBM d'ailleurs en passant, mais j'adorais bosser avec elle. et elle disait tu sais à chaque fois que je passe devant le Comex donc Comex monde le type de client que moi je forme c'est une des Comex groupe de boîtes dingues en fait elle me disait en fait ils n'en ont rien à faire de ma stratégie cybersécurité rien ce qu'ils veulent savoir c'est comment la cyber vient sécuriser leur métier et donc tout mon discours il est et c'est parfaitement logique d'ailleurs en passant c'est comment est-ce que par rapport à la stratégie business de l'entreprise par rapport aux grands projets de l'entreprise on va pouvoir amener différents moyens de réduire le risque Rendre le risque acceptable. Pas que ce soit acceptable, mais l'amener à un niveau qui soit plus ou moins acceptable, si je résume. C'est ça que ça veut dire. Et elle a tout à fait raison. Moi, je dis toujours à mes clients, la cyber pour la cyber, tout le monde s'en fout, en fait. Personne n'a de budget pour se faire plaisir, en fait, concrètement. On est là pour protéger les autres. J'aime bien l'expression qui dit « Nous, à la cyber, on est payés pour s'inquiéter » . C'est très vrai, en fait. C'est très, très vrai, en fait. Voilà. Et donc, c'est ce que je dirais sur ça, en mode, cherchez à réduire l'impact, préparez-vous. Et quand on est dirigeant, alors moi, les plus matures... C'était plutôt quand je bossais aux États-Unis, pour des Américains pour être précis, ils le faisaient deux fois par an. Et quand un comex monde de ce type d'entreprise, vous accorde une demi-journée tous les six mois, c'est beaucoup, généralement c'est une fois par an. Alors maintenant qu'il y a Dora, qu'il y a Nice 2, etc., en plus ça devient dans certains secteurs obligatoire de se former. Après il y a se former et se former, on se le dit, on peut se former de manière un peu différente. Soit on fait ça bien, soit on coche des cases, bon ça a un autre débat, mais en tout cas il y a certains secteurs qui sont obligés de le faire une fois par an, au niveau de la direction. ce qui est super bien, concrètement, c'est top. Donc en général, moi, les clients que j'ai, ils reviennent année après année, puis année après année, on change le contenu, forcément parce qu'eux-mêmes auront évolué. Ils auront racheté une boîte, ils auront changé les membres du comex, bref, ils auront changé.
- Speaker #0
Et puis les cyber attaquent évoluer.
- Speaker #1
Et ça évolue aussi, le paysage cyber évolue aussi. Donc tout ça bouge, eux évoluent, en face ça bouge aussi, et puis ils veulent chercher parfois à monter le niveau. Donc moi, j'amène mes clients à passer de la ceinture verte la ceinture bleue, jusqu'à la ceinture noire. Et d'ailleurs, en passant, Moi qui suis ceinture-noire de Krav Maga depuis plus de dix ans, je me suis vraiment rendu compte d'un truc, et ça c'est très vrai, c'est que c'est à partir de ce moment-là qu'on commence à apprendre. Moi on m'a dit « Ouais t'es la ceinture-noire, c'est bon t'es arrivé » . Je suis arrivé nulle part, j'arriverai jamais en fait, il n'y a pas de fin à ça en fait. C'est pas une impasse dans laquelle on rentre et puis on a le bout. Non, jamais, c'est une route, c'est un chemin permanent. Et donc moi je suis persuadé que quand j'aurai amené tous mes clients au niveau max, en fait on continuera à faire que des niveaux max parce que c'est ce qu'on fait quand on s'entraîne correctement je suis persuadé que Teddy Rayner il s'est pas arrêté de ou Rafael Nadal ou tous ces grands champions, ils ont pas arrêté de s'entraîner parce qu'ils avaient gagné une fois Roland-Garros.
- Speaker #0
Non, là, c'est pareil.
- Speaker #1
J'aime beaucoup la métaphore. Là, on parlait des dirigeants, et donc, une fois par an, c'est déjà très bien, apparemment. Et les communicants, on peut leur donner des clés aussi, en amont. Je parle des communicants plus précisément, qui sont proches des dirigeants en cas de crise. Mais vous avez déjà été sollicité, oui, pour sensibiliser les dire-coms, marketing.
- Speaker #0
Oui, exactement. Avant de répondre au sujet de comment on fait pour aider les communicants, je voudrais vous préciser un truc que j'ai oublié tout à l'heure. C'est qu'un exercice, ce n'est pas une fin en soi. Un exercice, c'est un moment qui, quand il est bien fait, permet la coordination, l'ancrage, la communication entre les différentes personnes. Finalement, mettre de l'huile dans les rouages, si on résume, voir que ça marche. Les gros pavés de procédures illisibles, en mode annuaire, qui finissent dans un tiroir plein de poussière, aucun intérêt. Donc le but, c'est... Vous savez le nombre de fois où j'ai fait ça ? J'ai pris la procédure comme ça, un bouquin énorme. C'est très, très bien les procédures. On parlera de procédures après ou de mal-être de crise et compagnie. Mais quand ça devient un carcan, c'est contre-productif. Le nombre de fois où j'ai pris ces carcans chez des clients et je les ai claqués sur la table en mode « Vous connaissez le bouquin ? » Je les faisais claquer sur la table et je leur ai dit « On va vérifier. » Ils me regardent comme ça.
- Speaker #1
« On va entrer en matière. »
- Speaker #0
« On y va. » Blague à part, un truc que je leur dis tout le temps, et c'est très vrai, moi, j'ai eu la chance de travailler avec des gens fantasmagoriquement plus intelligents que moi. Vraiment. C'est-à-dire que ils sont d'IRCOM, ils sont DAF, ils sont DG de boîte. Parfois c'est leur boîte et c'est des très grosses PME et si c'était ma boîte j'en serais juste hyper fier. Parfois c'est des dirigeants, enfin c'est des patrons du CAC, c'est des gens brillantissimes. Mais vraiment, c'est à dire que c'est vraiment des gens brillants, le moindre truc ils le voient tout de suite et ils comprennent tout très vite. Et je leur dis souvent ça, je leur dis vous savez vous êtes tous individuellement plus brillants que moi. Il n'y a aucun débat sur le sujet, vous êtes tous plus forts que moi intellectuellement, c'est évident. En plus là vous êtes quoi ? 12, 15, 20. Donc vous êtes 12, 15, 20, 20 mille fois plus fort que moi. Je fais une pause comme ça, après je leur dis. Par contre là pendant quatre heures... dans 8 heures, en fonction de combien de temps ils sont avec moi, vous êtes sur mon terrain de jeu. Et là, d'un coup, ça va faire descendre l'impression tout seul. Ça marche très, très bien. Mais ils adorent ça.
- Speaker #1
Ils les mettent sur un pied des salles,
- Speaker #0
puis leur dire... Et bim ! Et après, on les reprend, on les fait avancer, parce que c'est de l'apprentissage aussi, parce que c'est pour eux qu'ils sont là. Ce n'est pas pour me faire plaisir. Et en fait, c'est pour se rendre service. Parce que ce qui m'intéresse dans l'exercice, à la fois ce qui s'y passe, mais c'est ce que ça génère. Parce que quand on revient une fois par an, ce qui est intéressant, c'est ce qui se passe entre deux exercices. Quand on les a aidés à identifier pendant l'exercice... les points qui sont à améliorer pour être un peu plus fort. Comment je passe à la marge d'après ? Comment je m'améliore ? Les trucs ou les exercices, enfin pardon, mais encore ça ne m'arrive pas, donc il ne faut jamais dire jamais, mais du genre on redécouvre un an plus tard ce qu'on avait découvert l'année dernière. Pour l'instructeur, c'est horrible, c'est super frustrant, on a l'impression d'avoir servi à rien en fait. Et pour l'entreprise, ça veut dire qu'elle n'a pas bougé en un an. Bon, dommage quand même.
- Speaker #1
Redoublement.
- Speaker #0
Allez, tu recommences. Bim, allez, tu feras 50 pompes. Donc ça sert à ça aussi un exercice, ça sert à ce qui se passe pendant l'exercice, ça sert aussi quand c'est bien fabriqué à solidifier l'équipe, souvent qui nous demande l'exercice, donc c'est au niveau de la cyber et ou de l'informatique. Et puis surtout, ce que ça va générer comme feuille de route opérationnalisable, pas un machin avec 150 lignes qu'on ne peut pas activer en un an. Bien sûr. Et donc pour revenir à votre question sur les communicants, moi j'aime beaucoup les mallettes de crise. Les kits préfabriqués.
- Speaker #1
J'allais venir justement concrètement, qu'est-ce qu'ils peuvent préparer ?
- Speaker #0
Ils peuvent préparer leur message, déjà en passant, parce que s'ils ont fait une veille bien faite, donc sans se noyer l'information, ils peuvent préparer des messages de com. Moi, j'ai vu des clients arriver avec des classeurs, avec scénario et message. Bien fait, c'est très très bien. Mais les clients que j'avais, ils avaient aussi l'intelligence de savoir, bon, je les avais un peu coachés là-dessus, que ce à quoi ils allaient faire face ne serait jamais à 100% ce à quoi ils s'étaient préparés. Ce qui veut dire que leur joli message, il fallait qu'ils soient capables d'une certaine agilité pour pouvoir les agencer ou les combiner. Encore une fois, et là je m'auto-fais le parallèle avec la boule de cristal, si ça existait vraiment, si la veille était si magique que ça, si ça permettait de définir une matrice de risque parfaite, si les plans de continuité et de reprise étaient parfaits, en fait il n'y aurait jamais de crise. Sauf que quand on regarde factuellement, il y en a de plus en plus. À quoi on arrive qu'en conclusion, du coup ? Bref, à la conclusion qu'il faut quand même continuer à se préparer. Bref, rester très agile avec tout ça, très humble, en fait, parce que mine de rien, encore une fois, le but, c'est créer... En fait, pour être très direct, le but de se préparer pour des communicants, pour des dirigeants, pour des directions financières, pour des directions de communication, pour des DRH, etc., pour des informaticiens, etc., c'est créer des automatismes. C'est le seul objectif. C'est créer une plateforme, une plateforme de réflexes, si je résume. Presque, c'est faire des gammes. Vous savez, un peu comme les gens qui font du jazz. Quand ils répètent, les gens qui font du jazz, ça part en beuf, ça part en tous les sens, mais en fait, ils s'entraînent à s'adapter. Et c'est ça le but de la résilience, c'est d'être suffisamment adaptable pour pouvoir faire face à à peu près tout ce qui vient, en sachant que ça va piquer quand même, il faut que ça pique le moins possible. Donc c'est pour ça que quand je vois des mallettes de crise qui sont bien faites, avec des guides de com, avec des communiqués de presse prédéfinis, je fais attention à ce que l'équipe que j'ai en formation ne les prennent pas comme ça, brutes de fonderie. mais prennent toujours un pas de recul pour chercher à comprendre ce qui leur arrive. L'idée de la connaissance de tout à l'heure, comprenez ce qui vous arrive pour voir si le message que vous avez préfabriqué, il est 100% adaptable ou pas. Généralement, la réponse est ou pas. Alors, pas beaucoup parfois, mais...
- Speaker #1
C'est une bonne base quand même.
- Speaker #0
Mais c'est une super base, voilà.
- Speaker #1
Il faut que vous ayez perdu du temps et...
- Speaker #0
Oui, ça permet d'avoir la carte du terrain, si je résume. Ça permet de ne pas partir totalement la fleur au fusil. Vous avez lu dans le livre, il y a plein de phrases comme ça, mais il y en a une qui dit... C'est Aizen Omer qui disait ça, il disait « aucune bataille de la vie, n'a été gagné en suivant le plan, mais aucune guerre n'a été gagnée sans en avoir un. Et c'est très vrai, c'est très vrai. C'est tout dit dans cette phrase je trouve. Donc un plan c'est très bien, c'est nécessaire, ça permet de se poser les bonnes questions en amont, ça permet de corriger les choses qui sont anticipables aussi, comme ça ça évite de tomber dedans, vachement bien. Mais si ça devient un carcan c'est compliqué parce que ce que vous allez vivre c'est pas 100% ce à quoi vous êtes préparé.
- Speaker #1
On a parlé de réputation et de notoriété tout à l'heure, peut-être que justement On peut revenir un petit peu sur l'après-crise et la reconstruction. l'impact sur un long terme, ce que ça représente. Il y avait une citation que j'avais relevée de l'ouvrage qui était « Cette équipe dirigeante a maintenant compris que résilience cyber et résilience de l'entreprise sont synonymes. »
- Speaker #0
C'est moi qui ai écrit ça ? Oui. Ah ouais, c'est pas mal.
- Speaker #1
Comment une entreprise peut reconstruire sa réputation après une attaque qui en tirait des leçons pour l'avenir ? Donc là, on ne parle plus juste du petit script qui a été préécrit au cas où pour se prémunir. On parle vraiment de la réputation sur le long terme.
- Speaker #0
Déjà, la réputation, c'est comme la confiance. Ça met des années à s'acquérir et ça se perd en cinq minutes. Déjà. Moi, je suis un cynique positif. Il faut savoir ça. Ça va merder, mais on garde le sourire et on sort l'épaule. Ce n'est pas grave. De toute façon, on n'a pas le choix, il faut avancer. Et donc, comment est-ce qu'on... Enfin, après, encore une fois, c'est enfoncer les portes ouvertes, mais... Mais maintenir une réputation, c'est aussi montrer qu'on a fait ce qu'il fallait, montrer qu'on n'a pas fait courir de risques inconsidérés en amont. Les clients peuvent vous en vouloir, vos investisseurs peuvent vous en vouloir si jamais vraiment vous avez fait n'importe quoi en amont. Vrai, quoi. Parfois, ça coûte la tête à certains, d'ailleurs, en passant. Pas au sens propre, encore.
- Speaker #1
Il n'y en a pas que ça se fait plus.
- Speaker #0
C'est plus assez de penchants, je vous en prie. Mauvaise blague. Mais effectivement, le côté réputationnel, dès l'instant où on arrive à montrer qu'on a été responsable, au sens responsable, au sens... On est devenu responsable de la situation, c'est-à-dire qu'on a pris les devants, on fait face, on est conscient que ça va avoir des impacts, et on fait tout pour que ça en ait le moins possible. Même si c'est même pas de votre faute, d'ailleurs, en passant. Vous êtes fait taper dessus par des gens qui vous veulent du mal, vous y êtes souvent pour rien, en fait, concrètement. Même parfois, vous êtes un dommage collatéral, d'ailleurs, en passant. Ça arrive aussi. Mais ça vous tombe dessus, comme c'est tombé sur la tête de mon médecin généraliste de mon village, qui me tourne, je me rappelle très bien, WannaCry2017, il me tourne son écran, il me dit « Tu sais ce que ça veut dire, ça ? » Je veux venir faire mon certificat médical. Et vraiment, c'est vrai ce que je vous dis là. Et je me dis, ouais, je sais ce que c'est ça. Il me dit, alors, ça sent bon ? Il me dit, non, pas trop. Je lui dis, ça ne va pas être terrible, terrible. Bref, au-delà de ça, quand on parle d'immédiateté, d'empathie, d'honnêteté, de transparence, tous ces principes-là, ça ne peut pas faire de mal, de toute façon. Montrer que oui, effectivement, on fait face. Oui, ça arrive, oui, effectivement. Ça n'arrive pas qu'aux autres, certes, mais n'empêche que ça nous arrive à nous en ce moment. Donc faisons face, disons ce qu'on fait, expliquons ce qu'on fait. Et vraiment, l'empathie, elle compte parce qu'en fait, c'est numérique. C'est une cyberattaque. En fait, ce sont les mêmes ressorts qu'une agression et qu'un kidnapping. Concrètement, quand vous parlez à des gens qui se sont fait cyberattaquer pour en avoir croisé plein et pour travailler avec beaucoup, quand ils vous parlent de ce qu'ils ont vécu, certains ont les larmes aux yeux. Mais vraiment, ils ont des trémolos dans la voie et c'est très normal. C'est une agression, vraiment.
- Speaker #1
Notamment ceux qui sont responsables sans que ce soit vraiment leur faute. Parce qu'on ne peut pas demander à un utilisateur ou un salarié de tout maîtriser de A à Z, même s'il est formé. Parce que l'entreprise doit prendre ses dispositions aussi pour que ça n'arrive pas. Il a déjà des prérogatives. Le gars qui clique sur le mauvais lien, je grossis toujours très. On en a des exemples un peu bas.
- Speaker #0
Et on se fracousse même autour du podcast. Généralement, c'est plutôt des gens qui sont un peu aficionados de la sécu. Mais même moi, je me ferais avoir, je le sais très bien. J'ai failli, il n'y a pas longtemps d'ailleurs, en passant. Ouais, un vieux truc sur Facebook, je n'étais pas réveillé, il était 6h du matin, un copain qui m'envoie sur Messenger. « J'ai perdu mon téléphone, il faut que tu me rappelles sur le numéro, machin. » Je commence à lui dire « Ah bon, qu'est-ce qui t'arrive ? » 6h du matin, j'étais fatigué. Puis au bout de deux secondes, j'ai percuté, j'ai fait Ah là, tatatatata Deux secondes Là, je commence à challenger, je commence à appeler le fils de mon pote, mon pote qui me rappelle « Ah non, c'est pas moi, je me suis fait perdre mon compte ! » Et là, je me suis amusé deux minutes avec la personne sur Messenger. Mais bon... J'adore. Mais ça nous fera ça, blague à part, ça nous arrivera à tous, effectivement, et montrer qu'on a été là, montrer qu'on a été là pour ses collaborateurs, pour ses supérieurs parfois aussi. Moi, quand je vois des membres du conseil d'administration qui viennent épauler une directrice générale ou un directeur général, parce que mine de rien, la personne se sent peut-être toute seule en fait, tout en haut. C'est vrai, donc on se serre les coudes, on avance, et puis demain sera un autre jour, il fera beau, et puis de toute façon, on finira tous par mourir, donc c'est pas très grave. Mais plus tard possible, on va dire. Voilà, bref, ça pour dire que côté réputationnel, oui, ça va avoir des impacts. Puis les impacts d'une cyberattaque, ça se mesure sur bien plus longtemps que la reconstruction des machines. Clairement, il y a plein d'études sur le sujet, on voit des graphes qui sont très bien faits, à 3, 4, 5 ans. Et c'est très vrai, c'est très vrai, ne serait-ce que la perte de clients. On sait très bien à quel point c'est difficile de conquérir un nouveau client et comment c'est facile d'en perdre un. Les conséquences se vivent sur longtemps, ça c'est très vrai. Et c'est le cas sur la réputation aussi. Maintenant, on a vu des boîtes, des organisations, des entreprises publiques ou privées d'ailleurs, se limiter à la casse justement en faisant face, en étant responsable au sens fait face du terme.
- Speaker #1
J'avais bien aimé votre citation justement, qui est de vous à priori aussi. Face au cyberpéril incessant, l'importance de la formation au crise cyber ne peut être sous-estimée. C'est la pierre angulaire de la préparation, la boussole qui doit guider les dirigeants à travers les tempêtes les plus sombres.
- Speaker #0
Je me suis lâché sur celle-là.
- Speaker #1
Alors, si on a un conseil à donner aux dirigeants qui doutent encore, qui n'ont jamais connu de crise cyber, c'est quoi le conseil que vous leur donnez, Sébastien ?
- Speaker #0
J'aurais envie de dire garder les yeux ouverts.
- Speaker #1
Ça n'arrive pas qu'aux autres.
- Speaker #0
Non, on ne va pas dire ça. Non, mais vraiment, blague à part, le non-indépendant, il est très vrai. Il suffit d'ouvrir le journal pour voir que c'est une note quotidienne. Il suffit de voir...
- Speaker #1
J'ai l'alerte cyberattaque sur Google pour suivre l'actu. Toutes les deux heures, j'ai un mec de Google avec lui.
- Speaker #0
C'est épuisant parce que c'est tout le temps, en fait. Il y a une époque, je faisais des... Parce que là, j'ai un peu moins de temps qu'avant, mais... J'en fais de temps en temps des conférences de sensibilisation. Je vais à HEC demain matin, par exemple. Et d'ailleurs, je vais leur dire la même chose que sur le podcast. Et c'est très vrai. À une époque, je faisais une sorte de revue de presse. Genre, avec... C'est là dans les films, où je mettais en noir le nom de... Alors que c'est public, tout ça. Mais bon, je veux pas mettre le pointel du doigt quiconque, parce que ça sert à rien. Et en fait, j'ai arrêté de faire ça. Parce que toutes les semaines, il fallait que je change ma slide. J'ai plus envie. Donc j'ai changé le fond de ma slide. pour avoir un truc plus intemporel. Tout ça pour dire quoi ? Tout ça pour dire que ça fait vraiment partie de notre quotidien. Il y avait juste le directeur général de l'ANSI qui était sur C'est à vous la semaine dernière, il me semble. Oui, je l'ai vu en live. Très bien d'ailleurs, en passant. Et très bien vulgarisé, très bien fait. Mais C'est à vous sur France 5, à l'heure de grande écoute. On n'est plus sur un épiphénomène de geek à capuche avec des crêtes rouges. Pas du tout.
- Speaker #1
Vous en parlez pas mal aussi, ça, dans votre ouvrage, je crois.
- Speaker #0
Merci. C'est vrai parce que c'est un peu l'image qu'on a. Blague à part, moi, je suis arrivé du monde de la sûreté au monde de la cyber. Je me suis dit au départ, mais qu'est-ce que je fais dans ce monde-là ? Moi, je n'ai pas une capuche avec une crête rouge. Et je suis arrivé là-dedans, il y a des mecs comme moi avec des cravates et des chemises.
- Speaker #1
C'est vrai.
- Speaker #0
Il y a aussi des mecs avec des crêtes rouges et ils sont très bien. Et on a vraiment besoin d'eux, d'ailleurs. ou des barbes comme ça, qu'on les croise dans une ruelle, on se dit... Bref. C'est vrai aussi. Mais c'est un monde qui devient notre quotidien. Parce qu'encore une fois, je prenais l'exemple, je prends soin de cet exemple-là parce qu'il est marquant. Je fais ça avec le pacemaker. Je leur dis, vous savez ce que c'est un pacemaker ?
- Speaker #1
Vous donnez un exemple dans le livre, je crois, sur le pacemaker. Ah,
- Speaker #0
je l'ai dit l'an dernier, effectivement. C'est ça. L'exemple, c'est quoi ?
- Speaker #1
C'est terrorisant en même temps.
- Speaker #0
C'est très vrai. C'est-à-dire que si demain, je recevais une notification du pacemaker de ma grand-mère, disant « et je suis gentil » . disant « tu payes » ou alors elle va danser la logique toute la nuit, ou autre, bref, je suis persuadé que je ferais une drôle de tête. Vraiment. Donc, j'aurais une crise de confiance par rapport au vendeur du pacemaker, déjà en passant. Clairement, il est possible que je ne recommande pas des masses. La marque a un copain qui me demanderait pour son propre grand-père, par exemple. En termes de recommandation, on n'est pas terrible en termes de marketing. Mais même au-delà de ça, je me poserais sérieusement la question de « je fais quoi ? Je paye, je ne paye pas. qu'est-ce que je fais avec ça quand on parle de ma grand-mère ? Bon, elle est déjà morte, mais concrètement, je suis pas celui que je ferais une drôle de tête.
- Speaker #1
On peut dire qu'elle soit déjà morte à ce moment-là, comme ça on sait que c'est faux.
- Speaker #0
C'est vous qui êtes horrible au niveau de la... C'est pas vrai ! Non mais demain, ma voiture, on touche du bois, et je sais que les constructeurs font hyper gaffe à segmenter les réseaux, on va dire conduite et les réseaux entertainment, mais demain, si jamais ça avait pas été le cas, je ferais une drôle de tête si sur mon tableau de bord, il y a marqué « tu payes » ou alors « on te rend pas les freins » . Ouais, je ferais une drôle de tête ! Parce qu'en fait, une voiture, c'est un ordi avec des roues, aujourd'hui.
- Speaker #1
Oui.
- Speaker #0
Concrètement. Donc oui, c'est souvent une chose que je prends comme exemple sur le côté qui peut devenir très personnel.
- Speaker #1
Oui, mais je pense que c'est très bien. Moi, j'ai un peu plus de recul que ma grand-mère, mais ça permet vraiment, je pense que c'est plus tangible, en fait. Et c'est bien de donner ces exemples.
- Speaker #0
Moi, j'aime beaucoup traduire. Ce que je trouve intéressant, et ceux qui sont du monde de la sécu, j'espère qu'ils savent ça. Je suis persuadé qu'il y en a un paquet qui savent ça aussi. On a un monde qui est vu de l'extérieur un peu complexe. C'est un truc un peu geek, et il faut être très geek. Moi, je suis un peu un alien, je le sais très bien, moi, je passe mon temps à traduire. Et c'est vrai que quand on embarque une direction générale ou une administration, en fait, on traduit, on sert de pont. Parce qu'il faut parler leur langage à eux. Si on commence à parler de nos bits and bytes à nous, on les a perdus en une seconde. Non, mais ils n'en ont rien à faire de ça. Ça, c'est très vrai. N'empêche qu'il faut savoir le faire. Il faut savoir monter des... Enfin, bref, tous les systèmes de défense, de détection, d'analyses, d'investigations qui sont montées, des automatismes qui sont montés, il faut être brillant techniquement pour faire ça. Voilà, donc c'est un monde qui est très technique, mais en même temps qui est tellement dépendant à notre dépendance au numérique. On est ultra dépendant au numérique, bien ou pas bien, j'ai envie de dire, par mon sujet. Mon sujet, c'est que c'est un état de fait. Donc on fait quoi ? On remonte 100 ans en arrière ? Il n'y a pas de cyberattaque il y a 100 ans. Non. Ou on change les humains. Ah si, on peut faire ça aussi. On peut dire non, les humains vont arrêter d'être méchants et de s'espionner. Bon d'accord, allez, on se réveille et on voit que ce n'est pas vrai. Mais bref, on n'est pas prêts à être au chômage.
- Speaker #1
J'ai l'impression qu'on n'a pas assez abordé le sujet en profondeur. Il y a tellement de choses à dire encore, mais on a déjà beaucoup de clés. Mais ce que je peux faire, c'est que je peux inviter nos auditeurs à acheter, sans plus tarder, je l'ai dit en intro, mais je leur dis en conclusion, votre ouvrage que vous avez co-écrit avec...
- Speaker #0
Avec mon ancien bilan, Steven Delaney. Steven, si vous écoutez, gros merci, qui d'ailleurs est en train de le traduire. Il a fini la traduction en anglais. La réécriture en anglais, pour être précis, il sort au mois de mai.
- Speaker #1
On refait le podcast en anglais en juin.
- Speaker #0
Avec Steve. Il est formidable. Il n'y a pas que le mien. Il y a des gens vachement bien qui ont créé plein d'autres bouquins sur la crise. Encore une fois, j'en ai cité un tout à l'heure. Il y a des gens très, très bien qui ont du pragmatisme. Moi, ce que j'aime, c'est le pragmatisme. Je ne sais pas si ça se lit dans le livre qu'on a co-écrit, mais c'est un peu le but du jeu.
- Speaker #1
Je le confirme, c'est très pragmatique et très accessible. Donc, Chris Hiber, se préparer au pire pour donner le meilleur.
- Speaker #0
Merci.
- Speaker #1
Merci Sébastien. Merci. Merci d'avoir suivi cet épisode d'Incyber Vs. Si ça vous a plu, abonnez-vous et laissez-nous 5 étoiles.
![[Micro trottoir - Forum INCYBER] - Comment convaincre un COMEX d'investir dans la cyber en 15 secondes ? cover](https://image.ausha.co/HVwJAynYoiH1IGujHXbcXkAsAeRBH8s8OuZSkdIQ_400x400.jpeg)
