HS 21 : La gestion de crise avec Nicolas-Loïc FORTIN | La cybersécurité expliquée à ma grand-mère

Description

Épisode consacré à la gestion de crise avec Nicolas-Loïc FORTIN spécialiste de la gestion du risque IT et de la gestion de crise.

Nicolas-Loïc est :

Consultant stratégique spécialisé en cybersécurité, gestion des risques, incidents et gouvernance.
Co-auteur d’un livre sur la gestion des crises cyber ("Les fondamentaux de la gestion de la crise cyber" "https://amzn.eu/d/2a6SJWU")
Animateur de Podcast "Polysecure" https://polysecure.ca

Points abordés dans l'épisode :

1. Différence entre un incident de sécurité et une crise cyber

2. Lien entre gouvernance et technique dans la gestion de crise

3. Les étapes essentielles de la gestion de crise selon le cadre NIST

4. Importance des simulations et de la préparation

5. Compétences requises dans une gestion de crise

6. Le rôle de l’assurance cyber

7. La psychologie et le stress dans une crise

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
Bonjour mamie, j'ai ramené un copain. Bonjour et bienvenue dans la cybersécurité expliquée à ma grand-mère, le podcast pour expliquer la cybersécurité à ceux qui n'y comprennent rien. Alors il y a un sujet qui est assez en vogue en ce moment, puisque avec la réglementation de Dora, tout le monde est obligé de renforcer un petit peu sa résilience et de repenser sa résilience. Et l'un des points pour repenser sa résilience, c'est de se préparer aux crises. Et comment se préparer aux crises ? C'est un peu le sujet, le thème de cet épisode, consacré justement à la gestion des crises. Et pour faire cet épisode, Je vais accueillir un nouvel invité que ma grand-mère ne connaît pas encore. C'est Nicolas-Loïc Fortin. Alors, Nicolas-Loïc, est-ce que tu veux bien te présenter ?
Speaker #1
Oui, je te remercie de m'avoir invité. C'est un énorme plaisir de pouvoir participer à ton podcast. De mon accent, vous avez déjà compris que je suis Québécois.
Speaker #0
Tu es un peu d'espagnol.
Speaker #1
C'est ça, complètement. Je suis Québécois. Je travaille principalement en... Le titre générique, c'est du conseil stratégique, mais j'accompagne les managers en cyber pour les aider à faire des bons choix, de les analyser de risque, gestion d'incidents, gouvernance, ainsi de suite. Donc, c'est un peu dans ce que j'opère principalement maintenant. Donc, c'est mon cœur de métier. Et là, j'ai mon podcast à côté. Je pense que c'est un peu pour ça que tu as appris mon existence, comment j'existais, parce que sinon, c'est difficile de se croiser autrement. Puis, j'organise un événement de cyber à Québec aussi.
Speaker #0
T'oublies quand même un point important, c'est que tu es co-auteur d'un livre justement sur la gestion de la crise. Donc, je mettrai la référence. Donc, le livre s'appelle La gestion de la crise cyber
Speaker #1
Je suis un participant dans cette grande aventure-là, qui a été chapeautée notamment par Laurent, qui est venu me solliciter pour écrire un chapitre en question, d'ailleurs qu'on va pouvoir en aborder un peu plus tard dans l'épisode, mais qui justement a mis tous ces experts-là bout à bout. pour qu'on aborde plusieurs facettes des crises cyber, notamment dans un contexte PME, parce que c'est un marché qui est mal desservi au niveau de la cyber en général. Donc, c'est elle qui a mis tout ce beau monde-là ensemble pour pouvoir faire ce livre-là que tu as lu, d'ailleurs.
Speaker #0
Alors, exactement, je l'ai lu et je le conseille pour les gens qui ont envie de comprendre un petit peu mieux comment gérer une crise cyber. C'est un bouquin. extrêmement complet, écrit par plusieurs auteurs, comme tu le signais, exactement. Et je trouve que ce livre est très utile. En tout cas, je mettrai comme d'habitude la référence du livre en commentaire. J'en ai déjà parlé dans ce podcast, dans la cybersécurité expliquée à ma grand-mère. Et voilà. Alors, pour les gens qui sont intéressés par ce genre de choses, n'hésitez pas à l'acheter. Vous allez apprendre et découvrir beaucoup de choses. Alors, la première question que j'ai envie d'aborder, un petit peu de... de détailler avec toi, c'est qu'est-ce qu'une crise ? Parce que souvent, en informatique, on peut avoir des gros incidents et puis on peut avoir aussi une crise cyber. Donc il y a une différence, je pense, assez importante à voir entre les deux. Je vais juste illustrer le propos avec Log4J. Donc c'est un problème de cybersécurité qu'on a eu il y a quelques années. Pour ceux qui ne connaissent pas cette problématique de l'Org4j, il existe un langage de programmation qui s'appelle Java, qui est très connu, très utilisé dans le monde entier, et les développeurs utilisent une librairie qu'on appelle Org4j, qui permet de créer des logs. C'est très utile parce que quand on active les logs, ça permet de savoir ce qui se passe dans l'application, soit avoir des informations sur ce qui se passe, soit avoir des informations sur des erreurs, importantes, donc des raisons par lesquelles le programme risque de se crasher, etc. Et Log4J, c'est très utilisé par la communauté de développeurs, et aussi très abouti. Et certaines versions de Log4J permettent de faire des choses beaucoup plus complexes que simplement, entre guillemets, écrire des informations dans un fichier, mais peuvent rendre les choses de manière interactive. Et c'est justement l'exploitation d'une de ces fonctionnalités de Log4J qui a permis de faire... de créer des interactions pour le coup non désirées entre des applications Java et l'extérieur. Et quand cette feature finalement a été découverte, parce que c'était quelque chose qui était finalement connu par tout le monde, mais quand on a compris que cette... cette feature, enfin du moins cette fonctionnalité était utilisable pour détourner le comportement de certaines applications, on a compris que ça pouvait poser un problème de cybersécurité et donc un gros problème de manipulation des données. Et à partir de ce moment-là, ça créé une crise quasiment mondiale je pense, qu'il a fallu traiter. Il a fallu donc patcher plein de machines très rapidement, puisque cette faille était activement exploitée. Alors, j'en ai déjà aussi parlé, Lockford, dans nos épisodes précédents de la cybersécurité, expliqué à ma grand-mère. C'est un gros problème de cybersécurité, mais c'est plus un incident de sécurité, dans le sens où il a fallu corriger quelque chose qui ne fonctionnait pas exactement comme prévu, mais une fois que les systèmes étaient patchés, on avait corrigé la vulnérabilité, donc il n'y avait plus tellement de problèmes. En revanche, quand on a une cybercrise et donc des attaquants, on peut se retrouver dans une situation où on a vraiment un groupe de personnes qui est contre l'entreprise. Et là, ça fait toutes les différences. Donc, on a une frontière assez ténue entre un incident et une crise. Et alors, justement, Nicolas Loïc, est-ce que tu peux nous expliquer un petit peu plus ce qu'on peut retrouver de spécifique dans la gestion de la crise cyber, et non pas seulement, entre guillemets, un incident ?
Speaker #1
Oui, bien, c'est bien expliqué au niveau de l'incident. C'est un bris mécanique, si on veut. C'est juste un bris standard, comme sur un véhicule automobile. Il y a un bris mécanique, on répare le bris mécanique. Une fois que le bris mécanique est réglé, le véhicule est de nouveau fonctionnel, donc on n'a plus de problème. En général, ça l'arrête là. Quand on est dans un contexte de crise cyber, on a un adversaire devant nous. L'adversaire vient énormément changer la donne, donc lui a un objectif. Généralement, à l'heure actuelle, le principal objectif, c'est de changer la donne. ça fait de l'argent sur le dos de l'entreprise. On retrouve énormément des rançons logicielles, par exemple, qui sont le véhicule à l'heure actuelle utilisé pour extraire de la valeur de l'entreprise ou les mains des criminels qui vont utiliser ce genre de choses-là. Donc, on se retrouve vraiment dans un contexte différent où on a des gens infiltrés, on va avoir des logiciels placés un peu partout, on va avoir beaucoup, beaucoup d'éléments.
Speaker #2
C'est clair, tout le monde ? Oui. Qu'est-ce qu'il y a Thierry ? Je comprends pas pourquoi il faut que j'ai l'air d'un homosexuel Qui te raconte ? T'avais pas demandé de faire le gay ? Faire le gay ça veut dire guetter enfoiré Guetter ah Tout le monde sait ce qu'il a à faire ? Ouais Ouais Oui oui On fait braquer les banques dans toute l'Europe C'est moi aux Etats-Unis Quand j'étais membre je jouais à un petit jeu de société Ça s'appelait le petit braqueur Faut qu'il arrête la voiture ici C'est un jeu de braqueur brother En cas de sens majeur on reprend pas la voiture compris ? Ouais Bon attendez Vous voulez des signals dans quelques secondes ? Thierry tu y vas Tu vas te poster à l'endroit prévu. Alors, il faut poster à l'endroit prévu, les gars. Tout de suite,
Speaker #1
tout à l'heure. Placé dans l'organisation pour arriver à mener l'attaque qui est voulue. Donc, la crise va devoir reconstruire le chemin au complet, trouver où sont les portes d'entrée que l'attaquant a utilisées et de réussir à renverser la situation où on a quelqu'un. un intrus dans notre réseau, dans notre entreprise, dans le volet informatique de l'entreprise, le chasser, puis s'assurer qu'il ne rentre plus après, puis essayer de limiter les dommages. C'est un peu d'imager la différence entre les deux.
Speaker #0
Alors, je crois que l'image est assez bonne. Dans le cas d'incidence, c'est quelque chose qui est cassé quelque part, on le corrige. Alors que quand on a une cyberattaque, on a des opposants sur lesquels il va falloir traiter aussi cet aspect un peu dynamique de l'attaque et du problème. Alors justement, pour introduire un petit peu le sujet de la gestion de crise, il y a un point hyper important qui était très bien détaillé dans le livre d'ailleurs, c'était le lien entre gouvernance et technique. Souvent, et je pense que c'est une erreur, on pense souvent qu'une gestion de la crise peut se résoudre uniquement d'un problème technique, mais en réalité ça va beaucoup plus loin que ça. Et comme tu es un spécialiste de cette question, Nicolas Loïc, est-ce que tu peux nous éclairer un petit peu sur cette problématique ?
Speaker #1
Oui, absolument. La différence, puis c'est la différence, la problématique qui est mentionnée, c'est que les gens en TI, en informatique en général, ont l'impression que c'est un incident. La crise va se gérer de la même façon. Donc, on fait juste réparer le bris. Et on résout le problème. Donc, c'est là un peu l'énorme problème qu'il va y avoir. Puis, il faut effectivement aussi faire la distinction qu'est-ce que la gouvernance. La gouvernance, c'est l'orientation que l'entreprise a avec ses moyens technologiques pour apporter de la valeur à l'entreprise. Aussi, distinguer quels sont les managers parce que manager, ce n'est pas la gouvernance. C'est pas la même chose, ceux qui vont effectuer les actions et les gens techniques qui vont réaliser, c'est ceux qui produisent la solution technologique dans ce cas-ci ou l'opèrent la solution technologique. Tous ces groupes-là vont interagir ensemble, dans le cas d'une crise notamment. Généralement, ils vont avoir des rôles qui leur sont distincts. La gouvernance n'a pas d'action directe pendant la crise, mais elle a une action préparatoire avant la crise. On va s'assurer que les mesures sont en place, on va s'assurer qu'on a des éléments de protection, qu'on a mis des serrures sur nos portes, que nos portes sont bien verrouillées, que ces éléments-là sont mis en place par les gens, donc on va s'assurer de quantifier. Par rapport à comment l'entreprise, la société, va décider de placer ses énergies pour protéger ses joyaux, préserver son argent, ses listes de clients, ses informations qui lui sont précieuses. Ça revient à ça parce que la gouvernance va s'assurer de qualifier et de mettre au bon endroit. Quand on arrive en crise cyber, ces éléments-là qui ont été mis au bon endroit vont aider la gestion de crise parce que les gens techniques... n'auront pas à deviner c'est quoi les intentions de l'entreprise pour protéger les actifs. Donc, pour mettre les énergies au bon endroit, ils vont être capables de récupérer rapidement. Donc, justement, accélérer le retour parce qu'une crise cyber, c'est compliqué. Comme je mentionnais, on a un intrus qu'il faut trouver, il faut chasser, il faut redresser les systèmes qui passent à ça. Donc, plus vite on est capable de retracer l'intrus, plus vite on est capable de savoir qui l'a ou pas affecté. des systèmes critiques de l'entreprise où les joyaux de la couronne sont situés, on est capable de prendre des décisions en conséquence, donc d'aller de fermer littéralement les systèmes, parce que là, c'est des systèmes qui sont non critiques, ou aussi c'est des systèmes qui sont critiques, qui sont les autorisations ou qui sont les personnes dans l'organisation qui vont nous permettre de fermer ces systèmes-là rapidement pour poser des actions concrètes sur la résolution de la crise.
Speaker #0
Alors, justement, sur la partie... détecter finalement l'intrusion. Donc ça paraît rien quand on le dit comme ça, mais pourtant c'est quelque chose d'assez essentiel dans la remédiation et justement la gestion de la crise. C'est ce qu'on appelle techniquement les AEC, les Indicators of Comprehension, mais c'est comprendre par où sont passés les attaquants. Et ça, c'est un élément hyper important dans la gestion de la crise, parce que tant qu'on n'a pas trouvé cet élément-là, on n'est pas capable de certifier qu'on ne va pas avoir une nouvelle attaque dans la foulée. parce que tant qu'on n'a pas trouvé le trou dans la raquette, ça va être difficile d'être sûr à 100% qu'on peut repartir. Tu en parlais justement du fait de redémarrer l'entreprise et d'arrêter certains systèmes non critiques, etc. Et ça fait aussi partie un peu de cette gouvernance à mettre en œuvre, d'essayer d'anticiper ce qui est important de ce qu'il est moins. Juste pour revenir sur... les différentes étapes peut-être de la gestion de crise. Pour toi, quelles sont les grandes étapes à suivre dans la gestion d'une crise ? Qu'est-ce qui est important en termes de gouvernance, justement ? Quels sont les grands classiques, selon toi ?
Speaker #1
Si on le prend sur le côté de la gouvernance, dans le livre, ce que j'avais fait, j'avais été basé sur le NIS Cyber Security Framework, version 1.1, qui maintenant est rendu en version 2, qui s'est amélioré depuis. Ça ne change pas le fondement de ce que c'est. Au moment de l'écriture du livre, la version 1.1 n'était pas traduite en français. Depuis, elle est traduite en français. Si vous voyez des différences dans le livre qui ne sont pas par rapport au vocabulaire conforme dans la norme, je suis arrivé avant, donc j'ai fait une traduction de mon cru. Ce cadre de référence-là permet justement de mettre en place ces différentes étapes et mettre sur cinq grands piliers, cinq fonctions. sur lequel on va identifier les éléments qui sont à mettre en œuvre pour se préparer à une crise. On va commencer par les choses des secteurs de l'économie, c'est identifier, protéger, détecter, répondre et rétablir. Excusez, j'ai l'habitude de travailler en anglais avec ces frères et mon grand-père. Donc, ces éléments-là sont mis en œuvre. Donc, on a chacune des étapes qui sont très importantes et qui viennent guider ce qu'on fait et justement mettre les bons énergies. Identifier notamment quels sont nos actifs. On parlait des systèmes critiques. Est-ce que ce système-là est critique ou pas critique ? Est-ce que l'information qui est en train de se faire, c'est critique ou pas ? Comment on la qualifie dans l'intérêt de l'entreprise ? C'est ça que tout, on va parler, pour ceux qui sont un peu familiers, puis j'imagine que ta grand-mère n'est pas familière avec ce genre de choses-là, mais tous les gens vont penser que ce qu'ils ont est le plus précieux au monde, donc il faut ensuite recalibrer ces éléments-là pour les mettre au bon endroit. Donc, de correctement identifier. Pour avoir géré des crises où c'était mal identifié, je me suis trouvé avec de l'information critique dans des systèmes qui n'auraient pas dû. Donc, on a pris des mauvaises décisions de résolution parce qu'on n'avait pas cette bonne information-là rapidement. Donc, quand on arrive dans un incendie, dans le fond, c'est ça une crise cyber, sauf que l'incendie n'est pas adverse, mais on arrive comme ça. Dans ce cas-là, on n'a pas été bien identifié, on n'a pas été bien outillé en amont. Ensuite, on a détecter, qui sert justement à repérer ces dix éléments-là. Détecter, ça c'est le problème, en tout cas, comment les Américains l'ont fait, mais détecter, ce n'est pas juste de savoir quand c'est. L'élément de protection, qui est le deuxième élément de la boucle, c'est étrange de le nommer comme ça, mais c'est tous les éléments qui vont nous servir, les antivirus, tous les éléments techniques comme en œuvre qui sont là, qui vont nous aider à protéger nos actifs qui vont être nous aider à aller un peu plus loin pour permettre de protéger nos infrastructures. C'est une place où il y a énormément d'énergie qui est mise au niveau du cadre de référence puisque la protection, elle est assez importante. On va basculer à détecter, puis à détecter, c'est à ce moment-là que la crise ou les outils nous permettent de repérer cet élément-là. Et c'est un élément important parce que il y a bien des... des incidents ou des crises qui n'apparaissent que malheureusement trop tardivement ou sont détectées trop tardivement. Donc les gens, l'adversaire rentrait dans nos infrastructures, des fois il va 3, 4, 1 an, 2 ans dans notre réseau, dans notre entreprise et pendant ce temps-là, il va voler nos informations, il va voler les éléments qui sont là et qui ne sont pas perçus, étant donné que c'est un type d'adversaire-là et que c'est un cas particulier, mais quand même il existe beaucoup, vont aller très lentement. Vider les informations tranquillement. On va se retrouver plus dans ce genre de menu là. Ensuite, on va aller dans le quatrième qui est répondre, qui est justement tous les éléments qui sont spécifiques à la gestion de crise et rétablir qui est la remise autour au nombre, donc de qualifier les différents éléments. Caractéristiques très importantes, les premiers comme identifier, protéger, détecter sont beaucoup plus techniques. Quand on arrive dans... répondre et rétablir, on tombe plus dans des processus, on tombe plus dans l'humain, ce côté-là. C'est un peu aussi le contexte qu'on n'est pas entièrement technique, c'est pas juste la technologie. Ça rappelle aussi que les autres départements de l'entreprise, la communication, les ressources humaines, les avocats, sont très importants à inclure là-dedans. C'est pour ça que la gouvernance vient ramener tout ce beau monde-là autour de la table et discuter pour qu'on mette les différentes pièces en place.
Speaker #0
Alors, justement, ça c'est quelque chose qui est assez important finalement. Pour moi, personnellement, c'est comme beaucoup. J'imaginais, je voyais la gestion d'une crise comme quelque chose d'éminemment technique. Mais c'est vrai que quand on travaille dans une entreprise et qu'on doit gérer une crise, à un moment donné, il y a besoin d'impliquer la communication, par exemple, puisqu'il faut communiquer auprès de nos clients, mais peut-être aussi auprès du régulateur si on est dans une activité régulée. Il faut aussi se prémunir d'un... d'un certain nombre d'aspects légaux, parce que si je veux pouvoir capturer des preuves sur l'attaque, et surtout capturer des preuves qui soient bonnes d'un point de vue légal, il faut que je sois préparé à ce genre de choses. Il faut que le management soit au courant, et surtout que la partie business, puisqu'à un moment donné, il y a des décisions à prendre, et des décisions qui peuvent être d'ailleurs assez compliquées, qui vont redémarrer tel business plutôt qu'un autre, donc ça, ça peut être quand même des décisions assez compliquées. Alors justement, il y a une autre question qui me vient à l'esprit, que tu as déjà finalement commencé à un petit peu aborder, c'est quelles sont les compétences requises dans la gestion de crise ? Donc là, on a parlé un petit peu de l'aspect préparatoire, donc des personnes impliquées dans le cas d'une crise. Est-ce que tu pourrais détailler un petit peu plus justement cet aspect-là et de ton point de vue, quelles sont les compétences requises lors de la gestion d'une crise ?
Speaker #1
Pendant la crise elle-même, on va avoir besoin d'un gestionnaire de crise, quelqu'un qui est capable de rallier tous les gens autour de la table, de ramener toutes les compétences qui sont nécessaires. de prendre les documents qui ont été préparés, notamment par la gouvernance, puis de voir l'état de la crise et de mettre les bonnes personnes autour de la table. Chaque crise est différente, donc ce n'est pas toujours les mêmes personnes ou les mêmes compétences qu'on va avoir besoin pour résoudre. Au niveau des compétences techniques, on va être capable, sur la nature des systèmes, d'amener les bonnes personnes qui vont être capables de résoudre ça. On va avoir besoin aussi... généralement d'avoir les avocats tout dépendant du régime légal dans lequel on est. Les États-Unis en ont un, le Canada en a un, l'Europe en a un. Et de toute façon, puis même si on est un peu en dehors du régulier, la RGPD est quand même une portée assez importante. On a des lois américaines et canadiennes aussi qui peuvent influencer énormément la divulgation, les moments où on doit faire les choses. Les avocats sont très importants dans l'histoire. Communication, très important, surtout quand la crise dépasse un peu. peu la portée de l'entreprise, mais comme la divulgation est maintenant rendue quasi obligatoire à peu près dans la plupart des pays occidentaux, on doit annoncer le fait qu'on a été touché, donc on doit répondre publiquement du fait qu'on a été affecté. Donc, une bonne crise, une bonne gestion de communication est importante parce que ça rassure les investisseurs, ça rassure les clients, ça rassure tout le monde dans l'équation. Quand ça l'est moins, c'est un peu plus dommageable pour la marque, pour l'entreprise. Et dans certains cas, ça peut causer des soucis ou des pertes secondaires qui sont associées à ça. Quand c'est mal géré, ça peut endommager énormément la perception de la marque. Donc, ces gens-là doivent être autour. On a ensuite, tu parlais du business aussi, on doit ramener le business. Donc, on doit connaître le bon département business qui est affecté par ce qu'on touche, justement pour avoir une discussion avec eux. Si ça a été correctement préparé en amont. On va être capable de parler très rapidement, ils vont être capables de nous guider et nous amener à prendre les bonnes décisions en tant que gestionnaire de crise. En fait, c'est une espèce de pivot qui va s'assurer que tout le monde joue constamment pour résoudre le problème. Notamment, les gens techniques vont répondre spécifiquement aux requêtes business, parce que c'est un peu ça aussi, l'un est en support à l'autre. Donc, d'avoir cette communication et cette courroie de communication-là entre... Le management business et les techniques justement pour que les bonnes décisions soient prises, les bonnes actions. On parlait de fermer des systèmes. C'est une décision qui est fondamentalement business parce que ça a un impact sur la production, les moyens de production de la compagnie. Et les moyens de production, ça peut être aussi banal qu'un site transactionnel. S'il est indisponible, ça va causer des pertes financières importantes. Donc, ce n'est pas le technique qui prend la décision de fermer les couteaux, même si la décision serait parfaite de le faire comme ça, parce que d'un point de vue résolution de la crise, c'est mieux. D'un point de vue business, ce n'est peut-être pas équivalent par rapport à ce genre de choses-là.
Speaker #0
Justement, ça montre aussi que le gestionnaire de crise peut avoir des problématiques d'indépendance. Ce que je veux dire par là, c'est que si le gestionnaire de crise vient d'indépendance, d'une des grandes familles de l'entreprise, que ce soit du côté plutôt opérationnel, business, ou alors plutôt du côté IT, il risque de prendre des décisions un petit peu pour son camp, et peut-être moins de manière totalement, on va dire, neutre, et vraiment dans la gestion de la crise. Donc c'est important que le gestionnaire de crise soit, on va dire, assez indépendant et assez libre pour prendre des décisions pour le bien de l'entreprise et pas forcément pour faire, entre guillemets, plaisir peut-être à certaines personnes dans l'organisation.
Speaker #1
Absolument, j'ai eu des crises que je ne peux pas parler de détail de celles-ci parce qu'elles sont protégées par des ententes de confidentialité, mais j'ai eu des combats assez épiques entre le business, le IT et la sécurité. Dans ce cas, moi, dans les circonstances, je représentais la sécurité. Moi, mon rôle était plus neutre au sens où j'exposais des faits. C'est là où j'étais comme gestionnaire de crise, où j'étais vraiment le pivot au sens où je l'explique, où je ne faisais, j'étais pas inclus, j'étais pas dans les mêmes départements que les équipes techniques. C'est pas mes équipes qui faisaient les travaux, c'est mes équipes qui faisaient la détection, qui voyaient les éléments, donc qui qualifiaient la menace, qui qualifiaient l'infection, qui qualifiaient les choses. Mais la résolution, la réparation des systèmes était envoyée directement aux équipes TI qui étaient indépendantes. de mon élément et j'avais le business de l'autre côté avec qui je devais interfacer. J'interférais avec les managements. Ça aussi, on parlait de gouvernance, business, tout ce beau monde-là. Le business, ce n'est pas ma chaîne de gestion. Ma chaîne de gestion, elle est ailleurs. Mes états étaient quand même mis à soumettre à ma chaîne de gestion avant. Avant, il y avait la discussion avec le business. Le business, des fois, c'était opposé à certaines des recommandations. Ce n'était pas des décisions que je faisais, c'était des recommandations. parce que je n'étais pas dans un poste de gestion. C'est le gestionnaire qui prend les décisions. Les autres, c'est vraiment comme ça. Mes recommandations ont été envoyées au comité de gestion parce qu'un comité de gestion de crise de manager, donc eux sont habilités à prendre des vraies décisions qui ont des impacts sur le business. Donc, c'était à eux de faire ces éléments-là où j'ai été invité dans ces comités-là pour échanger avec eux. Puis, j'ai droit à beaucoup d'opposition du business, notamment. Mais en même temps, bref, ça a tranché dans les cas où je fais référence, ça a été tranché d'aller dans mes recommandations, puisque les dommages potentiels étaient plus grands que le maintien en ligne en ce moment. Oui, c'est ces forces-là, c'est là où ça dépend où le gestionnaire de crise se trouve. Dans ce cas-ci, j'étais dans un contexte neutre, simili-neutre, disons. On n'est jamais vraiment tout à fait neutre, mais à suffisamment neutre que ce n'était pas le business qui venait influencer, ni le technique qui venait influencer mes recommandations. J'étais exposé, puis on parlait aussi un peu d'analyse de risque. C'est un peu l'outil qui est utilisé pour exposer les choses. C'est un outil de communicateur. Moi, je suis beaucoup, beaucoup dans l'univers de l'analyse de risque. J'aime beaucoup ça, parce que c'est une façon d'exposer à des gens non spécialistes dans le domaine des éléments très importants et les aider à comprendre. et les aider à prendre la bonne décision par rapport au contexte.
Speaker #0
Alors justement, excellent transition vers un point qui est essentiel dans la gestion de crise. Donc déjà, on a compris que les gestionnaires de crise, c'était un métier à part entière. Ce n'est quand même pas quelque chose, on va dire que c'est un sport de combat comme tout le monde, gestionnaire de crise, manifestement. Et donc, tu as fait une transition parfaite vers un élément qui est essentiel dans toute cette histoire, c'est qu'est-ce qu'on fait pour anticiper ? Qu'est-ce qu'on doit faire ? pour préparer une crise ? Est-ce qu'il y a des méthodes déjà éprouvées ? Il y a des grands classiques. Est-ce que le rôle de l'assurance aussi, ça peut aussi avoir une influence ? Bien gérer l'aspect assurance en amont peut être quelque chose d'important. Donc selon toi, est-ce que tu peux nous éclairer un petit peu sur l'aspect anticipé ? Quels sont les must-haves qu'on doit mettre en place dans l'entreprise ?
Speaker #1
Oui, absolument. L'assurance est le nouvel outil. Je ne sais pas le contexte européen, je sais que le contexte canadien est très favorable à ça, et américain aussi, je crois. L'assurance permet justement de mettre un bridge course en place rapidement, mettre des experts en place pour les entreprises qui n'ont pas cette capacité-là de le faire eux-mêmes, donc qui n'ont pas la compétence dans leur entreprise. Donc, vous êtes en capacité d'être accompagné, vous êtes accompagné par des avocats aussi. Ça a des avantages très, très importants d'avoir. D'avoir une assurance cyber, il faut la magasiner. Ce n'est plus comme ça a déjà été avant. Ça coûtait peu d'argent et on avait une bonne assurance. Les compagnies d'assurance ont constaté que les dommages monétaires associés à une crise sont énormes. Les primes ont augmenté énormément avec le temps. Ils vont émettre des exigences de préparatoire. La compagnie d'assurance va nous obliger à un certain seuil de préparation technique. à un certain seuil de préparation organisationnelle, notamment d'avoir un plan de crise, d'avoir des plans de communication. Encore mieux s'il y a des simulations qui sont faites, soit en tabletop, c'est-à-dire juste des simulations artificielles ou des vrais scénarios plus sophistiqués où on simule vraiment des éléments avec des faux courriels, des faux appels téléphoniques, des fausses nouvelles, des fausses informations sur les médias, des faux médias sociaux. justement qu'on envoie l'information à un comité de crise qu'on met en place. Donc, on teste, mais il faut aussi, ça permet de tester, comme je parlais de la route du NIST tantôt, les éléments, les cinq éléments sont très importants. Ça fait que si on a couvert dans les cinq éléments, la simulation va venir nous permettre de voir où on est fort, où on l'est moins. La simulation de crise, je la trouve intéressante, puisqu'elle va permettre de découvrir les personnalités des gens dans l'entreprise. Donc, on va être capable de voir comment les gens réagissent en état de crise. Et ça peut être très étonnant de voir comment les gens réagissent en état de crise. J'ai vu de tout dans ma carrière. C'est très, très drôle. Mais ça permet justement de mettre les bonnes personnes aux bons endroits. Parce que si on ne le fait pas, rendu dans la crise, on est en urgence, on n'a pas le temps de réfléchir. Puis c'est un élément important en termes de préparation. Puis c'est très important de se préparer. Je parle sur le NIST comme étant des points parce que la roue est vraiment établie comme ça, d'autant de connaître ses actifs, mettre les moyens, protéger, se détecter. contenir la crise et revenir à l'état normal, qui est rétablir la dernière chose. Donc, on les couvre, les aspects-là, mais quand ensuite on a l'aspect humain qui est là-dedans, lui, il est moins bien maîtrisé, il est moins bien décrit. Donc, on est capable de le tester correctement et de voir si les personnalités, parce que quand on arrive dans la crise, on n'a plus le temps de réfléchir et de cet élément-là. Puis, ceux qui ne gèrent pas bien leur stress, notamment, ce que j'avais vu dernièrement, c'est qu'on perd 80 de notre capacité cognitive. en état de stress. C'est énorme, 80%.
Speaker #0
C'est sûr qu'on va prendre que de mauvaises décisions. Déjà là, il faudra des gens qui sont capables de garder leur calme, donc garder presque 100% de leur capacité cognitive, c'est déjà très important, et d'être capable de tester ces éléments-là, de créer des choses où on n'a pas besoin de réfléchir, parce que quand on est en urgence, on n'a pas le temps de méditer sur les sens de l'univers, de dire que notre gouvernance n'est pas bonne, puis on a réservé ma gouvernance, c'est pas le temps de faire ça. Le gouvernement aurait dû arriver avant, mettre les choses en place, s'assurer qu'il mette les leviers et les tester. que si les différents morceaux collent bien ensemble, puisque la théorie, des fois, ne rejoint pas la pratique.
Speaker #1
Alors, justement, tu as souligné l'intérêt, enfin, l'importance de la préparation de tout ça, puisque finalement, tout doit être géré en amont, et le moment où la crise se déclenche, il faut pouvoir dérouler, entre guillemets, le plan sans trop y réfléchir. Moi, j'ai coutume de dire qu'il faut se préparer au pire quand tout va bien pour se surpasser quand tout va mal. Donc, vraiment... L'idée est d'automatiser, enfin d'automatiser, de rendre les choses les plus simples possibles au moment de la crise, parce qu'effectivement, quand on a une crise, c'est pas à ce moment-là qu'on va commencer à révolutionner les choses, et il vaut mieux se simplifier la vie au maximum.
Speaker #0
Tout à fait, je vais juste rebondir là-dessus, parce que les corps organisés, on parle de la police, l'armée notamment, ne font que ça, les pompiers ne font que ça. Eux, leur travail, c'est de toujours se préparer à une guerre, se préparer à un crime, se préparer à un incendie. Donc, ils sont énormément dans cette réflexion-là. Donc, eux ne font que ça. Puis, c'est des spécialistes en réponse à des crises parce que c'est ça leur travail de faire essentiellement. Donc, on est dans cet univers-là. Puis, il y a tout l'aspect aussi hors-marceau quand on va aller sur combat. Le combat aussi, c'est normalement pratiquer énormément les mouvements pour qu'ils soient imprimés et qu'ils deviennent automatiques. On ne réfléchit plus à l'exécution du mouvement. On ne pense pas, ceux qui sont spécialistes en hors-marceau, on ne réfléchit pas les mouvements qu'on fait. Tout est... spontané, tout se fait dans le moment.
Speaker #2
Bonjour les enfants ! Aujourd'hui, Capitaine Kung Fu va vous montrer une prise redoutable qu'il a lui-même créée. J'ai nommé la prise du dragon. La prise du dragon consiste à immobiliser l'adversaire en saisissant son nez avec les doigts de pied. Une fois bien coincé entre les orteils, vous devez faire pivoter le talon vers le haut, ce qui fera cruncher le nez de l'opposant. Vous voyez, c'est simple, c'est une attaque en deux temps. Action ! Réaction ! Abonnez-vous à des questions.
Speaker #0
Parce que c'est le fait qu'il a été imprimé dans notre tête énormément par la presse. C'est très important de se pratiquer justement parce qu'on va avoir ces réflexes-là. ces habiletés-là ou cette intuition-là qui va émerger de cette préparation, cette pratique, cette internalisation de ces choses-là.
Speaker #1
Alors justement, c'est assez marrant que tu fasses cette référence aux arts martiaux, puisque dans un art martial qu'on appelle le kendo, donc c'est le sabre japonais, il y a un concept qui s'appelle le kikentaichi, qui regroupe... Plusieurs aspects importants, le qui, l'esprit, la voix, Ken, le sabre et le mouvement, les trois choses au même moment, c'est-à-dire le fait de pouvoir concentrer les trois au même moment. C'est un petit peu ce que tu viens de dire en filigrane par rapport à la crise. Donc l'esprit avec la gouvernance qui permet d'anticiper les choses, le Ken avec le sabre, c'est-à-dire plutôt l'action et le troisième élément, le mouvement. Tout ça doit être quasiment atomique pour pouvoir gérer la crise le plus efficacement possible. Tu veux peut-être rajouter un dernier mot pour la fin ?
Speaker #0
Non, mais je pense qu'on a fait un bon tour par rapport à ce genre de choses-là. Puis c'est intéressant parce que j'aime beaucoup ces conversations. Ça nous amène dans des chemins inattendus, notamment les arts berceaux, en l'occurrence. Justement, de voir comme ces éléments-là sont importants, parce que c'est simple et pas simple la gestion de crise. Il faut se préparer, c'est sûr. toujours, toujours. C'est là où la gouvernance joue un rôle très, très, très important, même si à certains égards, les gens pensent que c'est inutile. Quand on est dans, si on parle des armes martiaux, si on n'est pas préparé, le combat arrive, ça va faire plus mal que si on s'était préparé correctement avant, même si ça semble futile ou ça semble être non nécessaire. Surtout dans un univers où on est très cyber, tout est là-dessus, on n'a plus le choix maintenant. C'est inévitable, donc cette préparation-là est essentielle. Basez-vous sur un cadre de référence. Moi, je mets d'abord le NIST parce que je trouve qu'il est bien fait pour ce genre de choses-là. Il en existe d'autres. L'NC en France en a beaucoup de documentations très intéressantes qu'elle rend publiques aussi, qui est très utile. Et au niveau américain, le NIST aussi fait la même chose. Si vous êtes plus versé en anglais, il y a des éléments très intéressants à aller tirer de ces documents-là.
Speaker #1
Nicolas, Loïc, je te remercie. En tout cas, ma grand-mère te fait un gros bisou. Elle a une pensée aussi pour Ausha, qui malheureusement n'a pas pu nous rejoindre pour des raisons de santé, mais on la salue et on espère que c'est mieux. Comme je le dis très souvent, pour certains, la cybersécurité est un enjeu de vie ou de mort. C'est bien plus sérieux que ça.

Description

Épisode consacré à la gestion de crise avec Nicolas-Loïc FORTIN spécialiste de la gestion du risque IT et de la gestion de crise.

Nicolas-Loïc est :

Consultant stratégique spécialisé en cybersécurité, gestion des risques, incidents et gouvernance.
Co-auteur d’un livre sur la gestion des crises cyber ("Les fondamentaux de la gestion de la crise cyber" "https://amzn.eu/d/2a6SJWU")
Animateur de Podcast "Polysecure" https://polysecure.ca

Points abordés dans l'épisode :

1. Différence entre un incident de sécurité et une crise cyber

2. Lien entre gouvernance et technique dans la gestion de crise

3. Les étapes essentielles de la gestion de crise selon le cadre NIST

4. Importance des simulations et de la préparation

5. Compétences requises dans une gestion de crise

6. Le rôle de l’assurance cyber

7. La psychologie et le stress dans une crise

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
Bonjour mamie, j'ai ramené un copain. Bonjour et bienvenue dans la cybersécurité expliquée à ma grand-mère, le podcast pour expliquer la cybersécurité à ceux qui n'y comprennent rien. Alors il y a un sujet qui est assez en vogue en ce moment, puisque avec la réglementation de Dora, tout le monde est obligé de renforcer un petit peu sa résilience et de repenser sa résilience. Et l'un des points pour repenser sa résilience, c'est de se préparer aux crises. Et comment se préparer aux crises ? C'est un peu le sujet, le thème de cet épisode, consacré justement à la gestion des crises. Et pour faire cet épisode, Je vais accueillir un nouvel invité que ma grand-mère ne connaît pas encore. C'est Nicolas-Loïc Fortin. Alors, Nicolas-Loïc, est-ce que tu veux bien te présenter ?
Speaker #1
Oui, je te remercie de m'avoir invité. C'est un énorme plaisir de pouvoir participer à ton podcast. De mon accent, vous avez déjà compris que je suis Québécois.
Speaker #0
Tu es un peu d'espagnol.
Speaker #1
C'est ça, complètement. Je suis Québécois. Je travaille principalement en... Le titre générique, c'est du conseil stratégique, mais j'accompagne les managers en cyber pour les aider à faire des bons choix, de les analyser de risque, gestion d'incidents, gouvernance, ainsi de suite. Donc, c'est un peu dans ce que j'opère principalement maintenant. Donc, c'est mon cœur de métier. Et là, j'ai mon podcast à côté. Je pense que c'est un peu pour ça que tu as appris mon existence, comment j'existais, parce que sinon, c'est difficile de se croiser autrement. Puis, j'organise un événement de cyber à Québec aussi.
Speaker #0
T'oublies quand même un point important, c'est que tu es co-auteur d'un livre justement sur la gestion de la crise. Donc, je mettrai la référence. Donc, le livre s'appelle La gestion de la crise cyber
Speaker #1
Je suis un participant dans cette grande aventure-là, qui a été chapeautée notamment par Laurent, qui est venu me solliciter pour écrire un chapitre en question, d'ailleurs qu'on va pouvoir en aborder un peu plus tard dans l'épisode, mais qui justement a mis tous ces experts-là bout à bout. pour qu'on aborde plusieurs facettes des crises cyber, notamment dans un contexte PME, parce que c'est un marché qui est mal desservi au niveau de la cyber en général. Donc, c'est elle qui a mis tout ce beau monde-là ensemble pour pouvoir faire ce livre-là que tu as lu, d'ailleurs.
Speaker #0
Alors, exactement, je l'ai lu et je le conseille pour les gens qui ont envie de comprendre un petit peu mieux comment gérer une crise cyber. C'est un bouquin. extrêmement complet, écrit par plusieurs auteurs, comme tu le signais, exactement. Et je trouve que ce livre est très utile. En tout cas, je mettrai comme d'habitude la référence du livre en commentaire. J'en ai déjà parlé dans ce podcast, dans la cybersécurité expliquée à ma grand-mère. Et voilà. Alors, pour les gens qui sont intéressés par ce genre de choses, n'hésitez pas à l'acheter. Vous allez apprendre et découvrir beaucoup de choses. Alors, la première question que j'ai envie d'aborder, un petit peu de... de détailler avec toi, c'est qu'est-ce qu'une crise ? Parce que souvent, en informatique, on peut avoir des gros incidents et puis on peut avoir aussi une crise cyber. Donc il y a une différence, je pense, assez importante à voir entre les deux. Je vais juste illustrer le propos avec Log4J. Donc c'est un problème de cybersécurité qu'on a eu il y a quelques années. Pour ceux qui ne connaissent pas cette problématique de l'Org4j, il existe un langage de programmation qui s'appelle Java, qui est très connu, très utilisé dans le monde entier, et les développeurs utilisent une librairie qu'on appelle Org4j, qui permet de créer des logs. C'est très utile parce que quand on active les logs, ça permet de savoir ce qui se passe dans l'application, soit avoir des informations sur ce qui se passe, soit avoir des informations sur des erreurs, importantes, donc des raisons par lesquelles le programme risque de se crasher, etc. Et Log4J, c'est très utilisé par la communauté de développeurs, et aussi très abouti. Et certaines versions de Log4J permettent de faire des choses beaucoup plus complexes que simplement, entre guillemets, écrire des informations dans un fichier, mais peuvent rendre les choses de manière interactive. Et c'est justement l'exploitation d'une de ces fonctionnalités de Log4J qui a permis de faire... de créer des interactions pour le coup non désirées entre des applications Java et l'extérieur. Et quand cette feature finalement a été découverte, parce que c'était quelque chose qui était finalement connu par tout le monde, mais quand on a compris que cette... cette feature, enfin du moins cette fonctionnalité était utilisable pour détourner le comportement de certaines applications, on a compris que ça pouvait poser un problème de cybersécurité et donc un gros problème de manipulation des données. Et à partir de ce moment-là, ça créé une crise quasiment mondiale je pense, qu'il a fallu traiter. Il a fallu donc patcher plein de machines très rapidement, puisque cette faille était activement exploitée. Alors, j'en ai déjà aussi parlé, Lockford, dans nos épisodes précédents de la cybersécurité, expliqué à ma grand-mère. C'est un gros problème de cybersécurité, mais c'est plus un incident de sécurité, dans le sens où il a fallu corriger quelque chose qui ne fonctionnait pas exactement comme prévu, mais une fois que les systèmes étaient patchés, on avait corrigé la vulnérabilité, donc il n'y avait plus tellement de problèmes. En revanche, quand on a une cybercrise et donc des attaquants, on peut se retrouver dans une situation où on a vraiment un groupe de personnes qui est contre l'entreprise. Et là, ça fait toutes les différences. Donc, on a une frontière assez ténue entre un incident et une crise. Et alors, justement, Nicolas Loïc, est-ce que tu peux nous expliquer un petit peu plus ce qu'on peut retrouver de spécifique dans la gestion de la crise cyber, et non pas seulement, entre guillemets, un incident ?
Speaker #1
Oui, bien, c'est bien expliqué au niveau de l'incident. C'est un bris mécanique, si on veut. C'est juste un bris standard, comme sur un véhicule automobile. Il y a un bris mécanique, on répare le bris mécanique. Une fois que le bris mécanique est réglé, le véhicule est de nouveau fonctionnel, donc on n'a plus de problème. En général, ça l'arrête là. Quand on est dans un contexte de crise cyber, on a un adversaire devant nous. L'adversaire vient énormément changer la donne, donc lui a un objectif. Généralement, à l'heure actuelle, le principal objectif, c'est de changer la donne. ça fait de l'argent sur le dos de l'entreprise. On retrouve énormément des rançons logicielles, par exemple, qui sont le véhicule à l'heure actuelle utilisé pour extraire de la valeur de l'entreprise ou les mains des criminels qui vont utiliser ce genre de choses-là. Donc, on se retrouve vraiment dans un contexte différent où on a des gens infiltrés, on va avoir des logiciels placés un peu partout, on va avoir beaucoup, beaucoup d'éléments.
Speaker #2
C'est clair, tout le monde ? Oui. Qu'est-ce qu'il y a Thierry ? Je comprends pas pourquoi il faut que j'ai l'air d'un homosexuel Qui te raconte ? T'avais pas demandé de faire le gay ? Faire le gay ça veut dire guetter enfoiré Guetter ah Tout le monde sait ce qu'il a à faire ? Ouais Ouais Oui oui On fait braquer les banques dans toute l'Europe C'est moi aux Etats-Unis Quand j'étais membre je jouais à un petit jeu de société Ça s'appelait le petit braqueur Faut qu'il arrête la voiture ici C'est un jeu de braqueur brother En cas de sens majeur on reprend pas la voiture compris ? Ouais Bon attendez Vous voulez des signals dans quelques secondes ? Thierry tu y vas Tu vas te poster à l'endroit prévu. Alors, il faut poster à l'endroit prévu, les gars. Tout de suite,
Speaker #1
tout à l'heure. Placé dans l'organisation pour arriver à mener l'attaque qui est voulue. Donc, la crise va devoir reconstruire le chemin au complet, trouver où sont les portes d'entrée que l'attaquant a utilisées et de réussir à renverser la situation où on a quelqu'un. un intrus dans notre réseau, dans notre entreprise, dans le volet informatique de l'entreprise, le chasser, puis s'assurer qu'il ne rentre plus après, puis essayer de limiter les dommages. C'est un peu d'imager la différence entre les deux.
Speaker #0
Alors, je crois que l'image est assez bonne. Dans le cas d'incidence, c'est quelque chose qui est cassé quelque part, on le corrige. Alors que quand on a une cyberattaque, on a des opposants sur lesquels il va falloir traiter aussi cet aspect un peu dynamique de l'attaque et du problème. Alors justement, pour introduire un petit peu le sujet de la gestion de crise, il y a un point hyper important qui était très bien détaillé dans le livre d'ailleurs, c'était le lien entre gouvernance et technique. Souvent, et je pense que c'est une erreur, on pense souvent qu'une gestion de la crise peut se résoudre uniquement d'un problème technique, mais en réalité ça va beaucoup plus loin que ça. Et comme tu es un spécialiste de cette question, Nicolas Loïc, est-ce que tu peux nous éclairer un petit peu sur cette problématique ?
Speaker #1
Oui, absolument. La différence, puis c'est la différence, la problématique qui est mentionnée, c'est que les gens en TI, en informatique en général, ont l'impression que c'est un incident. La crise va se gérer de la même façon. Donc, on fait juste réparer le bris. Et on résout le problème. Donc, c'est là un peu l'énorme problème qu'il va y avoir. Puis, il faut effectivement aussi faire la distinction qu'est-ce que la gouvernance. La gouvernance, c'est l'orientation que l'entreprise a avec ses moyens technologiques pour apporter de la valeur à l'entreprise. Aussi, distinguer quels sont les managers parce que manager, ce n'est pas la gouvernance. C'est pas la même chose, ceux qui vont effectuer les actions et les gens techniques qui vont réaliser, c'est ceux qui produisent la solution technologique dans ce cas-ci ou l'opèrent la solution technologique. Tous ces groupes-là vont interagir ensemble, dans le cas d'une crise notamment. Généralement, ils vont avoir des rôles qui leur sont distincts. La gouvernance n'a pas d'action directe pendant la crise, mais elle a une action préparatoire avant la crise. On va s'assurer que les mesures sont en place, on va s'assurer qu'on a des éléments de protection, qu'on a mis des serrures sur nos portes, que nos portes sont bien verrouillées, que ces éléments-là sont mis en place par les gens, donc on va s'assurer de quantifier. Par rapport à comment l'entreprise, la société, va décider de placer ses énergies pour protéger ses joyaux, préserver son argent, ses listes de clients, ses informations qui lui sont précieuses. Ça revient à ça parce que la gouvernance va s'assurer de qualifier et de mettre au bon endroit. Quand on arrive en crise cyber, ces éléments-là qui ont été mis au bon endroit vont aider la gestion de crise parce que les gens techniques... n'auront pas à deviner c'est quoi les intentions de l'entreprise pour protéger les actifs. Donc, pour mettre les énergies au bon endroit, ils vont être capables de récupérer rapidement. Donc, justement, accélérer le retour parce qu'une crise cyber, c'est compliqué. Comme je mentionnais, on a un intrus qu'il faut trouver, il faut chasser, il faut redresser les systèmes qui passent à ça. Donc, plus vite on est capable de retracer l'intrus, plus vite on est capable de savoir qui l'a ou pas affecté. des systèmes critiques de l'entreprise où les joyaux de la couronne sont situés, on est capable de prendre des décisions en conséquence, donc d'aller de fermer littéralement les systèmes, parce que là, c'est des systèmes qui sont non critiques, ou aussi c'est des systèmes qui sont critiques, qui sont les autorisations ou qui sont les personnes dans l'organisation qui vont nous permettre de fermer ces systèmes-là rapidement pour poser des actions concrètes sur la résolution de la crise.
Speaker #0
Alors, justement, sur la partie... détecter finalement l'intrusion. Donc ça paraît rien quand on le dit comme ça, mais pourtant c'est quelque chose d'assez essentiel dans la remédiation et justement la gestion de la crise. C'est ce qu'on appelle techniquement les AEC, les Indicators of Comprehension, mais c'est comprendre par où sont passés les attaquants. Et ça, c'est un élément hyper important dans la gestion de la crise, parce que tant qu'on n'a pas trouvé cet élément-là, on n'est pas capable de certifier qu'on ne va pas avoir une nouvelle attaque dans la foulée. parce que tant qu'on n'a pas trouvé le trou dans la raquette, ça va être difficile d'être sûr à 100% qu'on peut repartir. Tu en parlais justement du fait de redémarrer l'entreprise et d'arrêter certains systèmes non critiques, etc. Et ça fait aussi partie un peu de cette gouvernance à mettre en œuvre, d'essayer d'anticiper ce qui est important de ce qu'il est moins. Juste pour revenir sur... les différentes étapes peut-être de la gestion de crise. Pour toi, quelles sont les grandes étapes à suivre dans la gestion d'une crise ? Qu'est-ce qui est important en termes de gouvernance, justement ? Quels sont les grands classiques, selon toi ?
Speaker #1
Si on le prend sur le côté de la gouvernance, dans le livre, ce que j'avais fait, j'avais été basé sur le NIS Cyber Security Framework, version 1.1, qui maintenant est rendu en version 2, qui s'est amélioré depuis. Ça ne change pas le fondement de ce que c'est. Au moment de l'écriture du livre, la version 1.1 n'était pas traduite en français. Depuis, elle est traduite en français. Si vous voyez des différences dans le livre qui ne sont pas par rapport au vocabulaire conforme dans la norme, je suis arrivé avant, donc j'ai fait une traduction de mon cru. Ce cadre de référence-là permet justement de mettre en place ces différentes étapes et mettre sur cinq grands piliers, cinq fonctions. sur lequel on va identifier les éléments qui sont à mettre en œuvre pour se préparer à une crise. On va commencer par les choses des secteurs de l'économie, c'est identifier, protéger, détecter, répondre et rétablir. Excusez, j'ai l'habitude de travailler en anglais avec ces frères et mon grand-père. Donc, ces éléments-là sont mis en œuvre. Donc, on a chacune des étapes qui sont très importantes et qui viennent guider ce qu'on fait et justement mettre les bons énergies. Identifier notamment quels sont nos actifs. On parlait des systèmes critiques. Est-ce que ce système-là est critique ou pas critique ? Est-ce que l'information qui est en train de se faire, c'est critique ou pas ? Comment on la qualifie dans l'intérêt de l'entreprise ? C'est ça que tout, on va parler, pour ceux qui sont un peu familiers, puis j'imagine que ta grand-mère n'est pas familière avec ce genre de choses-là, mais tous les gens vont penser que ce qu'ils ont est le plus précieux au monde, donc il faut ensuite recalibrer ces éléments-là pour les mettre au bon endroit. Donc, de correctement identifier. Pour avoir géré des crises où c'était mal identifié, je me suis trouvé avec de l'information critique dans des systèmes qui n'auraient pas dû. Donc, on a pris des mauvaises décisions de résolution parce qu'on n'avait pas cette bonne information-là rapidement. Donc, quand on arrive dans un incendie, dans le fond, c'est ça une crise cyber, sauf que l'incendie n'est pas adverse, mais on arrive comme ça. Dans ce cas-là, on n'a pas été bien identifié, on n'a pas été bien outillé en amont. Ensuite, on a détecter, qui sert justement à repérer ces dix éléments-là. Détecter, ça c'est le problème, en tout cas, comment les Américains l'ont fait, mais détecter, ce n'est pas juste de savoir quand c'est. L'élément de protection, qui est le deuxième élément de la boucle, c'est étrange de le nommer comme ça, mais c'est tous les éléments qui vont nous servir, les antivirus, tous les éléments techniques comme en œuvre qui sont là, qui vont nous aider à protéger nos actifs qui vont être nous aider à aller un peu plus loin pour permettre de protéger nos infrastructures. C'est une place où il y a énormément d'énergie qui est mise au niveau du cadre de référence puisque la protection, elle est assez importante. On va basculer à détecter, puis à détecter, c'est à ce moment-là que la crise ou les outils nous permettent de repérer cet élément-là. Et c'est un élément important parce que il y a bien des... des incidents ou des crises qui n'apparaissent que malheureusement trop tardivement ou sont détectées trop tardivement. Donc les gens, l'adversaire rentrait dans nos infrastructures, des fois il va 3, 4, 1 an, 2 ans dans notre réseau, dans notre entreprise et pendant ce temps-là, il va voler nos informations, il va voler les éléments qui sont là et qui ne sont pas perçus, étant donné que c'est un type d'adversaire-là et que c'est un cas particulier, mais quand même il existe beaucoup, vont aller très lentement. Vider les informations tranquillement. On va se retrouver plus dans ce genre de menu là. Ensuite, on va aller dans le quatrième qui est répondre, qui est justement tous les éléments qui sont spécifiques à la gestion de crise et rétablir qui est la remise autour au nombre, donc de qualifier les différents éléments. Caractéristiques très importantes, les premiers comme identifier, protéger, détecter sont beaucoup plus techniques. Quand on arrive dans... répondre et rétablir, on tombe plus dans des processus, on tombe plus dans l'humain, ce côté-là. C'est un peu aussi le contexte qu'on n'est pas entièrement technique, c'est pas juste la technologie. Ça rappelle aussi que les autres départements de l'entreprise, la communication, les ressources humaines, les avocats, sont très importants à inclure là-dedans. C'est pour ça que la gouvernance vient ramener tout ce beau monde-là autour de la table et discuter pour qu'on mette les différentes pièces en place.
Speaker #0
Alors, justement, ça c'est quelque chose qui est assez important finalement. Pour moi, personnellement, c'est comme beaucoup. J'imaginais, je voyais la gestion d'une crise comme quelque chose d'éminemment technique. Mais c'est vrai que quand on travaille dans une entreprise et qu'on doit gérer une crise, à un moment donné, il y a besoin d'impliquer la communication, par exemple, puisqu'il faut communiquer auprès de nos clients, mais peut-être aussi auprès du régulateur si on est dans une activité régulée. Il faut aussi se prémunir d'un... d'un certain nombre d'aspects légaux, parce que si je veux pouvoir capturer des preuves sur l'attaque, et surtout capturer des preuves qui soient bonnes d'un point de vue légal, il faut que je sois préparé à ce genre de choses. Il faut que le management soit au courant, et surtout que la partie business, puisqu'à un moment donné, il y a des décisions à prendre, et des décisions qui peuvent être d'ailleurs assez compliquées, qui vont redémarrer tel business plutôt qu'un autre, donc ça, ça peut être quand même des décisions assez compliquées. Alors justement, il y a une autre question qui me vient à l'esprit, que tu as déjà finalement commencé à un petit peu aborder, c'est quelles sont les compétences requises dans la gestion de crise ? Donc là, on a parlé un petit peu de l'aspect préparatoire, donc des personnes impliquées dans le cas d'une crise. Est-ce que tu pourrais détailler un petit peu plus justement cet aspect-là et de ton point de vue, quelles sont les compétences requises lors de la gestion d'une crise ?
Speaker #1
Pendant la crise elle-même, on va avoir besoin d'un gestionnaire de crise, quelqu'un qui est capable de rallier tous les gens autour de la table, de ramener toutes les compétences qui sont nécessaires. de prendre les documents qui ont été préparés, notamment par la gouvernance, puis de voir l'état de la crise et de mettre les bonnes personnes autour de la table. Chaque crise est différente, donc ce n'est pas toujours les mêmes personnes ou les mêmes compétences qu'on va avoir besoin pour résoudre. Au niveau des compétences techniques, on va être capable, sur la nature des systèmes, d'amener les bonnes personnes qui vont être capables de résoudre ça. On va avoir besoin aussi... généralement d'avoir les avocats tout dépendant du régime légal dans lequel on est. Les États-Unis en ont un, le Canada en a un, l'Europe en a un. Et de toute façon, puis même si on est un peu en dehors du régulier, la RGPD est quand même une portée assez importante. On a des lois américaines et canadiennes aussi qui peuvent influencer énormément la divulgation, les moments où on doit faire les choses. Les avocats sont très importants dans l'histoire. Communication, très important, surtout quand la crise dépasse un peu. peu la portée de l'entreprise, mais comme la divulgation est maintenant rendue quasi obligatoire à peu près dans la plupart des pays occidentaux, on doit annoncer le fait qu'on a été touché, donc on doit répondre publiquement du fait qu'on a été affecté. Donc, une bonne crise, une bonne gestion de communication est importante parce que ça rassure les investisseurs, ça rassure les clients, ça rassure tout le monde dans l'équation. Quand ça l'est moins, c'est un peu plus dommageable pour la marque, pour l'entreprise. Et dans certains cas, ça peut causer des soucis ou des pertes secondaires qui sont associées à ça. Quand c'est mal géré, ça peut endommager énormément la perception de la marque. Donc, ces gens-là doivent être autour. On a ensuite, tu parlais du business aussi, on doit ramener le business. Donc, on doit connaître le bon département business qui est affecté par ce qu'on touche, justement pour avoir une discussion avec eux. Si ça a été correctement préparé en amont. On va être capable de parler très rapidement, ils vont être capables de nous guider et nous amener à prendre les bonnes décisions en tant que gestionnaire de crise. En fait, c'est une espèce de pivot qui va s'assurer que tout le monde joue constamment pour résoudre le problème. Notamment, les gens techniques vont répondre spécifiquement aux requêtes business, parce que c'est un peu ça aussi, l'un est en support à l'autre. Donc, d'avoir cette communication et cette courroie de communication-là entre... Le management business et les techniques justement pour que les bonnes décisions soient prises, les bonnes actions. On parlait de fermer des systèmes. C'est une décision qui est fondamentalement business parce que ça a un impact sur la production, les moyens de production de la compagnie. Et les moyens de production, ça peut être aussi banal qu'un site transactionnel. S'il est indisponible, ça va causer des pertes financières importantes. Donc, ce n'est pas le technique qui prend la décision de fermer les couteaux, même si la décision serait parfaite de le faire comme ça, parce que d'un point de vue résolution de la crise, c'est mieux. D'un point de vue business, ce n'est peut-être pas équivalent par rapport à ce genre de choses-là.
Speaker #0
Justement, ça montre aussi que le gestionnaire de crise peut avoir des problématiques d'indépendance. Ce que je veux dire par là, c'est que si le gestionnaire de crise vient d'indépendance, d'une des grandes familles de l'entreprise, que ce soit du côté plutôt opérationnel, business, ou alors plutôt du côté IT, il risque de prendre des décisions un petit peu pour son camp, et peut-être moins de manière totalement, on va dire, neutre, et vraiment dans la gestion de la crise. Donc c'est important que le gestionnaire de crise soit, on va dire, assez indépendant et assez libre pour prendre des décisions pour le bien de l'entreprise et pas forcément pour faire, entre guillemets, plaisir peut-être à certaines personnes dans l'organisation.
Speaker #1
Absolument, j'ai eu des crises que je ne peux pas parler de détail de celles-ci parce qu'elles sont protégées par des ententes de confidentialité, mais j'ai eu des combats assez épiques entre le business, le IT et la sécurité. Dans ce cas, moi, dans les circonstances, je représentais la sécurité. Moi, mon rôle était plus neutre au sens où j'exposais des faits. C'est là où j'étais comme gestionnaire de crise, où j'étais vraiment le pivot au sens où je l'explique, où je ne faisais, j'étais pas inclus, j'étais pas dans les mêmes départements que les équipes techniques. C'est pas mes équipes qui faisaient les travaux, c'est mes équipes qui faisaient la détection, qui voyaient les éléments, donc qui qualifiaient la menace, qui qualifiaient l'infection, qui qualifiaient les choses. Mais la résolution, la réparation des systèmes était envoyée directement aux équipes TI qui étaient indépendantes. de mon élément et j'avais le business de l'autre côté avec qui je devais interfacer. J'interférais avec les managements. Ça aussi, on parlait de gouvernance, business, tout ce beau monde-là. Le business, ce n'est pas ma chaîne de gestion. Ma chaîne de gestion, elle est ailleurs. Mes états étaient quand même mis à soumettre à ma chaîne de gestion avant. Avant, il y avait la discussion avec le business. Le business, des fois, c'était opposé à certaines des recommandations. Ce n'était pas des décisions que je faisais, c'était des recommandations. parce que je n'étais pas dans un poste de gestion. C'est le gestionnaire qui prend les décisions. Les autres, c'est vraiment comme ça. Mes recommandations ont été envoyées au comité de gestion parce qu'un comité de gestion de crise de manager, donc eux sont habilités à prendre des vraies décisions qui ont des impacts sur le business. Donc, c'était à eux de faire ces éléments-là où j'ai été invité dans ces comités-là pour échanger avec eux. Puis, j'ai droit à beaucoup d'opposition du business, notamment. Mais en même temps, bref, ça a tranché dans les cas où je fais référence, ça a été tranché d'aller dans mes recommandations, puisque les dommages potentiels étaient plus grands que le maintien en ligne en ce moment. Oui, c'est ces forces-là, c'est là où ça dépend où le gestionnaire de crise se trouve. Dans ce cas-ci, j'étais dans un contexte neutre, simili-neutre, disons. On n'est jamais vraiment tout à fait neutre, mais à suffisamment neutre que ce n'était pas le business qui venait influencer, ni le technique qui venait influencer mes recommandations. J'étais exposé, puis on parlait aussi un peu d'analyse de risque. C'est un peu l'outil qui est utilisé pour exposer les choses. C'est un outil de communicateur. Moi, je suis beaucoup, beaucoup dans l'univers de l'analyse de risque. J'aime beaucoup ça, parce que c'est une façon d'exposer à des gens non spécialistes dans le domaine des éléments très importants et les aider à comprendre. et les aider à prendre la bonne décision par rapport au contexte.
Speaker #0
Alors justement, excellent transition vers un point qui est essentiel dans la gestion de crise. Donc déjà, on a compris que les gestionnaires de crise, c'était un métier à part entière. Ce n'est quand même pas quelque chose, on va dire que c'est un sport de combat comme tout le monde, gestionnaire de crise, manifestement. Et donc, tu as fait une transition parfaite vers un élément qui est essentiel dans toute cette histoire, c'est qu'est-ce qu'on fait pour anticiper ? Qu'est-ce qu'on doit faire ? pour préparer une crise ? Est-ce qu'il y a des méthodes déjà éprouvées ? Il y a des grands classiques. Est-ce que le rôle de l'assurance aussi, ça peut aussi avoir une influence ? Bien gérer l'aspect assurance en amont peut être quelque chose d'important. Donc selon toi, est-ce que tu peux nous éclairer un petit peu sur l'aspect anticipé ? Quels sont les must-haves qu'on doit mettre en place dans l'entreprise ?
Speaker #1
Oui, absolument. L'assurance est le nouvel outil. Je ne sais pas le contexte européen, je sais que le contexte canadien est très favorable à ça, et américain aussi, je crois. L'assurance permet justement de mettre un bridge course en place rapidement, mettre des experts en place pour les entreprises qui n'ont pas cette capacité-là de le faire eux-mêmes, donc qui n'ont pas la compétence dans leur entreprise. Donc, vous êtes en capacité d'être accompagné, vous êtes accompagné par des avocats aussi. Ça a des avantages très, très importants d'avoir. D'avoir une assurance cyber, il faut la magasiner. Ce n'est plus comme ça a déjà été avant. Ça coûtait peu d'argent et on avait une bonne assurance. Les compagnies d'assurance ont constaté que les dommages monétaires associés à une crise sont énormes. Les primes ont augmenté énormément avec le temps. Ils vont émettre des exigences de préparatoire. La compagnie d'assurance va nous obliger à un certain seuil de préparation technique. à un certain seuil de préparation organisationnelle, notamment d'avoir un plan de crise, d'avoir des plans de communication. Encore mieux s'il y a des simulations qui sont faites, soit en tabletop, c'est-à-dire juste des simulations artificielles ou des vrais scénarios plus sophistiqués où on simule vraiment des éléments avec des faux courriels, des faux appels téléphoniques, des fausses nouvelles, des fausses informations sur les médias, des faux médias sociaux. justement qu'on envoie l'information à un comité de crise qu'on met en place. Donc, on teste, mais il faut aussi, ça permet de tester, comme je parlais de la route du NIST tantôt, les éléments, les cinq éléments sont très importants. Ça fait que si on a couvert dans les cinq éléments, la simulation va venir nous permettre de voir où on est fort, où on l'est moins. La simulation de crise, je la trouve intéressante, puisqu'elle va permettre de découvrir les personnalités des gens dans l'entreprise. Donc, on va être capable de voir comment les gens réagissent en état de crise. Et ça peut être très étonnant de voir comment les gens réagissent en état de crise. J'ai vu de tout dans ma carrière. C'est très, très drôle. Mais ça permet justement de mettre les bonnes personnes aux bons endroits. Parce que si on ne le fait pas, rendu dans la crise, on est en urgence, on n'a pas le temps de réfléchir. Puis c'est un élément important en termes de préparation. Puis c'est très important de se préparer. Je parle sur le NIST comme étant des points parce que la roue est vraiment établie comme ça, d'autant de connaître ses actifs, mettre les moyens, protéger, se détecter. contenir la crise et revenir à l'état normal, qui est rétablir la dernière chose. Donc, on les couvre, les aspects-là, mais quand ensuite on a l'aspect humain qui est là-dedans, lui, il est moins bien maîtrisé, il est moins bien décrit. Donc, on est capable de le tester correctement et de voir si les personnalités, parce que quand on arrive dans la crise, on n'a plus le temps de réfléchir et de cet élément-là. Puis, ceux qui ne gèrent pas bien leur stress, notamment, ce que j'avais vu dernièrement, c'est qu'on perd 80 de notre capacité cognitive. en état de stress. C'est énorme, 80%.
Speaker #0
C'est sûr qu'on va prendre que de mauvaises décisions. Déjà là, il faudra des gens qui sont capables de garder leur calme, donc garder presque 100% de leur capacité cognitive, c'est déjà très important, et d'être capable de tester ces éléments-là, de créer des choses où on n'a pas besoin de réfléchir, parce que quand on est en urgence, on n'a pas le temps de méditer sur les sens de l'univers, de dire que notre gouvernance n'est pas bonne, puis on a réservé ma gouvernance, c'est pas le temps de faire ça. Le gouvernement aurait dû arriver avant, mettre les choses en place, s'assurer qu'il mette les leviers et les tester. que si les différents morceaux collent bien ensemble, puisque la théorie, des fois, ne rejoint pas la pratique.
Speaker #1
Alors, justement, tu as souligné l'intérêt, enfin, l'importance de la préparation de tout ça, puisque finalement, tout doit être géré en amont, et le moment où la crise se déclenche, il faut pouvoir dérouler, entre guillemets, le plan sans trop y réfléchir. Moi, j'ai coutume de dire qu'il faut se préparer au pire quand tout va bien pour se surpasser quand tout va mal. Donc, vraiment... L'idée est d'automatiser, enfin d'automatiser, de rendre les choses les plus simples possibles au moment de la crise, parce qu'effectivement, quand on a une crise, c'est pas à ce moment-là qu'on va commencer à révolutionner les choses, et il vaut mieux se simplifier la vie au maximum.
Speaker #0
Tout à fait, je vais juste rebondir là-dessus, parce que les corps organisés, on parle de la police, l'armée notamment, ne font que ça, les pompiers ne font que ça. Eux, leur travail, c'est de toujours se préparer à une guerre, se préparer à un crime, se préparer à un incendie. Donc, ils sont énormément dans cette réflexion-là. Donc, eux ne font que ça. Puis, c'est des spécialistes en réponse à des crises parce que c'est ça leur travail de faire essentiellement. Donc, on est dans cet univers-là. Puis, il y a tout l'aspect aussi hors-marceau quand on va aller sur combat. Le combat aussi, c'est normalement pratiquer énormément les mouvements pour qu'ils soient imprimés et qu'ils deviennent automatiques. On ne réfléchit plus à l'exécution du mouvement. On ne pense pas, ceux qui sont spécialistes en hors-marceau, on ne réfléchit pas les mouvements qu'on fait. Tout est... spontané, tout se fait dans le moment.
Speaker #2
Bonjour les enfants ! Aujourd'hui, Capitaine Kung Fu va vous montrer une prise redoutable qu'il a lui-même créée. J'ai nommé la prise du dragon. La prise du dragon consiste à immobiliser l'adversaire en saisissant son nez avec les doigts de pied. Une fois bien coincé entre les orteils, vous devez faire pivoter le talon vers le haut, ce qui fera cruncher le nez de l'opposant. Vous voyez, c'est simple, c'est une attaque en deux temps. Action ! Réaction ! Abonnez-vous à des questions.
Speaker #0
Parce que c'est le fait qu'il a été imprimé dans notre tête énormément par la presse. C'est très important de se pratiquer justement parce qu'on va avoir ces réflexes-là. ces habiletés-là ou cette intuition-là qui va émerger de cette préparation, cette pratique, cette internalisation de ces choses-là.
Speaker #1
Alors justement, c'est assez marrant que tu fasses cette référence aux arts martiaux, puisque dans un art martial qu'on appelle le kendo, donc c'est le sabre japonais, il y a un concept qui s'appelle le kikentaichi, qui regroupe... Plusieurs aspects importants, le qui, l'esprit, la voix, Ken, le sabre et le mouvement, les trois choses au même moment, c'est-à-dire le fait de pouvoir concentrer les trois au même moment. C'est un petit peu ce que tu viens de dire en filigrane par rapport à la crise. Donc l'esprit avec la gouvernance qui permet d'anticiper les choses, le Ken avec le sabre, c'est-à-dire plutôt l'action et le troisième élément, le mouvement. Tout ça doit être quasiment atomique pour pouvoir gérer la crise le plus efficacement possible. Tu veux peut-être rajouter un dernier mot pour la fin ?
Speaker #0
Non, mais je pense qu'on a fait un bon tour par rapport à ce genre de choses-là. Puis c'est intéressant parce que j'aime beaucoup ces conversations. Ça nous amène dans des chemins inattendus, notamment les arts berceaux, en l'occurrence. Justement, de voir comme ces éléments-là sont importants, parce que c'est simple et pas simple la gestion de crise. Il faut se préparer, c'est sûr. toujours, toujours. C'est là où la gouvernance joue un rôle très, très, très important, même si à certains égards, les gens pensent que c'est inutile. Quand on est dans, si on parle des armes martiaux, si on n'est pas préparé, le combat arrive, ça va faire plus mal que si on s'était préparé correctement avant, même si ça semble futile ou ça semble être non nécessaire. Surtout dans un univers où on est très cyber, tout est là-dessus, on n'a plus le choix maintenant. C'est inévitable, donc cette préparation-là est essentielle. Basez-vous sur un cadre de référence. Moi, je mets d'abord le NIST parce que je trouve qu'il est bien fait pour ce genre de choses-là. Il en existe d'autres. L'NC en France en a beaucoup de documentations très intéressantes qu'elle rend publiques aussi, qui est très utile. Et au niveau américain, le NIST aussi fait la même chose. Si vous êtes plus versé en anglais, il y a des éléments très intéressants à aller tirer de ces documents-là.
Speaker #1
Nicolas, Loïc, je te remercie. En tout cas, ma grand-mère te fait un gros bisou. Elle a une pensée aussi pour Ausha, qui malheureusement n'a pas pu nous rejoindre pour des raisons de santé, mais on la salue et on espère que c'est mieux. Comme je le dis très souvent, pour certains, la cybersécurité est un enjeu de vie ou de mort. C'est bien plus sérieux que ça.

Embed