A l’occasion du lancement du mois européen de la cybersécurité et pour les Assises de la Sécurité (du 13 au 16 octobre 2021), le cabinet Wavestone dévoile la nouvelle édition de son benchmark des incidents de cybersécurité. Pour cela, le cabinet a passé en revue les interventions de son équipe de gestion de crise le CERT-Wavestone entre septembre 2020 et octobre 2021.

Cela représente 60 incidents de sécurité majeurs ayant mené à l’interruption d’activités ou à une compromission avancée du SI et ce, dans des secteurs diversifiés : industrie, secteur public, agroalimentaire, technologies de l’information, finance, etc. L’objectif de ce benchmark est d’éclairer et de montrer l’évolution de l’état de la menace cyber en France, tout en partageant les clés pour une meilleure anticipation et réaction.

« Les groupes de cybercriminels ont réussi leur transformation numérique et leur organisation en plateforme a permis de massifier et rendre plus efficace et rapide leur attaque » Gérôme Billois, Partner Cybersécurité

Au-delà du simple blocage du SI, la combinaison avec un vol de données devient de plus en plus présente. En effet, 30% des attaques ransomwares observées combinent le blocage du SI et le vol de données, ce dernier constituant un levier supplémentaire pour obtenir des gains financiers.

Des attaques ransomwares plus rapides et plus ciblées

Nous constatons une réduction du temps moyen entre l’accès initial et le déploiement du ransomware dans le système avec un minimum de 3 jours pour l’attaque la plus rapide et une moyenne de 25 jours sur les cas gérés. Les attaquants sont de plus en plus déterminés à nuire à leurs victimes. En effet, ils vont maintenant jusqu’à cibler et détruire les mécanismes de sauvegarde pour forcer le paiement de la rançon (21% des cas).

Nous constatons également que dans 90% des cas des données ont été perdues irrémédiablement. A noter, nous observons une baisse significative du paiement des rançons cette année (de 20% l’année précédente à 5% des cas). De multiples facteurs peuvent expliquer cette baisse, entre la meilleure compréhension du faible intérêt à payer (le paiement de la rançon n’accélérant en rien le temps de résolution de la crise), les actions de sensibilisation et de pression sur les intermédiaires de paiements par les différentes autorités.

D’autres types d’attaques sévissent toujours en toile de fond

La menace ransomware ne doit pas faire oublier les attaques de vols de données, de fraude et le gain de capacité d’attaques qui restent bien présentes (25%) même si celles-ci sont moins fréquentes.

En ce qui concerne les canaux d’accès pour s’introduire dans les systèmes, les principales portes d’entrée restent l’utilisation de comptes valides (23%), les emails frauduleux, phishing pour obtenir des informations (20%) et les services d’accès distants en utilisant des failles de sécurité ou des défauts de configuration (18%).

Comment ne pas être une cible facile ? Quelques conseils du CERT-W

56% des victimes n’avaient pas anticipé être la cible potentielle d’une cyberattaque. Elles n’étaient ni dotées d’un contrat de réponse à incident ni d’une cyber assurance et 42% des victimes n’avaient pas réfléchi à leur résilience en cas d’attaque.

« Même si des actions diplomatiques et judiciaires ont permis d’affaiblir l’écosystème cybercriminels, il ne s’agit pas de stopper les efforts, il faut se préparer dès maintenant grâce à des actions simples à mettre en place. » Nicolas Gauchard, Responsable du CERT Wavestone

Les actions les plus importantes sont connues :

• Identifier et protéger les systèmes et les données les plus critiques sans oublier les systèmes techniques comme l’Active Directory
• Améliorer l’efficacité de la détection des attaques avec un service spécialisé 24/7
• Savoir gérer une crise majeure en s’entrainant grâce à des exercices de gestion de crise
• Renforcer la sécurité des sauvegardes et s’entrainer à reconstruire en urgence
• Souscrire à une cyberassurance et un contrat auprès de service spécialisé en cas de crise

Cet article Cyberattaques en France : le ransomware, menace numéro 1 est apparu en premier sur RiskInsight.

Alors que le fonctionnement des entreprises doit s’avérer plus résilient que jamais, l’augmentation globale du télétravail devient un défi majeur pour les équipes sécurité ! L’ouverture massive des connexions à distance et l’exposition accrue d’applications vers l’extérieur créent des opportunités pour les cybercriminels. Dans ce climat d’urgence et de stress, l’ingénierie sociale s’en retrouve également facilitée. Enfin, il s’ajoute à ces éléments les difficultés et tracas du quotidien, qui freinent la réactivité des équipes chargées de superviser les systèmes et d’intervenir en cas d’incident.

Ainsi, nous tenions en particulier à partager la campagne de sensibilisation que nous avons créé dans ce contexte. Retrouvez ci-dessous, la chronique « Martine fait du télétravail pendant le COVID-19 » !

Saison 1

 

Hors-série « Chiffrer un document »

Saison 2

Hors-série « Détecter le phishing »

Episode final

Cet article [COVID-19] Martine fait du télétravail ! est apparu en premier sur RiskInsight.

Adresser le besoin de savoir et le besoin de rassurance

Soutenue par l’augmentation du nombre d’incidents et d’attaques sur les systèmes d’information, la crise cyber s’est installée dans l’espace public. La démocratisation de son champ lexical est ainsi un indicateur marquant de la place médiatique qu’a pris ce sujet. Fuite de données, ransomware, hacktiviste, DDoS, phishing, lanceur d’alerte, ces mots ont quitté les salles serveurs et les blogs spécialisés pour se faire une place dans les colonnes des journaux nationaux et dans le vocabulaire de la plupart des français. La crise cyber n’est plus un simple incident qualité silencieusement traité en interne et est devenue un événement qui suscite l’intérêt de tous les publics entraînant mécaniquement dans son sillage une crise de nature communicationnelle. Cependant, si la popularité nouvelle de cette thématique se décline logiquement dans l’accroissement de la couverture de ces crises, d’autres éléments justifient l’augmentation significative des sollicitations, qu’elles soient internes ou externes à l’organisation en crise.

Lorsque la crise cyber a pour conséquence la fuite d’une donnée par exemple, ce n’est plus seulement le sujet de la crise qui est médiatique, mais son objet même. De fait, lorsque la donnée fuite ou est volée, sa nature intrigue et suscite la curiosité, qu’il s’agisse d’une donnée personnelle, d’un secret d’état ou simplement d’une conversation privée. Cette mécanique engendre logiquement pour de nombreux publics tant le besoin de connaître l’inconnu, que de s’assurer de ne pas en être la victime. Ces deux besoins primaires de curiosité et de réassurance constituent les moteurs essentiels de la couverture médiatique et plus généralement incite le consommateur d’information, le partenaire, le client à combler ce besoin et à chercher à obtenir cette information. La même logique suppose que la source de cette information, en l’occurrence, le détenteur légitime de cette donnée adresse ces requêtes et communique sur l’incident.

Que ce soient des évènements stratégiques tels que des élections présidentielles ou des conversations privées du quotidiens via des médias digitaux qui sont compromis, l’effet médiatique de la crise se voit amplifié par le caractère extraordinaire de l’événement. Cela résulte tant de sa supposée impossibilité que de la confiance que le public lui confère. La rupture soudaine de la confiance placée en ces « institutions » d’importances majeures, érigées en bonne place dans une version 2.0 de la pyramide de Maslow, génère alors elle aussi l’intérêt et le besoin de savoir, traduits dans une explosion du nombre des requêtes et des demandes d’information à l’organisation en crise.

figure 1. Exemple de pyramide de Maslow

Guerre de communication entre l’attaquant et le communicant

La communication de crise cyber est ainsi un exercice particulier de par le sujet qu’elle traite, mais aussi de par la nature des acteurs en présence. De fait, quand des sommes incommensurables d’argent sont dérobées sans coup férir ou que des institutions tombent sous les attaques d’hacktivistes « citoyens », l’opinion voue une sympathie relative à l’encontre du héros moderne qu’est le pirate romanesque, le hacker hors la loi, le justicier anonyme.

Ce personnage public, conscient de son image et des codes du monde communicationnel, saura bien entendu se jouer de cet environnement. Ainsi, les méthodes mêmes des attaquants renforcent la place centrale de la communication dans la gestion des crises cyber. Les attaques aux motifs politiques, idéologiques et militants ne se limitent plus à la compromission d’un système mais envoient un message dont la publicité doit être maximale.

Cette appropriation manifeste des méthodes propres aux activistes s’illustre de plusieurs manières : Annonce d’un DDoS en amont, défacement d’un site internet, publication au fur et à mesure de preuves d’un vol sur les réseaux sociaux, diffusion d’informations telles que des échanges de conversations mails privés compromettants… Si les attaquants ont appris à maximiser l’impact réputationnel des attaques, ils utilisent aussi ce levier afin de perturber la gestion de crise de leur cible et générer un bruit qui leur fera gagner du temps une fois leur attaque découverte. Alors qu’un des facteurs clefs du succès d’une gestion de crise est la reprise en main du rythme de celle-ci et de la publication de nouveaux éléments, la crise cyber laisse inéluctablement ce pouvoir à un tiers malveillant.

Ce tiers peut aussi, si la compromission est profonde, altérer les moyens de communication de l’entreprise. Alors qu’elle tente de répondre à la nécessité de s’exprimer urgemment et largement, cette entrave peut lourdement affecter la fluidité de sa communication. Sans messagerie mail, comment diffuser un message à ses employés ? Sans réseaux sociaux, comment être au plus proche de sa communauté et répondre à ses questions ?

Restaurer le rapport de confiance par la communication

Fasciné par les attaquants et l’ampleur des attaques, le grand public n’en demeure pas moins intransigeant à une heure où la confiance et la donnée constituent la valeur même d’une entreprise. Intrinsèquement, la préservation de la première suppose la protection de la seconde. Lorsque l’organisation faillit à cet objectif, la communication de crise est seule en mesure de restaurer ce rapport de confiance duquel dépend l’avenir de la relation avec clients et partenaires qui continueront ou non à confier la garde de leurs données ou la gestion de leurs outils, ainsi que leurs services à une organisation.

Cette exigence de confiance entraine par ailleurs, lorsqu’elle est brisée, la recherche et la désignation rapide d’un responsable. Bien que la réalité des faits soit bien plus complexe, le grand public aura aisément tendance à supposer que les attaques informatiques sont rendues possibles par l’exploitation d’une vulnérabilité et donc d’une faute.

Une fuite de données, n’est ainsi pas uniquement perçue comme une attaque perpétuée par un tiers malintentionné, mais aussi comme une négligence dans la défense de l’entreprise victime du vol. Cette dernière se voit automatiquement désignée comme responsable et sa réputation en est logiquement impactée. Alors même que les attaquants se professionnalisent, que les attaques se complexifient et que l’absence de vulnérabilité est un mythe, la cyberattaque est aujourd’hui un sujet de gestion et de communication de crise à part entière. Du fait de son impact potentiel sur le quotidien du grand public et donc sa nature médiatique, elle force la victime, considérée comme co-responsable de sa perte, à s’exprimer.

Réaliser l’effort de simplicité pour mieux communiquer face à la crise

Au-delà de la définition d’une stratégie claire, partagée et opportune, la gestion de crise cyber avec son rythme particulier et les entraves causées par les attaquants doit être accompagnée d’une communication particulière qui suppose enfin un dernier travail : l’effort de simplicité.

Face à la crise cyber et comme pour tout type de crise, communiquer suppose d’être en mesure de traduire les évènements subis et les actions correctives menées en impacts clairs et de porter ce discours de façon cohérente. Bien entendu, la complexité des termes et des rouages d’une crise cyber rend cet exercice délicat et constitue une autre spécificité à prendre en considération.

Dans ce cadre, par sa capacité à traduire la cause technique en conséquence métier et plus généralement par son pouvoir vulgarisateur, le rôle du RSSI et de ses équipes est central. En situation nominale comme en temps de crise, la mission du RSSI est de porter cet effort de traduction des faits et des composantes techniques non seulement en impacts métiers mais en impacts compréhensibles et convaincants pour des publics diversifiés et non experts. Il ou elle peut ainsi être amené à concevoir, voire à porter les éléments de langage de communication de crise de la même manière qu’un représentant des ressources humaines sera exposé lors d’une crise sociale.

Sans présupposer de son exposition au journal télévisé d’une grande chaine de télévision, la parole des experts SI sera attendue sur les réseaux sociaux, sur les réseaux professionnels, dans la presse spécialisée ou en interne. En communication de crise, chacun est responsable de tous et tout un chacun doit s’y préparer.

Ainsi, le sujet cyber porte une puissance médiatique qui lui est propre ; dont la conséquence immédiate est l’augmentation considérable des attentes et des demandes d’informer émanant des différentes directions d’une organisation ainsi que du public externe. Si l’imminence de l’occurrence d’un incident SI implique une défense spécifique et une planification de la continuité des opérations, elle exige aussi l’anticipation de ces requêtes et une préparation active à cet effort global de communication.

Cet article La crise cyber, un sujet médiatique à part entière est apparu en premier sur RiskInsight.

Muscler la gestion de crise

Les crises cyber sont des crises particulières : souvent longues (plusieurs semaines), parfois difficiles à cerner (qu’a pu faire l’attaquant ? depuis combien de temps ? quels sont les impacts ?) et impliquant des parties externes elles-mêmes souvent peu préparées sur ce sujet (avocats, huissiers, autorités, fournisseurs, voire les clients…). Il est donc nécessaire d’ajuster les dispositifs existants qui n’ont pas été conçus pour intégrer la dimension cyber.

Acteur opérationnel de la gestion de la crise cyber, la DSI ne doit pas être sur-mobilisée sur l’investigation et la défense au détriment de la production et du secours. Cet aspect constitue un point d’anticipation important à ne pas négliger. Il s’agira donc d’identifier clairement les équipes à mobiliser sur la crise et d’organiser les interventions parallèles d’investigation et de construction de plan de défense.

Au-delà de l’aspect organisationnel, il faudra s’assurer de disposer également de l’outillage d’investigation (cartographie, recherche de signature de l’attaque, SI de gestion de crise indépendant, capacité d’analyse de malware inconnu…), d’assainissement (capacité de déploiement rapide de correctifs ou de « vaccin », isolation en urgence de portions non touchées du SI, isolation réseau…) et de reconstruction (accès rapide aux sauvegardes, accès aux documentations minimum de reconstruction, support des fournisseurs clés sur le SI, capacité à réinstaller massivement des postes de travail…) requis pour comprendre la position de l’attaquant, stopper sa propagation et faire repartir au plus vite l’activité.

La définition d’un guide de gestion de crise, définissant les étapes structurantes, les responsabilités macroscopiques et les points de clés de décision sera un plus. Et parce qu’il est primordial de s’exercer en amont afin d’être prêt le jour où il faut faire face à la crise, la réalisation d’exercice de crise sera un bon révélateur de la situation réelle.

Repenser les dispositifs de continuité

Les dispositifs de continuité doivent également évoluer pour s’adapter aux menaces cyber. Les solutions possibles sont nombreuses et peuvent toucher tous les types de dispositifs de continuité. Le plan de reprise utilisateur peut intégrer par exemple la mise à disposition de clés USB avec un système alternatif. Les collaborateurs pourraient l’utiliser en cas de destruction logique de leur poste de travail.

Certains établissements ont fait le choix de provisionner des volumes de postes de travail de remplacement directement avec leurs fournisseurs de matériel afin de les délivrer rapidement en cas de destruction physique.

Le plan de continuité informatique peut inclure de nouvelles solutions pour être efficace en cas de cyberattaque. La plus emblématique vise à construire des chaînes applicatives alternatives. Il s’agit de « dupliquer » une application sans utiliser les mêmes logiciels, systèmes d’exploitation et équipes de production. C’est une solution extrême, très coûteuse et difficile à maintenir, mais qui est envisagée pour certaines applications critiques dans le monde de la finance (notamment les infrastructures de paiement à caractère systémique).

D’autres solutions moins complexes sont envisagées. Il s’agit par exemple de l’ajout de contrôle fonctionnel d’intégrité dans le processus métier. Son concept repose sur la réalisation de contrôles réguliers, à différents niveaux et à différents endroits dans la chaîne applicative (« multi-level controls »). Ceci permet de détecter rapidement des attaques qui toucheraient par exemple les couches techniques (modification d’une valeur directement dans une base de données) sans avoir été réalisées par les actions métier classiques (via les interfaces graphiques). Ces mécanismes peuvent aussi s’appliquer aux systèmes d’infrastructures, par exemple en réconciliant les tickets de demande de création de compte d’administration avec le nombre de comptes réellement dans le système.

D’un niveau de complexité intermédiaire, il est possible d’envisager la définition de zone d’isolation système et réseau (« floodgate ») que l’on peut activer en cas d’attaques et qui vont isoler les systèmes les plus sensibles du reste du SI. Le SI industriel pourra, à ce titre, constituer à lui seul, une de ces zones d’isolation vis-à-vis du reste du SI.

Ces évolutions, souvent majeures, doivent s’inscrire dans une revue des stratégies de secours existantes afin d’évaluer leur vulnérabilité et l’intérêt de déployer des nouvelles solutions de cyber-résilience, en particulier sur les systèmes les plus critiques. L’évolution des Business Impact Analysis (BIA) pour inclure cette dimension est certainement une première étape clé.

Sans cybersécurité, la cyber-résilience n’est rien

Implémenter ces nouvelles mesures de cyber-résilience nécessite des efforts importants. Des efforts qui seront vains si ces solutions de secours et les systèmes nominaux ne sont pas eux-mêmes déjà sécurisés correctement et surveillés avec attention. Le RSSI est l’acteur clé pour faire aboutir ces démarches souvent entamées mais rarement finalisées. L’aide du Risk Manager (RM) – ou, s’il est désigné, son Responsable du Plan de Continuité d’Activité (RPCA) – sera alors un plus. Il est aujourd’hui communément acquis qu’il est impossible de sécuriser des systèmes à 100%, il faut donc accepter la probabilité d’occurrence d’une attaque et c’est à ce moment-là que le RM ou son RPCA prendra tout son rôle.

Cet article est issu de notre focus « Cyber-résilience : plier pour ne pas rompre« .

Cet article Cyber-résilience : plier pour ne pas rompre (2/2) est apparu en premier sur RiskInsight.

Face à une cyberattaque majeure, qu’elle soit destructive ou qu’elle entraîne une perte de confiance dans les systèmes clés, le premier réflexe pour une majorité d’entreprises est d’activer le plan de continuité d’activité (PCA). Celui-ci est un élément majeur de la stratégie de résilience des organisations ; afin d’en assurer la survie lorsque surviennent des sinistres d’ampleur entraînant l’indisponibilité de ressources informatiques, d’infrastructures de communication, d’immeubles voire de collaborateurs.

Or les cyberattaques majeures, destructives comme Wannacry ou NotPetya ou provoquant une perte de confiance dans les infrastructures (réseau, gestion des accès, gestion du parc…) comme les attaques ciblées en profondeur (APT), n’ont pas été prises en compte lors de l’élaboration de la majorité des PCA. Ces derniers, focalisés sur un enjeu de disponibilité, n’appréhendent pas les problématiques de la destruction simultanée et de la perte de confiance dans le SI induites par les cyberattaques.

En effet, les dispositifs de continuité du SI, le plus souvent liés aux ressources qu’ils protègent, sont également affectés par ces attaques. Depuis plus de dix ans, les dispositifs de continuité (utilisateurs ou informatiques) ont adopté les principes de mutualisation des infrastructures et de secours « à chaud » à la fois pour répondre aux exigences de reprise rapide et d’une meilleure exploitabilité. De fait, cette « proximité » entre le SI nominal et son secours rend vulnérables les dispositifs de continuité aux cyberattaques.

Quelles vulnérabilités pour les dispositifs de continuité ?

À titre d’exemple, lors d’une intervention de crise suite à l’attaque NotPetya, l’idée d’utiliser les postes de secours présents sur le site de repli a très rapidement été évoquée. Malheureusement ceux-ci avaient été détruits de la même manière que les sites nominaux car ils partageaient les mêmes systèmes de gestion de parcs et les mêmes vulnérabilités. Les investissements et les efforts investis dans les dispositifs de continuité ont semblé à ce moment très vains.

Enfin, les sauvegardes, établies sur une base souvent quotidienne, constituent pour la plupart des organisations le dispositif de dernier recours pour reconstruire le SI.

Malheureusement, en cas de compromission en profondeur, du fait de l’antériorité de l’intrusion (souvent plusieurs centaines de jours avant sa détection), ces sauvegardes embarquent de fait les éléments malveillants : malwares, camps de base, mais aussi les modifications déjà opérées par les attaquants. De plus, la continuité en tant que telle des systèmes de sauvegarde est souvent négligée. Lors de gestion de crise sur NotPetya, les serveurs gérant les sauvegardes ont eux-mêmes été détruits. Les restaurer a pris plusieurs jours vu leur complexité et leur imbrication dans le SI (nécessité de disposer d’un ActiveDirectory pour lancer des restaurations alors que la sauvegarde de l’AD était nécessaire pour le reconstruire, reconstruction de l’index des bandes de sauvegardes détruit avec le reste…).

S’agissant des SI industriels, les constats sont tout aussi manifestes. Les systèmes numériques industriels sont résilients à des pannes techniques ou des incidents mécaniques anticipés. En revanche, ils n’ont que rarement intégré, dès leur conception, les potentialités d’une malveillance humaine et ne disposent souvent pas de mécanismes de sécurité avancés. Du reste, leur cycle de vie long (plusieurs dizaines d’années) les expose à l’exploitation de vulnérabilités parfois anciennes. Enfin l’indépendance des chaînes de contrôle (Systèmes Instrumentés de Sécurité, cf. encadré ci-après) vis-à- vis des systèmes numériques qu’elles supervisent n’est pas toujours appliquée.

Des scénarios d’attaques majeures illustrés par des attaques récentes

La destruction logique ou l’indisponibilité d’une grande partie du système d’information.

Concrétisé par les attaques de vrai-faux rançongiciels Wannacry et NotPetya, ce type d’attaque entraîne une indisponibilité massive du fait du chiffrement des fichiers de données et/ou du système d’exploitation. Les sociétés touchées par ce type d’attaque (Merck, Maersk, Saint Gobain, Fedex… mais aussi Sony Pictures ou Saudi Aramco) ont perdu jusqu’à plus de 95% de leurs systèmes d’information (des dizaines de milliers d’ordinateurs et de serveurs) en un délai souvent inférieur à 1h. La situation au démarrage de la crise est très difficile car il n’y a plus aucun moyen de communication et d’échange au sein de l’entreprise, y compris au sein de la DSI. Les victimes ont communiqué sur des pertes de plusieurs centaines de millions d’euros suite à ces attaques.

La compromission et la perte de confiance dans le système d’information

Il s’agit d’attaques ciblées qui ne remettent en pas en cause le bon fonctionnement du système mais qui visent à donner aux attaquants l’accès à l’ensemble des systèmes de l’entreprise (messagerie, fichiers, applications métiers…), leur permettent d’usurper l’identité de n’importe quel employé et de réaliser des actions en leur nom. Les attaquants peuvent ainsi exfiltrer tout type de données ou réaliser des actions métiers demandant plusieurs validations successives. Ces attaques ont touché de très nombreuses entreprises dans tous les secteurs avec comme conséquences des fraudes massives, comme celles ayant touché la banque du Bangladesh, ou des vols de données financières et de paiements comme celles ayant touchés plusieurs groupes de distribution aux Etats-Unis dont Target ou encore Home Depot. La situation au démarrage de la crise est complexe en raison d’une conjugaison de plusieurs éléments aggravants : perte de confiance dans le système d’information et flou grandissant sur les actions et objectifs. Il s’agit alors d’investiguer discrètement jusqu’à pouvoir déloger l’attaquant et reconstruire un système sain. Les victimes touchées par ces attaques ont fait état d’impacts financiers de plusieurs centaines de millions d’euros.

Cet article est issu de notre focus « Cyber-résilience : plier pour ne pas rompre« .

Cet article Cyber-résilience : plier pour ne pas rompre (1/2) est apparu en premier sur RiskInsight.

Face à la multiplicité des événements, les entreprises prennent de plus en plus conscience des enjeux de la gestion de crise et certaines font le choix d’investir dans un outillage dédié. Ces outils permettent d’industrialiser la gestion de crise via de nombreuses fonctionnalités.

Pour autant, avant de s’outiller, l’entreprise doit au préalable avoir mis en place un dispositif de gestion de crise préparé, testé et viable dans la durée, l’outil permettra uniquement d’accompagner ce processus, mais il ne doit pas être utilisé dans le but de le définir sous peine de prendre de mauvaises orientations.

Le choix d’un outil peut s’avérer parfois compliqué. De nombreuses solutions existent, souvent complexes et peu ou mal utilisées. Comment choisir ? Voici quelques conseils qui vous guideront dans votre état des lieux pour vous permettre de définir au mieux votre besoin et de cibler les critères d’évaluation.

Définir ses besoins en matière d’outillage…

La gestion de crise un processus dynamique qui évolue rapidement et qui peut être définie selon 3 phases temporelles :

• La phase d’alerte : détection d’une situation de crise et remontée de l’information aux instances décisionnelles ;
• La phase de pilotage : évaluation de la situation, mobilisation de la cellule de crise en cas de crise avérée, gestion de la crise;
• La phase de sortie de crise : évaluation de l’expérience vécue pour permettre à la cellule de crise de capitaliser les acquis et comprendre les défaillances.

Au fil des années, différents types d’outils ont émergé permettant d’accompagner les organisations sur chacune de ces phases. Le marché s’est initialement développé dans les années 2000 aux États-Unis, sous l’impulsion de réglementations fédérales, avec des acteurs connus tels que Everbridge, AtHoc (racheté par Blackberry en 2015), Mir3, ou encore RSA Archer. En Europe le marché se développe de plus en plus avec Fact24 en Allemagne, Iremos en France, et on voit de plus en plus apparaitre sur le marché des outils d’alerte, surtout depuis les derniers attentats, des acteurs de télémarketing ou de relation client qui ont su adapter leurs plateformes à la transmission d’alertes (avec par exemple : Retarus et Gedicom).

Certaines de ces éditeurs proposent des solutions “tout-en-un” intégrant sous forme de modules les fonctionnalités suivantes :

• Veille : Un dispositif de veille permet à l’entreprise d’être informé en temps réel sur la survenue d’événements de toute nature susceptible d’affecter ses sites (alertes météo), ses actifs (cyber veille), ou encore son image (veille médiatique). La prise en compte des signes avant-coureurs d’une crise fait partie intégrante de la phase de veille et permet d’apporter aux cellules décisionnelles une vision globale de la situation.

• Remontée d’incidents : Les informations, souvent incomplètes, remontent de manière désordonnées et rendent d’autant plus difficile la compréhension de la situation, ce qui se répercute au moment des prises de décisions. Certains outils de gestion de crise proposent pour cela un module dédié à la déclaration d’incident. Les collaborateurs peuvent déclarer en quelques clics un événement sur des formulaires pré formatés, ce qui permet ainsi d’automatiser et centraliser la remontée d’incidents, d’accéder à l’information en temps réel et d’alerter automatiquement les bonnes personnes en fonction de la nature et de la gravité de l’événement.

• Coordination :

 – Mobilisation de(s) cellule(s) de crise: Les outils de coordination permettent à l’entreprise de définir des schémas d’alertes avec le contenu du message à envoyer selon la nature de la crise, la liste les personnes à contacter avec l’éventuelle escalade en cas de non réponse et les moyens de communications à utiliser (SMS, mail, serveur vocal interactif, etc…).

– Espace d’échange et de communication : Le recours à une cellule de crise virtuelle est utilisé pour permettre le rassemblement virtuel des membres de la cellule de crise où qu’ils soient dans le monde et ainsi optimiser la rapidité des échanges et le partage de l’information au bon moment.

– Suivi des événements : Les éditeurs proposent des modules de suivi des événements permettant la tenue d’échanges entre plusieurs cellules de crise constituées pour le traitement d’un même événement. Ces solutions proposent également de centraliser la documentation nécessaire à la gestion de crise (BIA, procédures, annuaires,…).

• Alerte en masse : Dans certains types de crise (incendie, inondation, attentat, etc…), l’entreprise doit pouvoir alerter largement et rapidement une population plus ou moins importante (collaborateurs, clients, fournisseurs, etc.). Pour se faire, il est possible de faire appel à un outil d’alerte en masse, aussi appelé « EMNS » (pour Emergency Mass Notification System). Comme pour la mobilisation de la cellule de crise, un système d’alerte va permettre de mettre en place des scénarios d’urgences afin d’alerter des milliers de personnes dans des délais très courts.

Avant un lancement de projet, ces fonctionnalités doivent être passées au crible pour distinguer celles qui serviront à accompagner la gestion de crise de celles qui constitueront uniquement un plus. Il ne faut pas négliger que la mise en place d’un outil de gestion de crise est un réel investissement. Le prix des solutions packagées varie suivant le mode de licence et le nombre d’utilisateurs : soit en achat unique de licences (compter entre 50 et 70 k€) , soit avec des abonnements de l’ordre de 5 k€ / mois auquel il faudra ajouter des frais d’implémentation (~6 k€).

… pour choisir l’outil le plus adapté

Après avoir défini ses besoins en matière d’outillage et les principaux cas d’usage, il va maintenant falloir faire un choix parmi toutes les solutions proposées sur le marché. Bien choisir son outil est donc une étape essentielle et peut se réaliser à partir d’une méthodologie de sélection basée sur les 4 étapes suivantes :

La première étape consiste à lister les caractéristiques essentielles que l’outil devra posséder pour atteindre les objectifs fixés. Il existe plusieurs critères permettant de choisir son outillage. Le premier, et peut être le plus important, est les fonctionnalités attendues entre la veille, la remontée d’incident, l’alerting ou encore la coordination. Viennent ensuite la simplicité et l’accessibilité d’utilisation, facteur clé d’adoption de la solution. La robustesse de l’outil devra également être évalué, il ne faudrait pas que l’outil ne soit pas utilisable le jour d’une crise. Ce critère est particulièrement important pour les crises cyber qui peuvent mettre à mal la grande partie du SI de l’entreprise, il faut alors prévoir de pouvoir faire fonctionner le système en dehors de l’entreprise. Et à la vue des données manipulées et de leur sensibilité, des éléments quant à la confidentialité (authentification, chiffrement…) et à la sécurité de la solution doivent aussi être pris en compte.

Finalement, comme pour tout projet d’acquisition de logiciel, il faudra être attentif au coût total de la solution (acquisition mais aussi maintenance), aux références de l’éditeur, à sa maturité et à sa solidité financière.

Une fois les critères définis, la deuxième étape concerne l’évaluation des solutions disponibles sur le marché. Il faudra alors construire la grille d’analyse qui permettra de valider l’adéquation de la solution avec les besoins exprimés et d’évaluer la capacité de l’outil à s’intégrer dans le système d’information. Il s’agira ensuite de mettre en concurrence les différents éditeurs et de dresser une liste restreinte de solutions qui répondra le mieux aux besoins et aux exigences définies durant la phase de recherche. Afin de garantir une liste pertinente, les critères d’évaluation seront pondérés pour refléter l’importance relative accordée à chacune des exigences techniques et fonctionnelles.

À cette phase, il est pertinent d’organiser des démonstrations avec les éditeurs short-listés afin d’évaluer la manière dont l’outil fonctionne sur des cas concrets. Après avoir procédé à la qualification des solutions et après avoir rencontré les éditeurs, on peut considérer que tous les éléments sont réunis pour pouvoir apprécier les outils sélectionnés et procéder au choix final.

Ces différentes étapes pourront être suivies par un groupe de travail transverse mobilisant les équipes de gestion de crise évidemment mais aussi les responsables sécurité de l’information et la DSI.

Investir dans un outil, un effort à maintenir dans la durée pour en tirer toute la valeur

Usuellement cette démarche de choix d’outillage nécessite un délai d’approximativement 3 mois dans les grandes entreprises. La mise en œuvre complète de l’outil peut-elle nécessiter jusqu’à 6 mois, en particulier lorsqu’un grand réseau d’acteurs devra être formé à utiliser l’outil.

Mais attention à bien prendre en compte que cet outillage doit vivre dans le temps. C’est un point important à ne pas négliger au risque de voir les investissements initiaux perdus au bout de quelques mois.

Cet investissement dans la durée devra être réparti entre tous les acteurs de la gestion de crise, pour qu’ils restent familiers avec l’outillage et se l’approprient. Point clé également, utiliser l’outil lors des exercices. Même si cela peut paraître évident, c’est parfois négligé.

Cet article Comment évaluer et choisir son outil de gestion de crise ? est apparu en premier sur RiskInsight.

Si chaque situation de crise est unique, il est aujourd’hui nécessaire pour chaque établissement de se préparer à toutes les éventualités en travaillant sur l’amélioration des dispositifs de crise, l’efficacité collective des membres des cellules, l’acquisition d’outils d’alerte, la simplification des procédures et check lists de crise et la préparation des environnements.

AVANT : PRÉPARER SON ENVIRONNEMENT DE GESTION DE CRISE

Comment être efficace en situation de crise si un téléphone, une audioconférence ou une visio-conférence ne fonctionne pas (ou qu’on ne sait pas activer), un PC portable ou un smartphone n’a plus de batterie, un annuaire de contacts est indisponible ou non mis à jour, la messagerie ou une application est inaccessible ? Une salle de crise trop petite ou non climatisée fera monter la température, au sens propre comme au sens figuré…

Ces désagréments sont autant de facteurs de stress supplémentaires et font perdre du temps lorsqu’on a des décisions à prendre ou une coordination à assurer. Pourtant ces problèmes logistiques sont simples à éviter : l’équipement des salles de crise doit être régulièrement homologué et utilisé par les membres des cellules de crise en condition réelle, des manuels simples d’utilisation doivent être prévus, disponibles et tenus à jour.

Nous constatons après près de 15 années d’exercice de crise, que des procédures de gestion de crise très complètes sont de faible utilité en pilotage de crise. Les crises actuelles sont de plus en plus stressantes, elles catalysent les émotions et paralysent les capacités des managers ; la simple lecture d’une consigne d’une page est compliquée ! Seules des check listes très synthétiques et opérationnelles (aussi appelées fiches réflexes), décrivant le rôle de chacun et régulièrement utilisées permettront de fournir un cadre adéquat à la cellule de crise pour gérer un événement majeur.

PENDANT : S’ORGANISER ET RÉDUIRE LES « BRUITS »

L’organisation même de la cellule de crise est essentielle pour faire face aux pressions liées au  planning des parties prenantes, aux médias… Il est nécessaire d’organiser la cellule de crise et les canaux de communication de telle manière à :

• Avoir une composition et une répartition des rôles cohérente et adaptée à la situation de crise à gérer ;
• Fournir le bon niveau d’information fiable aux membres de la cellule de crise ;
• Réduire les « bruits parasites ».

Avant de se lancer dans la gestion de la crise, la cellule de crise doit prendre les quelques minutes nécessaires pour fixer son organisation et son mode de fonctionnement : adaptation de la composition aux événements (mobilisation d’experts internes ou externes en fonction de la nature de la crise), rappel des rôles de chacun. La répartition de rôles dès l’entrée en crise (pilote de crise, secrétaire de séance, chargé du suivi des décisions et plans d’actions, sous-cellule communication, sous-cellule anticipation…) permet d’organiser et fiabiliser la gestion de crise : c’est la condition sine qua none pour que les périmètres de chacun des acteurs soient maîtrisés et respectés. Il devient indispensable de prévoir une fonction voire une sous-cellule d’anticipation dont le rôle sera de réaliser une prise de recul sur les événements, d’anticiper les pires scénarios et de proposer les actions à mener pour y faire face.

Une fois ce rappel réalisé il est possible de réaliser le briefing de la situation qui permet de mener de bout en bout un diagnostic complet (analyse des impacts, identification des parties prenantes directes et indirectes, pièges à éviter…).

Des points de situation réguliers permettent la prise de décision coordonnée. Ces points doivent être formalisés dans un document qui peut ensuite être utilisé comme un outil de pilotage, pour le suivi des décisions et les relances des actions à mettre en oeuvre. En définitive la prise de décision se fait toujours dans l’incertitude puisque la cellule de crise dispose rarement de toutes les informations au moment voulu. Il est nécessaire d’établir et d’activer les canaux d’information (internes et externes sur les lieux de la crise) qui permettront à la cellule de crise de suivre la situation. Ces canaux permettront de réduire les risques d’asymétries d’information, de retards dans la prise de décision et d’oublis dans le suivi des plans d’actions qui sont autant d’éléments pouvant perturber la bonne gestion de crise.

Lors d’une situation de crise, de nombreux « bruits » viennent parasiter la gestion de crise :

• Le bruit au sens premier (appels téléphoniques en salle de crise notamment) qui a un impact direct sur le niveau de fatigue et de stress et représentent un danger pour la dynamique et la cohésion de groupe. Par exemple, il devient nécessaire de s’astreindre à une discipline pour ne pas se laisser déborder par le flux des appels téléphoniques en salle de crise et prendre les appels dans une autre salle.
• Le « bruit » au sens de la communication, généré par les médias et les réseaux sociaux lors d’une crise peut entraîner des perturbations et affecter les prises de décisions de la cellule de crise (infobésité, sur-médiation d’un événement entraînant une prise de décision hâtive, …).

APRÈS : CAPITALISER POUR S’AMÉLIORER

Pour tirer les leçons de l’expérience, toute convocation d’une cellule de crise doit donner lieu à un débriefing à froid, afin de mettre l’accent sur ce qui a bien fonctionné et ce qui nécessite d’être amélioré. Les plans d’actions mentionnent souvent de mettre à jour les procédures de gestion de crise, de contrôler l’équipement des salles de crise, de former les membres de la cellule de crise à la gestion de crise ou encore au media training.

Ces plans d’actions ne doivent pas rester lettre morte, au risque de reproduire les mêmes erreurs à la prochaine crise !

Cet article Comment se préparer à une crise ? est apparu en premier sur RiskInsight.

Seul un entrainement régulier permet de créer les automatismes salvateurs lorsque surviendra la situation de crise. Il est impossible de tout prévoir, et illusoire et inefficace de chercher à décrire toutes les situations de crise possibles. Il surviendra toujours un événement nouveau, imprévisible, voire impensable. C’est pourquoi il est nécessaire de s’entraîner à analyser et réagir rapidement sous pression. Une fois les premiers réflexes acquis, les organes de gestion de crise plus matures pourront développer leur « force de réflexion rapide », un groupe dédié et entraîné pour aider les dirigeants dans leur pilotage des situations  très complexes et plus particulièrement « hors-cadre » de référence qui mettent en grande difficulté tous les schémas préétablis.[1] [2]»
Huit scénarios de gestion de crise « génériques »…

Le groupe de Place Robustesse[3], créé en 2005 à l’initiative de la Banque de France, a notamment défini huit scénarios de crise « génériques » en raison de leur représentativité :

• Grève générale des transports ;
• Crue de la Seine ;
• Risque de pandémie ;
• Attentats terroristes ;
• Panne générale d’électricité ;
• Accident industriel ou attentat de type NRBC (nucléaire, radiologique, biologique, chimique) ;
• Défaillance d’un prestataire « critique » ;
• Cyber-attaque

8 scénarios de crise…..dont 4 qui se sont produits durant ces 6 derniers mois : l’actualité met en exergue la nécessité de prendre en compte ces scénarios majeurs, qui décrivent des menaces actuelles et, malheureusement, probables.

… Qui nécessitent des entraînements spécifiques…

Au sein des organisations, il apparaît évident que les entraînements et les exercices ne sont plus une option mais bel et bien une nécessité. L’enjeu étant de construire un plan de progression pluriannuel à la fois suffisamment ambitieux mais également en adéquation avec le niveau de maturité de l’entité.

Le plan de test doit, in fine, couvrir à la fois les différentes étapes de la gestion de crise (de la phase d’alerting jusqu’à la sortie de crise) mais également les scénarios de crise auxquels peut être confrontée l’organisation. Idéalement, une fréquence de deux exercices de gestion de crise par an est préconisée pour permettre à l’équipe constituant la cellule de crise de s’habituer à travailler ensemble (prise en compte des turn over).

Il est primordial de varier les scénarios pour s’entraîner et acquérir les compétences nécessaires à une gestion de crise maîtrisée. Par exemple, les compétences liées à la communication de crise peuvent être consolidées lors d’exercices de média training spécifiques au cours desquels les communicants sont spécifiquement sollicités (simulation de prise de parole auprès de la presse, médias filmées avec débriefing et formalisation de communiqués à destination des autorités, des victimes…). En effet, il est impératif de comprendre comment fonctionnent les médias pour être en capacité de leur restituer le bon message dans le timing attendu avec le niveau souhaité d’information.

Par ailleurs, des entraînements spécifiques de grande ampleur, faisant interagir plusieurs cellules de crise (avec potentiellement des cellules extra entité), peuvent être organisés pour mesurer la capacité de l’organisation à maîtriser les outils et méthodes de gestion de crise prévus et mis en place. Ce type d’exercice permet de valider le circuit et les modalités de communication entre les cellules de crise.

Les constats réalisés au cours des exercices permettent d’identifier les failles potentielles du dispositif qui font alors l’objet d’un plan de recommandation priorisé. L’entité devra établir, mettre en œuvre et suivre un plan d’action lui permettant de s’assurer de la résilience du dispositif mis en place.

A l’issue des exercices, les partages de retours d’expériences entre les organisations constituent des éléments de progrès indispensables car ils permettent à la fois de faire progresser les entités mais également d’augmenter leur capacité d’apprentissage (notamment par l’identification des points forts qui doivent être capitalisés et actions qui pourraient être mises en place pour améliorer ce qui a moins bien fonctionné).

… Afin d’identifier les compétences requises…

Contrairement à ce que la plupart des managers en perçoivent, la capacité à savoir appréhender les éléments clés d’une gestion de crise réussie n’est pas innée, loin de là.

En effet, la gestion de crise requiert des compétences qui ne sont habituellement pas utilisées.

Si le niveau d’expertise métier de chacun des contributeurs assurant la conduite de crise n’est pas remis en cause, il n’en demeure pas moins que d’autres compétences spécifiques doivent être acquises pour contribuer à une gestion de crise efficace. Ces compétences englobent notamment la capacité à comprendre, analyser l’information, et à définir rapidement les impacts potentiels et les parties prenantes.

Sous l’effet du facteur pression du temps et de l’émotion, les managers se retrouvent confrontés à de nouveaux défis : être capables de traiter quasiment de manière instantanée les informations entrantes afin de les analyser à chaud, les partager et valider les actions à mettre en œuvre.

Le facteur temps compresse les délais habituels d’analyse, de qualification donc de réflexion. Quant au facteur émotion, le manager peut naturellement se retrouver dans une démarche instinctive et donc éloignée d’une démarche intellectuelle. Or, les décisions instinctives, prises dans l’urgence, sont dénuées de réflexions analytiques élaborées.

Ces nouveaux contextes et champ d’action modifient la donne, les curseurs et les niveaux d’expertise requis. Cela nécessite l’application d’une méthodologie qui, rappelons-le, n’est pas innée (car ne faisant pas a priori partie des réflexes acquis).

… Et de développer des réflexes appropriés

Face à des événements brutaux, déstabilisants voire choquants psychologiquement, il s’agit de s’appuyer sur des réflexes acquis au cours de l’expérience propre ou de l’entraînement spécifique. Cela est d’autant plus nécessaire que le facteur humain entre en considération : nous n’avons pas tous les mêmes capacités à gérer une situation déstabilisante et/ou inhabituelle. Quelle est ma capacité individuelle à évoluer dans un contexte excessivement complexe dont je ne connais ni les contours ni l’issue, ceci sous une intensité de stress constante et ce, sur du court, moyen voire long terme ?

L’effet du facteur humain est applicable à chaque membre de la cellule de crise mais également au groupe d’individus qui la constitue. Si les capacités intrinsèques de chaque individu peuvent influer sur les résultats en termes d’efficacité de l’équipe, les interactions entre les différents individus constituant le groupe peuvent avoir des impacts aussi bien positifs que négatifs. En effet, dans certaines situations deux « plus » peuvent faire un « moins » ; en d’autres termes, deux individus pourtant reconnus pour leurs expertises individuelles respectives ne parviennent pas à produire ensemble la valeur ajoutée attendue. Le facteur humain au sein du groupe est donc un élément dont on ne peut faire l’impasse. Aussi, pour être efficace et efficient ensemble, il faut se connaître (tout particulièrement dans le contexte particulier qui est celui de la gestion de l’urgence et des priorités). Les entraînements réguliers sur divers sujets et périmètres concourent à réduire les effets potentiellement néfastes du facteur humain.

[1] Patrick Lagadec : « La Force de réflexion rapide Aide au pilotage des crises », Préventique-Sécurité, n 112, Juillet-Août 2010, p. 31-35.

[2] Patrick Lagadec : « Le Continent des imprévus – Journal de bord des temps chaotiques », Ed. Les Belles Lettres, 2015, p. 239.

[3] Le Groupe de Place Robustesse se compose d’établissements de crédit ou assimilés, d’infrastructures de marché, du HFDS du ministère de l’Économie et des Finances, de la Direction générale du Trésor, de la Fédération bancaire française, de la Banque de France, des autorités de supervision et de régulation telles que l’Autorité de contrôle prudentiel et de résolution et l’Autorité des marchés financiers.

Cet article Gestion de crise : Comment maximiser mes chances ? est apparu en premier sur RiskInsight.

Des attaques dont les objectifs sont souvent difficiles à cerner

L’actualité le montre trop régulièrement, les actes cybercriminels se multiplient et visent tous types d’organisation. Certains sont revendiqués et leurs objectifs sont rapidement connus. C’est le cas pas exemple de l’attaque visant le site Ashley Madison où les motivations sont explicites.

Mais dans la plupart des cas, les objectifs de l’attaquant sont beaucoup plus difficiles à identifier ! Il est pourtant crucial de le faire pour pouvoir réagir au mieux et protéger rapidement ce qui n’a pas encore été touché par l’attaque.

Une des clés pour mieux comprendre une attaque consiste à exploiter les erreurs des attaquants. En effet, malgré leur niveau de compétences potentiellement élevé, les pirates restent des humains et commettent souvent des erreurs. Des fautes qu’il est possible d’exploiter pour mieux comprendre l’attaque et la contrer, mais aussi pour identifier ceux à son origine.

Utiliser les erreurs des attaquants pour mieux les comprendre

Le cas récent d’Ashley Madison semble être un bon exemple, même s’il faudra attendre les investigations complètes pour confirmer tous les éléments. Les attaquants auraient diffusé les données volées via BitTorrent en utilisant un serveur loué chez un hébergeur aux Pays Bas. Ils auraient cependant oublié de sécuriser ce serveur, en particulier ils n’ont pas mis de mot de passe sur les interfaces d’administration web. Même si cela ne permet pas de les identifier directement, il s’agit d’une piste de premier choix pour les forces de l’ordre en charge des investigations. Il faut cependant rester prudent car cela peut aussi être une forme de diversion réalisée par les attaquants. Affaire à suivre !

Autre exemple, le cas « Red October ». C’est l’affaire d’une vaste opération de cyber espionnage qui a commencé en mai 2007 et qui a été découverte par le cabinet Kaspersky quelques années plus tard. Le cabinet a réussi à identifier, bloquer et neutraliser le logiciel malveillant en utilisant une faille de l’attaque. En effet, les noms de domaines pour les serveurs d’exfiltration qui étaient utilisés dans le code malveillant n’avaient pas été réservés par les attaquants. Cela a permis à Kaspersky de simuler un de ces serveurs et de voir qui était infecté et quelles données étaient capturées.

Parfois, ces erreurs permettent même d’identifier les auteurs de l’attaque, comme ce fut le cas avec la traque de la personne derrière le malware PlugX.

Nos consultants ont d’ailleurs eux aussi rencontré ce genre de situation dans le cadre d’une attaque ciblée chez un de nos clients. Les pirates avaient en effet « oublié » la présence d’un keylogger sur les serveurs internes utilisés pour l’exfiltration des données, ce qui a permis à nos experts d’identifier quelles données étaient ciblées et où elles étaient envoyées. Nous avons même pu récupérer le login et le mot de passe utilisés par les attaquants. Le concept de « l’arroseur arrosé » remis au goût du jour.

Savoir tirer parti de ces informations pour mieux gérer la crise

Les informations obtenues grâce à ces erreurs sont très précieuses, elles permettent ensuite d’adapter la réponse à l’incident. D’autant plus que les attaquants utilisent parfois des mécanismes de diversion « bruyants » (redémarrage de machines, effacement de fichiers, forte activité CPU, voir déni de service…) afin de détourner l’attention des vrais données qu’ils visent. Une compréhension « métier » des objectifs de l’attaque permet d’éviter de se focaliser sur ces pièges.
Il est même souvent intéressant de laisser l’attaque se dérouler pour mieux la comprendre.

Les réflexes face aux incidents de sécurité « classiques » (déployer des signatures antivirales, réinstaller des serveurs…) sont donc aujourd’hui largement révolus. Il faut adopter une approche dynamique de la crise, s’intéresser à son objectif métier et utiliser les erreurs des attaquants pour être plus pertinent, en pouvant même envisager des réponses « actives » à l’attaque. Un challenge pour les équipes de réponses à incidents, qui doivent adapter leurs méthodologies et leurs réflexes, mais un objectif crucial pour lutter contre ces attaques

Cet article Cybercriminalité : savoir profiter des erreurs des attaquants est apparu en premier sur RiskInsight.

La notion de « crise » est perçue, dans nos sociétés modernes actuelles, de manière assez hétérogène, ce qui induit une certaine difficulté à en définir les contours précis. En effet, le terme de crise (économique, sociale, ou encore de réputation) est abondamment employé et ce, dans tous types de situations ou d’événements qui sont notamment relayés à la une des médias.

Étymologiquement parlant, le mot crise -issu du grec « Κρίσις »- associe les sens de « jugement » et de « décision » mis en œuvre pour dégager une décision entre plusieurs positions ou tendances opposées sinon conflictuelles.

Il s’agit bien ici d’exercer et donc d’entraîner une organisation à faire face à un ou plusieurs événements majeurs (quelles qu’en soient l’origine ou la nature – soudaine ou progressive), ayant des impacts considérables sur son fonctionnement et pouvant potentiellement mettre en péril ses ressources et donc ses actifs.

Pourquoi réaliser des exercices de gestion de crise ?

Avant tout parce qu’il s’agit du seul moyen tangible de s’assurer que les dispositifs mis en place sont opérationnels et en mesure de faire face à tous types de situations de crise. En effet, chaque organisation doit se préparer à gérer des situations complexes et déstabilisantes, y compris celles qu’elle n’a pas prévues voire imaginées.

Les objectifs d’un exercice de gestion de crise sont la validation du caractère opérationnel en termes organisationnel et humain des cellules de crise de l’entité dans le cas d’un événement majeur menaçant la bonne réalisation de tout ou partie de ses activités.

Les exercices permettent, dans un premier temps, de valider les procédures de remontée d’alerte jusqu’à la mobilisation des cellules de crise et, dans un second temps, de valider l’ensemble des procédures de gestion de crise prévues qui sont éprouvées tout au long de la session d’entraînement. Les exercices contribuent, bien évidemment, à faire monter en compétence les participants qui acquièrent, au fur et à mesure des exercices, l’expertise et les réflexes nécessaires à une gestion efficace de la situation.

Parce que la gestion de crise s’appuie sur des capacités humaines (capacité à anticiper, à prendre des décisions) et parce que chacun peut être amené à réagir de manière différente face à l’inconnu et au stress, s’entraîner c’est être prêt !

Enfin, il est à noter que la réalisation d’exercices de gestion de crise est une obligation réglementaire pour les établissements bancaires et financiers. Le régulateur s’assure que l’organisme a réalisé a minima une fois par an une action significative permettant d’attester que le dispositif a été éprouvé et qu’un plan d’actions d’amélioration a été établi. Idéalement, le niveau de difficulté des exercices devra être croissant et couvrir, à terme, les différentes typologies de crise.

Qui doit participer aux exercices de gestion de crise ?

Comme évoqué précédemment, les exercices de gestion de crise ont pour objectif d’éprouver les capacités d’une organisation à prendre des décisions dans un contexte inhabituel. Ils s’adressent donc en particulier aux membres des cellules de crises décisionnelles (CCD) qui sont généralement constituées des représentants du plus haut niveau de management de l’entité (Comité Exécutif ou Comité de Direction).

Lors d’un exercice de gestion de crise, les fonctions mobilisées au sein de la CCD peuvent varier selon le type de scénario joué ; cependant les expertises inhérentes aux ressources humaines, à la communication (interne et externe), au juridique, à la logistique, à l’informatique et au métier impacté sont habituellement sollicitées.

Afin de renforcer la robustesse du dispositif, il convient d’impliquer également les membres suppléants dans les exercices de gestion de crise, ceci permettant de se prémunir de tout défaut d’expertise au sein de la cellule de crise en cas d’indisponibilité du titulaire.

Il est aussi possible d’entraîner les cellules de crise opérationnelles qui ont pour rôle de mettre en œuvre les décisions prises par la cellule de crise décisionnelle.

Des exercices de crise au niveau national et international sont également organisés : le Groupe de Place Robustesse (composé d’établissements de crédit ou assimilés, d’infrastructures de marché, du HFDS du ministère de l’Économie et des Finances, de la Direction générale du Trésor, de la Fédération bancaire française, de la Banque de France, des autorités de supervision et de régulation telles que l’Autorité de contrôle prudentiel et de résolution et l’Autorité des marchés financiers) se réunit régulièrement pour améliorer la robustesse de la place financière de Paris et pour échanger sur les expériences menées tant au sein des établissements que sur les autres grandes places financières. Des exercices de grande ampleur sont ainsi réalisés annuellement (panne d’électricité,  pandémie H1N1, crue centennale de la Seine, Cyber-attaque…)

Quelles sont les étapes à réaliser pour la mise en place d’un exercice de gestion de crise ?

La première étape consiste à définir et valider les objectifs de l’exercice qui devront prendre en considération le degré de maturité de l’entité en termes de pilotage de crise (une ou plusieurs cellules de crise impliquées dans l’exercice). En effet, il s’agit de positionner le degré d’exigence attendu au niveau adéquat afin que les objectifs soient à la fois ambitieux mais atteignables (les objectifs doivent tenir compte des axes d’amélioration identifiés lors des précédents exercices afin de valider que les actions correctives ont bien été mises en œuvre).

La seconde étape consiste à retenir un macro scénario adapté à la fois au contexte de l’entreprise et aux objectifs fixés. Les scénarios envisageables sont divers et variés en fonction de l’origine (interne ou externe) et de la dimension (technique, économique ou sociale et organisationnelle) de la typologie de crise retenue. La palette de scénarios est vaste et s’étend du plus commun au plus inattendu :

• Incendie / explosion de gaz avec ou sans victime
• Cyber-attaque avec vols de données ou destruction du SI
• Panne informatique de grande ampleur
• Fraude interne ou externe
• Pandémie
• Mouvements sociaux
• Rumeur
• Catastrophe naturelle
• Attentats
• Enlèvement / séquestration voire disparition de dirigeants…

Le macro scénario est ensuite décliné en chronogramme détaillé qui reprend l’ensemble des stimuli qui seront adressés à la (ou aux) cellule(s) de crise tout au long de l’exercice (la durée de l’exercice peut s’étendre d’une à deux heures jusqu’à plusieurs jours !). Chaque stimulus constituant le chronogramme devra être formulé de manière concise et précise en reprenant les termes propres à l’entité (processus, noms et contacts des personnes simulées…) permettant ainsi de se rapprocher au maximum de l’organisation et de la configuration réelle de l’entité.

La phase d’animation consiste à jouer le scénario tel qu’il est prévu au sein du chronogramme. Une cellule d’animation, qui représente à la fois le monde extérieur et les autres acteurs de l’organisation, adresse aux cellules de crise testées (via mails, appels téléphoniques, captures d’écran d’articles de presse…) les stimuli en fonction du timing prédéfini. Les membres des cellules de crise jouent leur propre rôle et les observateurs présents dans la salle de crise consignent leurs observations en vue du débriefing. L’équipe d’animation veille à ce qu’aucune information ne sorte du cadre de l’exercice ceci permettant d’éviter tout déclenchement de crise « réelle ».

A l’issue de l’exercice, un débriefing à chaud est animé par le directeur de l’exercice au cours duquel chaque participant interagit et alimente les débats. Un rapport d’exercice reprenant les forces et faiblesses du dispositif est par la suite formalisé et adressé aux membres de la cellule de crise.

Les constats réalisés au cours des exercices permettent d’identifier les failles potentielles du dispositif qui font l’objet d’un plan de recommandation priorisé. L’entité devra établir, mettre en œuvre et suivre un plan d’action lui permettant de s’assurer de la résilience du dispositif mis en place. L’efficacité et la robustesse du dispositif de gestion de crise devront ensuite être éprouvées au cours des prochains exercices.

Cet article Les exercices de gestion de crise : pourquoi, pour qui, comment ? est apparu en premier sur RiskInsight.

Les erreurs commises et leurs leçons

L’enquête a montré que cet accident était la conséquence d’erreurs simples et multiples qui auraient pu être évitées.

Tout d’abord, les procédures de démarrage n’ont pas été respectées car elles étaient contraignantes. Les opérateurs avaient pris l’habitude de les court-circuiter. Par ailleurs, le management de la raffinerie avait fermé les yeux sur plus de 13 cas de non-respect de la procédure de redémarrage recensés par les enquêteurs.

Expliquer le bien-fondé des procédures et les dangers auxquels les opérateurs sont exposés incite le personnel à les respecter. Cela augmente à peu de frais la sécurité d’ensemble. De plus, une structure de traitement du retour d’expérience aurait sans doute permis de déceler l’anomalie et d’y remédier de façon pratique en prenant en compte les contraintes de terrain et les propositions des opérateurs.

Le non-respect de la procédure consistait à dépasser le niveau d’hydrocarbure à distiller dans la tour. Mais les opérateurs étaient confiants dans le fait que s’ils dépassaient le niveau prescrit par la procédure, une alarme de « rattrapage » s’activerait. Ils pensaient aussi que la régulation de niveau automatique maintiendrait le niveau dans des limites acceptables. Ce qu’ils ne savaient pas, et que personne n’a contrôlé, c’est que l’alarme de « rattrapage » était défaillante et que la régulation automatique n’avait pas été mise en marche.

Nous relevons là plusieurs erreurs de transmission d’informations, de maintenance et de non-vérification de fonctionnalités importantes pour la sécurité. Organiser les passations de suite entre équipes, entre opérateurs et superviseurs, formaliser les communications, mettre en place des tableaux de situations et un système de bons de travaux opérationnel aurait permis d’alerter les opérateurs et de corriger largement à temps la défaillance, même si les procédures étaient court-circuitées ce jour-là.

L’enjeu de la formation et les conséquences de la défaillance du management

Par ailleurs, les informations présentées à l’opérateur de jour et à son superviseur étaient biaisées et les ont conduit tous deux à se faire une représentation erronée de la situation. Par manque de formation et d’expérience, ils n’ont pas identifié d’incohérences et n’ont pas considéré lesdites informations d’un œil critique. Sensibiliser opérateurs et superviseurs à croiser les informations et, pour ces derniers, à prendre du recul, aurait sans doute permis de déceler une anomalie.

Ne perdons pas de vue qu’une formation défaillante doit être au moins compensée par une supervision plus attentive parce qu’expérimentée. La formation se fait alors naturellement in situ. Constituer une équipe d’un opérateur insuffisamment formé (il ne savait pas que le liquide devait sortir de la tour) et d’un superviseur inexpérimenté (il ne regardait pas les bonnes indications et faisait confiance à l’opérateur) est une erreur de management.

Vis-à-vis des impacts de l’accident, pourquoi y avait-il des bureaux préfabriqués à proximité de la torchère ? Vraisemblablement à cause de l’absence d’analyse de risques. Créer et entretenir une culture de sécurité au sein d’une entreprise encourage le personnel à s’interroger (« que se passerait-il si…») et amène à considérer les opérations en cours d’un œil critique, bénéfique pour la sécurité de tous.

Prévenir de grandes catastrophes par de petites actions simples

Dans le contexte de l’accident, il faut mentionner les pressions de la hiérarchie sur le management de la raffinerie. Outre le fait que cette raffinerie avait été rachetée depuis peu par une autre compagnie et que les tensions étaient encore vives à cause de cultures d’entreprises différentes et de craintes légitimes, une réduction des coûts de 25% avait été décidée. Cela a nécessairement eu un impact sur la sécurité, secteur habituellement considéré comme coûteux pour un retour sur investissement impossible à chiffrer. Inviter les cadres à résister aux sirènes du low cost et à ne pas transiger sur la sécurité aurait permis de prévenir bien en amont ce désastre.

Il n’est pas question ici de décider à qui revient la responsabilité de cette explosion et des 15 victimes : trop de personnes, à tous les niveaux, portent une petite part de responsabilité. L’accident s’explique en effet par cette accumulation d’erreurs. Mais imaginons qu’une seule des personnes impliquées ait corrigé l’une des défaillances, il est certain que l’accident n’aurait pas eu lieu.

Par conséquent, en aidant les entreprises à travailler leur organisation, améliorer les communications entre personnes et entre groupes, en sensibilisant sous de multiples formes les opérateurs et leurs managers aux risques pris, il est possible à peu de frais d’améliorer la sécurité dans de grandes proportions.

Cet article Le facteur humain dans l’accident de la raffinerie de Texas City en 2005 est apparu en premier sur RiskInsight.

Très largement déployé dans le monde – Gartner parle de plus de 1,6 milliards de machines depuis son lancement en 2001, dont quelques 500 millions encore en activité –  l’OS équipe encore de nombreux postes de travail en entreprise. Dès lors, il est important de comprendre les enjeux de cette fin de support, et les différentes approches pour y faire face.

Quels sont les systèmes concernés et les conséquences de cette fin de support ?

Comme le montre l’illustration ci-dessous, le système concerné par cette date butoir est Windows XP dans sa version pour PC. . Notons que la version Embedded (pour systèmes embarqués), qui équipe par exemple certains distributeurs automatiques de billets, bénéficiera elle des correctifs jusqu’en janvier 2016.

Au-delà de l’arrêt des mises à jour fonctionnelles, l’arrêt des mises à jour de Windows XP signifie la fin des patches de sécurité : lorsqu’une nouvelle faille sera détectée, elle aura les mêmes impacts qu’une vulnérabilité 0-day. Elle sera donc immédiatement exploitable pour des actions malveillantes, et ne sera pas corrigée.

Microsoft a cependant annoncé récemment que certains produits spécifiques de sécurité pour Windows XP (tels que MSRT, l’outil de suppression des programmes malveillants) continueraient, eux, à recevoir des mises à jour de définition antivirales jusqu’en juillet 2015.

Du point de vue de la gestion des risques et de la sécurité, on peut redouter deux impacts majeurs.

En termes de protection,  les postes sous Windows XP, déjà souvent critiqués pour leur piètre niveau de sécurité, deviendront de réels points de faiblesse dans la durée. Même en faible nombre, ils pourront facilement servir de porte d’entrée et de point de rebond pour une attaque plus large.

La plupart des éditeurs d’antivirus arrêteront d’ailleurs de fournir un support pour leurs versions sous Windows XP lorsque cela deviendra techniquement (et commercialement) déraisonnable, contribuant à augmenter mécaniquement la vulnérabilité de ces postes.

Dans le même temps, les entreprises vont se trouver face à un risque de perte de conformité. En effet, certains standards exigent l’utilisation de systèmes supportés par leur éditeur. Ainsi, il semblerait que les postes sous Windows XP après le 8 avril 2014 fassent perdre la conformité HIPAA (données de santé américaines). Pour l’industrie bancaire, le risque de perte d’une certification PCI-DSS apparaîtra également, la norme exigeant une correction des vulnérabilités critiques impossible dans les faits.

Comment les entreprises peuvent-elle gérer ces risques ?

Pour se parer au mieux à toute éventualité après le 8 avril, plusieurs approches peuvent être adoptées.

1)     La montée de version, solution évidente mais à long terme

C’est la solution la plus évidente et, bien sûr, la plus recommandée par Microsoft. L’éditeur préconise le déploiement de Windows 8.1 Pro, là où beaucoup d’entreprises tentent actuellement de terminer (voire de commencer) leur passage à… Windows 7.

La migration vers un OS moderne est l’approche idéale, mais les retards de migration sont souvent dus à la complexité de portage d’applications historiques, à l’obligation de continuer à utiliser Windows XP car il est le seul OS supporté par une application métier critique, voire à la limitation d’un matériel pas assez puissant pour une version plus récente.

Cette situation n’a pas toujours été anticipée, et il est certain que des postes resteront encore sous XP pendant plusieurs mois, voire plusieurs années.

 2) La (coûteuse) botte secrète Microsoft : le custom support

Si le « support étendu » de Microsoft s’arrête, l’éditeur propose toutefois une alternative, à travers son Custom Support Agreement, ou support personnalisé.

Il s’agit d’un contrat complémentaire, accessible uniquement aux grands comptes, et facturé au nombre de postes que l’on souhaite continuer à couvrir. Les chiffres qui circulent publiquement sont de l’ordre de 200$ par poste pour la première année de support, 400$ la deuxième, et ainsi de suite…

L’objectif est ici d’offrir une porte de secours aux grandes entreprises qui n’ont pas encore migré des systèmes critiques, tout en les poussant à le faire rapidement en rendant le coût de support de plus en plus élevé.

 3) Les solutions dédiées pour sécuriser les postes sous XP

Plusieurs mesures de protection spécifiques peuvent, enfin, être mises en œuvre.

•  Figer le système dans une approche liste blanche

Il est possible de figer les systèmes obsolètes, comme cela a parfois déjà été fait avec les prédécesseurs de  Windows XP. Certains outils du marché, tel qu’Integrity Control de McAfee, permettent en effet de limiter la liste des exécutables autorisés sur un poste donné, vérifiant ainsi que seuls des logiciels approuvés et non modifiés sont utilisés.

Si cette méthode peut s’avérer efficace pour les postes métier ou de production industrielle subissant peu de changements, elle montrera vite ses limites avec des postes de travail bureautiques.

•  Déployer des solutions spécifiques de réduction du risque

Certains éditeurs offrent des solutions ciblées, à l’instar d’Arkoon avec sa solution ExtendedXP. Dans ce cas, il s’agit alors de cumuler un service de veille dédié aux failles touchant l’OS, et un outil de détection d’intrusion (HIPS) sur les postes de travail concernés, afin de réagir en temps réel à toute nouvelle vulnérabilité, d’adapter les règles de détection de l’outil, et de réduire ainsi le risque de compromission ou d’attaque.

•  Se préparer à l’éventualité d’une crise… en attendant la migration

Quelle que soit l’approche retenue, couvrir le risque tout en conservant des postes sous Windows XP sera difficile. Il peut donc être utile d’anticiper une gestion de crise, en intégrant ce cas spécifique aux processus existants : prévention auprès des utilisateurs et du Helpdesk, alerte des équipes IT, et formalisation d’une chaîne d’escalade adaptée.

Ces étapes sont déjà en cours chez nombre de nos clients. Même si elles peuvent représenter des solutions d’attente, la migration est aujourd’hui plus que nécessaire !

Cet article Que devient la sécurité de Windows XP après la fin de son support ? est apparu en premier sur RiskInsight.

Les réseaux sociaux apparaissent désormais comme une ressource que les entreprises doivent se préparer à utiliser.

Les réseaux sociaux : un outil pour rapidement collecter l’information ou la diffuser au plus grand nombre

Les réseaux sociaux se positionnent aujourd’hui comme un parfait complément aux médias traditionnels, en particulier de par le caractère viral que peut revêtir une information une fois publiée. En cas d’évacuation de domicile, un Smartphone couplé à Twitter pourrait être le moyen le plus rapide pour vous indiquer l’abri le plus proche en temps réel (situation qu’ont connue les habitants de NYC lors de l’ouragan Sandy en 2012). Vous pouvez ensuite partager cette information avec vos proches via Facebook . Chaque utilisateur se transforme ainsi en relai qui communique vers sa communauté jusqu’à ce que l’information atteigne le plus grand nombre.

En plus de cette capacité de diffusion rapide de l’information, les réseaux sociaux sont le seul média qui permet une remontée d’information massive et instantanée. Dans son combat contre les grands feux de forêt, le Western Australia’s Department of Fire and Emergency Services utilise Twitter pour collecter des renseignements auprès de témoins locaux. Les informations ainsi collectées permettent aux pompiers de connaître avec précision la situation sur le terrain et de réagir en conséquence.

Utilisez ces outils au quotidien pour en maitriser les rouages

Afin d’utiliser efficacement ces outils en situation de crise, il convient d’en maitriser les mécanismes. Cette maitrise se construit au jour le jour, en intégrant les réseaux sociaux dans le quotidien de l’entreprise au côté des dispositifs de communications traditionnels.

La SNCF est l’exemple parlant d’une entreprise qui a parfaitement intégré les réseaux sociaux dans sa communication, à travers plusieurs fils Twitter qui font désormais parti du quotidiens des usagers (@SNCF_infopresse, @SNCF_QR, @SNCF_Direct).

Lors de la récente catastrophe de Brétigny-sur-Orge, Twitter est apparu naturellement comme un pilier du dispositif de communication de la SNCF.

Direction Générale, Risk Manager, Responsable Cybercriminalité, … n’attendez plus !

Les projets en lien avec les réseaux sociaux sont aujourd’hui souvent pilotés par les directions Communication et Marketing. Pour autant, les acteurs de la gestion de crise : Risk Manager, RSSI, RPCA ou Responsable Cybercriminalité doivent y prendre part  et d’ores et déjà se préparer à utiliser ces outils.

La préparation passe par la définition du cadre dans lequel vont évoluer les équipes de communication de crise :

• En désignant les instances qui porteront la communication via les réseaux sociaux,
• En sensibilisant ces instances pour qu’elles puissent, le cas échéant, répondre efficacement aux sollicitations,
• En s’assurant que les outils seront à disposition dans le cadre du plan de gestion de crise,
• En définissant des communications type : messages prédéfinis en fonction des scénarios pouvant nécessiter l’activation du dispositif de crise,
• En renforçant la crédibilité de ces messages par le sponsor d’une personnalité de premier plan. À l’image par exemple de l’initiative de la mairie de NYC pendant l’ouragan Sandy : Michael Bloomberg, maire et figure emblématique de la ville, a appuyé les recommandations des équipes de secours avec pas moins de 110 tweets. Ces messages ont été largement relayés par le public et les autres comptes officiels de la ville.

Ces mesures pratiques couplées aux retours d’expériences des crises précédentes permettront de tirer le meilleur parti des réseaux sociaux et d’en faire un outil au cœur du dispositif de gestion de crise.

Cet article Réseaux sociaux et #GestionDeCrise est apparu en premier sur RiskInsight.

Cet article Dispositifs de gestion de crise et sécurité des SI : que font les grands comptes français ? est apparu en premier sur RiskInsight.

Si de prime abord les deux sujets peuvent paraître disjoints, ces interrogations semblent justifiées au regard des certifications relatives à la norme BS 25999 : plusieurs d’entre elles avaient combiné les deux référentiels. Et pour cause, il existe plusieurs points communs entre les deux normes…

D’indéniables axes de mutualisation

Les bases de tout système de management, qu’il concerne la qualité (9001), les services IT (20000) ou d’autres, sont communes – les normes  27001 et 22301 ne dérogent pas à la règle. On y retrouve ainsi les notions de construction par processus, d’amélioration continue, d’implication du management, …

En outre, elles concourent toutes deux à un même objectif : gérer les risques d’une organisation. Les risques liés, respectivement à la sécurité ou à la continuité, doivent être identifiés et priorisés, les traitements définis, … Elles se rejoignent donc sur une étape importante de la phase « Plan » : l’analyse de risques.

Par ailleurs, la continuité ou la disponibilité en tant que critère de sécurité est clairement abordée dans l’annexe de la 27001. En effet, cette dernière exige que l’organisme mette en place un Plan de Continuité d’Activité (PCA) et qu’il soit testé.

Pour autant, passer d’un SMSI à un Système de Management intégrant l’ISO 22301 n’est pas immédiat.

Des différences majeures à ne pas perdre de vue

L’ISO 22301 est une norme qui s’inscrit dans les réflexions autour de la sécurité sociétale. Elle traite de cas de sinistres majeurs : la problématique de la gestion de crise y est prégnante. Au vu de la dimension des sinistres envisagés, les exigences en termes de communication font l’objet d’un chapitre spécifique. Il s’agit aussi bien de la communication interne qu’externe envers les autorités, les médias, les familles des collaborateurs…

S’agissant de Système de Management de Continuité d’Activité, la notion de besoin de continuité est plus développée dans la norme ISO 22301. Un BIA (Bilan d’Impacts sur Activité ou Business Impact Analysis) doit être conduit. Ce BIA est à réaliser lors des premières étapes de mise en œuvre, identifiant, a minima, les activités critiques, et exprimant pour chacune d’entre elles les délais d’interruption maximale admissible, le « calendrier » de reprise progressive de l’activité, … Par ailleurs, la norme exige clairement que les dépendances soient identifiées, notamment avec les fournisseurs de services, lesquels doivent préciser leurs PCA existants. Cette précision vient directement faire écho à la notion de prestataires de services essentiels externalisés (ou PSEE).

Passer d’un SMSI à Système de management intégrant les exigences de la 22301 nécessite donc d’inscrire ces points dans les processus du Système de Management Intégré.

Un pas intéressant à franchir ?

Intégrer les exigences de l’ISO 22301 peut clairement donner un nouveau souffle à son système de management en effectuant un focus particulier sur la continuité d’activité. Mais redonner un nouveau souffle ne peut pas être une fin en soi, l’objectif est bien de répondre à un réel enjeu de sécurité de l’information et de continuité à la fois, avec une rationalisation de l’effort consacré à la gestion de deux risques !

Cet article De la 27001 à la 22301, juste un pas à franchir ? est apparu en premier sur RiskInsight.

L’offshore implique un engagement pluriannuel qui refroidit les DSI en temps de crise

Un tout premier élément de réponse réside simplement dans le fait que, contrairement à une idée reçue, les DSI ont plutôt tendance à ralentir ou retarder leurs opérations d’outsourcing en période de crise. La taille et le nombre d’opérations a ainsi significativement baissé sur l’année 2012 par rapport à 2011 (la baisse serait de l’ordre de 19 % au niveau mondial selon le cabinet Everest Group). Et ce ralentissement est d’autant plus significatif que le marché avait déjà marqué un sérieux coup de frein en 2011.

La raison de cette tension sur le marché de l’externalisation est assez simple : en période de crise, les entreprises sont beaucoup plus frileuses à signer des contrats pluriannuels. En effet, la mise en œuvre de ces contrats nécessite généralement des investissements importants. Investissements que les DSI ne sont pas en mesure de prendre (ou de justifier) en période de crise, et qui vont venir « dégrader » le ROI de l’opération, les gains économiques n’intervenant qu’à moyen terme, et donc pas sur le budget de l’année suivante. Il est clair que ce ralentissement a un impact sur la progression de l’offshore. Les grandes SSII « indiennes » tablent ainsi sur une croissance beaucoup plus faible de leur chiffre d’affaires en 2012 par rapport aux exercices précédents.

On peut pourtant se demander si ce ralentissement global du marché de l’outsourcing ne porte pas en lui le germe d’une augmentation de la part d’offshore dans les services IT. Ne serait-ce que sous l’impulsion des grandes SSII américaines et européennes qui, déjà très largement implantées dans les destinations offshores, pourraient accélérer le mouvement pour préserver leurs marges.

Des chiffres qui sous-estiment la réalité du marché

Il est cependant extrêmement difficile de savoir précisément quelle est la part de l’offshore dans les services IT. Le SYNTEC n’a d’ailleurs publié aucun chiffre sur le sujet depuis 2008 ! Selon les cabinets d’étude, cette part varie de 5 à 10% sur le marché français en 2012, et certains annoncent que l’offshore représentera 15% des services IT en 2014. Il semble assez clair que cette part est aujourd’hui sous-estimée. Un grand nombre d’études ne prend en compte que les prestations externalisées directement en offshore, faisant ainsi abstraction de la réalité opérationnelle. Les grands prestataires de services IT ont ainsi tous mis en place des modèles de production mondialisés dans lesquelles des « usines » onshore, nearshore et offshore interagissent entre-elles pour délivrer les services. Nombreuses sont également les SSII occidentales qui sous-traitent certaines activités auprès d’acteurs offshores locaux. Par ailleurs, les effectifs offshores des plus grandes SSII occidentales représentent déjà souvent plus de 30% de leurs effectifs totaux. Enfin, l’apparition de toutes les offres de type cloud, où par essence, les services sont délivrés par une main d’œuvre dont la localisation est complètement transparente pour les clients vient encore perturber la donne.

L’offshore : une solution à anticiper !

Finalement, en cette période de crise, le véritable frein à la progression de l’offshore dans la part des services IT se situe chez les donneurs d’ordre. D’abord parce que les impacts sociaux et la montée des tendances protectionnistes (on l’a vu récemment aux États-Unis) peuvent ralentir (voire ajourner) la mise en œuvre de ce qui est vécu comme une délocalisation dans l’opinion publique. Mais surtout parce que faire le choix de l’offshore ne peut pas être un choix purement opportuniste. Ce choix nécessite en effet de faire évoluer l’organisation de la DSI ainsi que sa stratégie de sourcing pour s’adapter aux spécificités de ce marché (différences culturelles, services standardisés, gouvernance et pilotage renforcé…). La courbe d’apprentissage n’est pas simple et les échecs restent assez nombreux tant d’un point de vue opérationnel, que d’un point de vue économique (notamment si on n’a pas anticipé sur le coût complet des services).

L’offshore ne peut donc être un choix de crise que si la DSI si est préparée en amont.

Cet article La crise profite-t-elle à l’offshore ? est apparu en premier sur RiskInsight.

Une précédente tribune a rappelé l’importance de formaliser sa documentation PCA en fonction de ses finalités, afin de la rendre réellement opérationnelle.

Reste alors à assurer l’accessibilité de ces documents – au quotidien mais aussi et surtout en cas de crise : processus de mise à jour, multiplicité des acteurs, périodicités et responsabilités variables,…

En un mot, se pose la question de la gestion documentaire du corpus PCA, avec en creux celle du recours à un outillage spécifique.

La gestion documentaire : socle historique mais perfectible de l’outillage PCA

Le PCA a toujours été un grand producteur de documents : en faciliter la gestion a donc naturellement été un des premiers objectifs des progiciels PCA, parmi lesquels on trouve LDRPS, PARAD et frontGRC en France, Shadow Planner, INONI BCP Pro, MyCoop, ResilienceOne, Business Protector, RevoverPlanner sur les marchés anglo-saxons. Ces outils ont, dans les grandes lignes, des fonctionnalités similaires : décrire l’organisation (acteurs, processus, ressources, etc.), y associer un certain nombre de propriétés (notamment les DIMA et PDMA) et les plans à déclencher lorsqu’une ressource ou un processus est touché. Des mécanismes de workflow plus ou moins élaborés sont également disponibles : possibilité de définir des responsables pour chaque document, des dates de revues régulières, voire de lancer automatiquement des campagnes BIA (Bilan d’Impact sur l’Activité).

Si une telle approche et de telles fonctionnalités peuvent paraître séduisantes, elles doivent être considérées avec prudence. En effet, chaque progiciel est construit selon un schéma de pensée (modèle de données, typologie et approche des traitements, hiérarchie des habilitations) qui ne sont pas toujours transposables dans le contexte des organisations. En conséquence, l’usage d’un outil demande soit d’en contourner le fonctionnement optimal, soit de revoir son organisation voire son processus de continuité d’activité. In fine, le recours à un outil doit être envisagé en connaissance de cause, conscient de son potentiel facilitateur sur certains aspects (revue des risques, mesure des impacts, recensement des processus, annuaires), mais aussi des lourdeurs et contraintes qu’il va imposer, notamment dans son usage de référentiel documentaire.

Viser un mode de gestion documentaire simple, déjà ancré dans le fonctionnement de l’organisation

A défaut d’outil PCA, on pourra dans un premier temps s’appuyer  sur une gestion documentaire traditionnelle : dépôt des documents sur un répertoire partagé et sécurisé, triés selon leurs finalités et accessibles quelques soient les conditions rencontrées. Charge alors à l’équipe PCA de piloter la maintenance et la révision des documents en mobilisant les différents contributeurs.

Les organisations plus complexes pourront envisager le recours à un outil de Gestion Électronique de Documents (GED).  Ce type d’outil facilite la gestion documentaire en délivrant une meilleure gestion du contenu (méta-informations), de ses révisions et de son indexation. Il fournit également des fonctionnalités plus fines de partage et de modification des documents. Il propose enfin des possibilités de workflow contribuant aux cycles de validation et de révision des documents.

Attention toutefois à éviter l’écueil de bâtir une GED (Livelink, Sharepoint,…) spécifiquement pour le PCA : on s’appuiera plutôt sur un outil existant, déjà adopté par les utilisateurs. Un tel outil étant consulté régulièrement pour d’autres besoins, il facilitera la mise à jour des documents PCA.

Comment s’assurer de disposer des procédures en cas de crise ?

Au-delà de la mise à jour des documents, l’outillage doit être pensé pour la mise à disposition des documents le jour J. Il faut dès lors s’assurer, quel que soit le mode de gestion choisi, de sa disponibilité en cas de sinistre.

De prime abord, on pourrait penser faire de la solution de gestion documentaire la première application à remonter, à l’aider d’une procédure qu’elle ne doit pas héberger… Tentation à repousser tant cette solution crée un important point de blocage potentiel dans le déroulement du plan de continuité !

Mieux vaut faire bénéficier la solution de gestion documentaire (outil PCA ou GED) des mêmes garanties de disponibilités que les applications les plus critiques, soit en recourant à une solution hébergée (ce qui nécessite de traiter les problématiques de la confidentialité des données et de la dépendance à l’éditeur), soit en tirant partie d’un hébergement sécurisé (bi-site ou datacenters éloignés).

Il y a toutefois fort à parier que l’émergence des offres SaaS par les éditeurs de GED (ex : Sharepoint Online pour Office 365) va certainement modifier en profondeur le mode d’hébergement des bases documentaire PCA (hors outils spécifiques).

Quel que soit l’hébergement, une garantie complémentaire pourra enfin être offerte par la copie régulière sur support amovible, voire l’impression, de l’ensemble des plans (du moins pour les documents qui ne sont pas souvent modifiés).

Un outil pour accompagner un processus rodé

En synthèse, qui dit gestion de documentation PCA et mise à disposition le jour J ne dit pas nécessairement outil PCA : comme d’habitude, il convient de prendre garde à ne pas se laisser guider par l’outil !

Avant d’envisager un outillage plus évolué que le répertoire partagé, il est nécessaire de roder le cycle de vie du PCA et notamment la mise à jour de sa documentation, qu’il sera toujours temps d’industrialiser à l’aide d’un outil. A contrario, le choix précoce d’un outil pourra contraindre toute la mise en œuvre du PCA et obérer les chances de déployer un processus véritablement en ligne avec son organisation.

Cet article Documentation PCA : comment passer d’un corpus bien pensé à un corpus bien géré est apparu en premier sur RiskInsight.

Si la gestion de crise lors d’une attaque doit suivre les 4 principes clés évoqués dans notre précédent article, elle doit surtout en intégrer l’anticipation dans ses mécanismes.

Une stratégie à moyen terme basée sur l’anticipation des attaques ciblées

Dès aujourd’hui, il est nécessaire de refondre les processus de gestion de crise. Les scénarios de cybercriminalité doivent être inclus dans les procédures opérationnelles (modalités de réponse, SI spécialisé…). Les relations avec les autorités compétentes doivent être créées ou renforcées dans le but d’accélérer la phase de mobilisation de ces acteurs et de maîtriser les circuits de communication.

Une stratégie de communication claire doit être définie en fonction des acteurs évoluant dans et autour de l’organisation. Les obligations de demain (notification aux clients des fuites de données à caractère personnel…) doivent être anticipées afin de garantir le moment venu un respect des règlementations en vigueur. De ce fait, il ne sera plus possible de garder la confidentialité sur le fait qu’une crise est en cours.

Les attaques ciblées étant souvent constituées d’une somme d’incidents unitaires, il est nécessaire de revoir en parallèle les processus de gestion des incidents pour s’inscrire dans une démarche itérative, garantissant un état de veille constant, une rapidité d’intervention et une prise de recul.

À moyen terme, évaluer son attractivité et connaître ses actifs clés permettent de déterminer les informations attirantes pour des attaquants. Le secteur d’activité et le positionnement sur le marché sont des éléments déterminants. Au-delà de données internes, les relations entretenues avec certains partenaires et / ou clients peuvent augmenter l’attractivité du SI aux yeux d’attaquants. Cette évaluation doit s’inscrire dans une revue régulière des risques avec les métiers.

Enfin, il faut mettre en place des mesures avancées pour permettre une sécurisation renforcée des cibles identifiées avec les métiers en sanctuarisant les périmètres les plus sensibles (applications métiers clés, VIP / COMEX…) mais aussi les systèmes techniques clés (serveurs et postes d’administration, infrastructure à effet d’amplification comme la télédistribution ou l’Active Directory).

Des approches plus actives (demande de fermeture des sites utilisés pour l’exfiltration, honeypot …) peuvent être envisagées.

Complexifier l’attaque pour en diminuer sa rentabilité

Les attaques ciblées représentent un challenge pour les grandes organisations qui ne sont pas habituées à gérer ce type de crise silencieuse, à grande échelle, mêlant métier et SI et entraînant une perte de confiance dans ce dernier. Leur gestion nécessite de revoir les processus en place mais également de prévoir des actions pour rendre l’attaque plus difficile, faciliter leur détection et renforcer les capacités de réaction.

La mise en place de ces éléments permettra de complexifier les actions de l’attaquant et, à terme, de rendre l’attaque moins rentable ! C’est certainement une des clés de réponse face à ces nouvelles menaces.

Lire la première partie

Pour en savoir plus, lire le focus attaques ciblées, une refonte nécessaire de la gestion de crise.

Cet article Attaques ciblées : comment gérer le risque en amont ? est apparu en premier sur RiskInsight.

La cybercriminalité ne cesse de croître. Les cas concrets se multiplient.

Les retours d’expérience montrent la difficulté à gérer des crises d’un nouveau type. Ces attaques ciblées sont souvent des crises silencieuses qui atteignent directement la confidentialité des données sans remettre en cause le fonctionnement visible du SI. Ces crises sont difficiles à matérialiser, à traiter et finalement à clore de manière définitive.

Comment réagir à ces attaques ? Quelles démarches et organisations doit-on mettre en place pour se préparer au mieux ? Quelles actions de traitements doivent être mises en œuvre ?

Refondre les piliers de la gestion de crise

Une attaque ciblée n’est pas une crise SI mais bien une crise métier

En effet, si cette attaque a lieu c’est pour voler ou altérer des données métiers. Il est donc primordial d’impliquer les métiers et d’identifier les enjeux métiers actuels (contrats importants, fusion / acquisition, R&D…) afin d’anticiper les cibles de l’attaque et d’agir pro-activement. Dans le même esprit, et suivant les contextes, un support auprès d’entités étatiques peut également être recherché. Les équipes SI, malgré leur vigilance, ont un périmètre d’observation trop large pour être attentives sur tous les fronts. Identifier les cibles métiers majeures permettra de focaliser l’attention sur les périmètres sensibles.

Augmenter sa visibilité sur le système d’information

Pour analyser l’attaque et proposer des contre-mesures efficaces, il est nécessaire de détecter et de rapprocher les successions d’incidents unitaires et d’événements suspicieux. Pour cela la mobilisation des équipes d’experts « forensics » est essentielle. Ils seront à même de comprendre le fonctionnement des codes malicieux utilisés pour l’attaque et de pouvoir proposer des plans d’actions techniques pertinents. Ces ressources, encore trop rares aujourd’hui, devront être rapidement mobilisées.

L’utilisation d’outils pour capter les « signaux faibles » (analyses de journaux, sondes réseaux et détection d’intrusion) est également un vrai plus malheureusement encore peu généralisé. Notre retour d’expérience montre qu’il est possible de déployer rapidement ce type d’outil pendant une crise mais il nécessite un degré d’expertise fort pour être efficace.

S’astreindre à prendre du recul face à une multitude d’attaques silencieuses et trompeuses

Il est important de prendre régulièrement du recul, malgré la multitude d’évènements, pour comprendre la finalité de l’attaque, son évolution et définir le mode de réponse. La cellule de pilotage devra donc être séparée des opérations les plus « terrains » pour garder ce recul nécessaire.

Attention également à la logique de diversion, souvent mise en oeuvre par les attaquants (attaque en déni de services, sur d’autres serveurs peu critiques…). Il est conseillé dans ce genre de situation de rester focalisé sur les cibles potentielles définies avec les métiers et vigilants pendant les périodes d’inactivité de l’organisation (HNO, week-end, jours fériés).

Une limite souvent rencontrée dans une telle crise est la mobilisation de trop nombreux acteurs décisionnels au regard d’un faible nombre d’acteurs opérationnels en capacité à réaliser les actions. La longue durée d’une attaque (pouvant s’étaler sur plusieurs mois) nécessite la mise en place d’un rythme de gestion différent d’une crise classique. Une organisation adaptée doit être mise en place dans la durée, en prévoyant des rotations des acteurs impliqués.

Disposer d’un SI de crise parallèle et indépendant

L’expérience montre que les attaquants réussissent souvent à prendre le contrôle de l’Active Directory ou encore de la messagerie. Ils sont alors en mesure « d’écouter » les décisions prises par la cellule de crise et de les anticiper. Pour réagir efficacement durant la crise, il est donc crucial de disposer de postes de travail durcis hors des domaines d’administration classique et d’un service de messagerie spécifique. L’utilisation de services Cloud est possible. Attention cependant, les attaquants ayant pu également compromettre les messageries personnelles de tout ou partie des collaborateurs…

Admettre la perte de confiance dans le SI et la regagner

La découverte d’une intrusion majeure a souvent pour conséquence une perte de confiance en son SI vu le nombre et la criticité des serveurs compromis. Pour reprendre le contrôle de ceux-ci, il est souvent nécessaire de reconstruire des socles sains, et en particulier de réinstaller complètement l’Active Directory. À partir de ces socles sains, il sera alors possible de recréer progressivement des zones de confiance en privilégiant les fonctions les plus sensibles de l’organisation.

Les investissements liés à ces plans de reconstruction peuvent être très lourds (nos retours d’expérience montrent qu’ils dépassent fréquemment la dizaine de millions d’euros) et l’attention ne doit en aucun cas être relâchée dans ces zones assainies pour éviter une nouvelle attaque. Il faudra alors mettre en place tous les processus nécessaires pour garantir leur sécurité (administration sécurisée, analyse des journées, filtrage réseaux, gestion des accès fins…).

À suivre …

Cet article Attaques ciblées : une refonte nécessaire de la gestion de crise est apparu en premier sur RiskInsight.

« Allo Bernard ? C’est Jacques ! Ton pro est sur répondeur, heureusement Philippe avait ton perso.

Désolé de te réveiller, mais  notre SI est tombé. Apparemment, une mise en production s’est mal passée. Quelle application ? Aucune idée.

Philippe m’a chargé de mobiliser la cellule de crise. Du coup, tu peux regarder la procédure et appeler Simone avant de venir s’il te plait ? Rappelle-moi si tu ne retrouves pas le numéro. J’espère qu’elle sera là, c’est vraiment la galère on est en pleine clôture.

Envoie-moi un SMS pour me dire quand  tu arrives. Au fait, tu sais où on se retrouve ? Non ? À l’Atlantis, salle du conseil. On verra en arrivant comment on prévient les collaborateurs.»

Bien que fictives, ces quelques lignes – qui évoqueront peut-être à certains des souvenirs – mettent en évidence les points clés d’un début efficace de gestion crise et les difficultés afférentes.

En effet, les différents acteurs doivent réussir à se contacter, relayer une information exacte, obtenir de la visibilité sur les disponibilités et, éventuellement, alerter massivement les collaborateurs ; alors même qu’ils sont en situation de stress, pas ou peu préparés, que les procédures et annuaires sont oubliés voire non mis à jour et que les moyens de communication habituels ne sont pas forcément disponibles.

Impossible dès lors de s’assurer que l’alerte a été correctement transmise jusqu’aux derniers maillons et que la mobilisation suffit à adresser la crise rencontrée. Sans parler de la probable difficulté à informer l’ensemble des collaborateurs de l’organisation.

Au vu de ces difficultés, le recours à un outillage spécifique à ces premières phases de crise peut se révéler pertinent.

Industrialiser l’alerte : des outils offrant de nombreuses fonctionnalités couvrant différents aspects de la gestion de crise

On distingue classiquement deux besoins d’alerte distincts lorsqu’une organisation doit faire face à une crise. Le premier est de monter le plus rapidement possible la cellule de crise appropriée à la nature du sinistre. Le second est d’alerter largement ses collaborateurs –  éventuellement organisés en différentes populations – de façon pro active, tout en s’enquérant de leur condition (ce que ne permet pas l’usage d’un numéro vert).

Pour ce faire, il est possible de recourir à ce que les américains appellent un EMNS : Emergency Mass Notification System, ou outil d’alerte et de communication d’urgence, qui vise à éviter les écueils décrits plus haut grâce à différentes fonctionnalités.

En amont, un tel outil permet de définir des schémas d’alerte, listant les personnes à prévenir (sans limitation de nombre), l’éventuelle escalade, les moyens de communication à utiliser (mail, téléphone, serveur vocal interactif, sms voire fax, en distinguant les canaux principaux de ceux à activer en cas d’échec), et enfin la teneur du message, qui peut bien sûr être adaptée le jour J.

En cas d’alerte à déclencher, la personne d’astreinte dispose de différents moyens d’activation. Le principal est un portail internet, mais il est aussi possible de lancer une activation par d’autres médias (téléphone, sms, etc.).

Une fois l’alerte lancée, l’outil permet de suivre la progression du processus : échec ou succès des appels, retours des personnes contactées, etc.

Cette richesse fonctionnelle a pour contrepartie l’exploitabilité de la solution. Les interfaces sont riches et leur maitrise n’est pas immédiate, du moins en ce qui concerne le paramétrage.

La mise en place d’un tel outil peut aussi demander un investissement non négligeable, voire un développement spécifique pour assurer l’interface avec des éléments du SI de l’organisation comme l’annuaire des contacts. Les coûts d’entrée peuvent donc être élevés.

Au quotidien le coût est principalement constitué de l’abonnement, ces outils étant le plus souvent proposés en mode SaaS, notamment pour ne pas les exposer aux mêmes risques que ceux des clients. Les communications sont facturées à l’usage.

Un marché des EMNS loin d’être uniforme à travers le monde

Ces outils se sont principalement développés aux Etats-Unis, sous l’impulsion de réglementations fédérales (NFPA 72 2012 et DoD UFC 04-021-01). En mars dernier, le Gartner a mené une revue des EMNS présents sur le marché américain, qui a recensé plus de 50 fournisseurs ; 13 ont fait l’objet d’une étude détaillée, et 4 ont été positionnés dans le quadrant des leaders : Everbridge, MIR3, SendWordNow et AtHoc .

Pour autant, aucun de ces acteurs majeurs n’est présent en Europe, où l’on trouve généralement un acteur prépondérant par pays : Fact24 en Allemagne, AlarmTilt au Luxembourg, DolphinSystemsSikado en Suisse, etc.

Certains, comme Fact24 et AlarmTilt sont néanmoins présents sur le marché français, mais celui-ci reste atypique. Peu développé, il est en effet essentiellement adressé par des acteurs du telemarketing ou de la relation client qui ont su adapter leurs plates-formes à la transmission d’alertes (par exemple la solution GALA, qui équipe la majorité des préfectures, basée sur l’offre ContactEveryOne d’Orange ou la solution push SMS de Jet Multimedia).

Se positionnent également des acteurs issus de la surveillance et de l’alerte industrielle, avec des outils en mesure de s’interfacer avec différents canaux de communication pour proposer un service équivalent à un EMNS.

Consulter le marché pour trouver l’outil qui saura accompagner une organisation de crise définie au préalable

Avant d’envisager le recours à un EMNS, il est nécessaire d’être au clair sur sa gestion de crise et sur les modalités d’alerte et d’information de ses collaborateurs : acteurs mobilisés, messages délivrés, information avec acquittement de collaborateurs, etc. Comme à chaque fois, l’outil doit venir accompagner un processus en place, et non pas permettre de le définir.

Une fois ce pré-requis atteint,  le recours à EMNS est de nature à accélérer les phases d’alerte et accompagner le dispositif de crise. Ceci est d’autant plus vrai pour les organisations de grande taille, géographiquement réparties ou ayant des modalités d’astreinte complexes.

Reste dès lors à trouver le bon outil, qui saura répondre au besoin, être disponible le jour J, et dont on est sûr que les communications seront transmises, le tout à un coût raisonnable. Pour y parvenir, il faudra se demander quelles sont les fonctionnalités qui serviront à accompagner la gestion de crise, et être en mesure de les distinguer de celles qui constitueront un plus. Puis consulter le marché sur cette base pour trouver l’outil adéquat.

Cet article Alerter en cas de crise : faut-il passer par un EMNS (Emergency Mass Notification System)? est apparu en premier sur RiskInsight.

Les raisons ne manqueront pas pour alimenter un climat général de doute, d’incertitude et d’attentisme économique, le manque de visibilité sur la conjoncture générant une plus grande prudence des entreprises. La pression opérationnelle pousse à gérer les actions en urgence, engendrant des décisions relativement court-termistes. Pour les nouveaux projets, un certain attentisme s’instaure et leur lancement est repoussé à des lendemains plus sûrs. Oui, mais si ces lendemains ne reviennent plus, il va donc nous falloir considérer les choses autrement.

Se résigner ? Non. Innover ? Oui ! L’innovation doit être vue comme un moyen de sortie de crise ou, tout du moins, comme un modérateur de celle-ci.

L’innovation comme outil de différentiation

C’est bien sûr un des buts les plus recherchés des démarches d’innovation. Il est faux de croire qu’en temps de crise, les clients ne sont pas sensibles aux produits et services innovants. Quand l’innovation fait sens, elle trouve son marché. Citons deux exemples. 1993/94, crise du Système Monétaire Européen ; 1995, décollage du GSM en Europe. 2008, crise économique majeure ; 2009, explosion des ventes de l’i-Phone. De plus, l’entreprise innovante, en tant que pionnière, se constitue un avantage concurrentiel fort sur le marché, avec une image de marque très valorisable.

L’innovation au service de la compétitivité de l’entreprise

Mais l’innovation peut aussi être utilisée comme outil de rationalisation et d’optimisation des coûts et processus. De nombreuses entreprises ont lancé des programmes spécifiques pour stimuler les réflexions innovantes autour de la baisse des coûts de production des biens ou des services.
Par exemple, dans l’industrie, les démarches d’analyse de la valeur s’appuient sur des groupes d’innovation pluridisciplinaires qui, lors de séances de créativité, travaillent sur un poste de coût en particulier et imaginent toutes les solutions qui permettraient de le réduire.

L’innovation comme pilier de l’animation des équipes

Last but not least, l’innovation constitue un véritable pilier d’une politique de stimulation du travail entre les équipes. L’animation de l’intelligence collective, tous les process et outils collaboratifs sont autant de formidables catalyseurs d’échanges au sein de l’entreprise. De plus, ils renforcent les liens entre des directions pour lesquelles les tensions peuvent être plus vives en temps de crise (ex : la DSI dont les budgets ont été réduits et les métiers qui cherchent à avoir le plus de réactivité possible pour trouver de nouvelles sources de développement)

Pour conclure, n’oublions pas que l’innovation n’est pas une incantation ; elle est avant tout un état d’esprit. Elle est pragmatique et progressive, n’entraînant pas forcément de gros investissements ou de coûts déraisonnables.

L’innovation n’est pas l’invention, l’innovation est un moyen concret qui peut permettre à l’entreprise de sortir du marasme économique, ou tout du moins, de traverser plus aisément cette passe difficile. Mon cadeau pour 2012 est cette belle maxime de Tite-Live « Il faut oser ou se résigner à tout ». Alors en 2012, OSEZ L’INNOVATION !!

Cet article INNOVATION : Adieu 2011, année de crise. Bonjour 2012… année de crise ! est apparu en premier sur RiskInsight.

• Des marchés qui continuent à exiger de fortes rentabilités ;
• Des sources de financement qui se tarissent, réduisant ainsi les capacités de financement pour conduire des grands chantiers (métier ou SI) ;
• Des clients de plus en plus soucieux qui limitent voire reportent leurs achats.

Cette nouvelle période de crise, comme les précédentes, va modifier l’écosystème, le positionnement des entreprises et les modes de consommation.

Les entreprises sont donc amenées à financer les investissements qui leur assureront de traverser la crise en minimisant les impacts tout en réalisant de profondes transformations.

Si l’obtention des fonds est primordiale en ces temps de crise, elle ne garantit pas pour autant l’atteinte des résultats. Seules les entreprises qui ont la capacité à faire travailler ensemble métier et SI pourront prétendre mener sereinement leurs transformations.

Synergie dans l’émergence des nouveaux services

De plus en plus, les services tiennent compte des usages (situations de consommation) et donc des médias pouvant les supporter (moyens pour consommer ou accéder aux services). S’il est de la responsabilité du métier de définir les cas d’usage, la DSI a toute sa légitimité pour porter l’innovation au cœur des métiers en travaillant sur les médias. Avec l’internet mobile, les réseaux sociaux ou demain les tablettes, le SI et le métier deviennent des prescripteurs complémentaires. La DSI propose ainsi au métier des moyens pour supporter de nouveaux usages et participe alors au développement de nouveaux services.

Synergie dans la mise en œuvre des projets

De nombreux programmes pluriannuels nécessitent des ajustements de trajectoire afin de tirer parti des enseignements des chantiers déjà réalisés. Ainsi, dans les programmes multicanaux, le niveau d’automatisation d’un processus de vente vu de l’entreprise cède souvent le pas au besoin de « proximité » vu du client. La DSI est alors porteuse de valeur lorsqu’elle met en œuvre des solutions autorisant un tel changement de paradigme. Parallèlement, en demandant des cycles de livraison plus courts pour ses programmes de distribution, le métier oblige la DSI à rendre son cœur de SI plus facilement accessible et à mettre en œuvre des moyens de découplage (producteur, distributeur) pour l’ensemble du SI.

Synergie dans la définition et la conduite des grands chantiers de transformation

Aujourd’hui, les évolutions majeures du métier ont un impact sur le SI et réciproquement. Toutefois, l‘historique de l’entreprise combiné à l’évolution rapide des technologies a contribué à l’émergence de SI souvent peu alignés sur le métier. Cet état de fait diminue la capacité des entreprises à conduire des programmes dans des délais courts. Les DSI doivent profiter de chaque chantier comme élément de synergie afin de compléter cet alignement et se mettre en situation de transformer « à la demande » le SI.

Les DSI se professionnalisent dans une vision « client / fournisseur » avec notamment le développement d’offres de services. Toutefois, le SI ne doit pas considérer le métier comme un simple client mais bien comme un partenaire. En effet, pour enclencher les actions côté SI, seule la vue métier permet de définir et prioriser les chantiers. De cette capacité à réconcilier les vues (métier et SI) et développer des synergies naîtront les leviers de la performance de demain.

Cet article SYNERGIE – Entre Métier et SI : une stratégie gagnante est apparu en premier sur RiskInsight.