« La question n’est pas de savoir si l’entreprise sera victime d’une cyber attaque, mais quand », confirme Yannick Bouchet, expert en cyber sécurité et directeur de l’innovation et du développement au sein Syndicat intercommunal des technologies de l’information pour les villes (SITIV).
Prévoir une cellule de crise
Pour éviter de se retrouver complètement déstabilisée par une attaque informatique, l’entreprise doit prévoir en amont une cellule de crise. Généralement, une cellule de crise dédiée aux cyber attaques et plus largement aux fraudes en entreprise se compose du directeur financier, de la personne en charge du juridique, du responsable du service communication, d’un « risk manager », pour les entreprises d’une certaine taille, et du top management pour prendre les décisions qui s’imposent dans un contexte de gestion de crise. Cette cellule de crise doit également inclure des experts techniques qui vont réaliser un audit du système d’information, déterminer d’où vient l’attaque, ses conséquences techniques et financières pour donner ainsi au top management toutes les clés pour prendre les bonnes décisions et adapter la communication de l’entreprise vis-à-vis de ses clients et fournisseurs.
Le plan de reprise d’activité
Une fois cet audit réalisé, la cellule de crise va devoir activer le plan de reprise d’activité (PRA) défini en amont de la crise. « L’objectif du PRA est de définir sous combien d’heures on va pouvoir redémarrer les différents pans du système d’information de l’entreprise : la messagerie sous quatre heures, la facturation sous 24 ou 48 heures, etc. Certaines entreprises ne peuvent pas rester deux jours sans fonctionner. Dans ce cas, le PRA peut prévoir une reprise d’activité sur toutes les données vieilles de deux jours par exemple. Certes on perd deux jours de données mais au moins on peut reprendre l’activité », développe Yannick Bouchet.
Prévoir un plan B pour continuer à fonctionner
En parallèle du PRA, la cellule de crise doit aussi activer le plan de continuité d’activité (PCA), qui lui aussi doit avoir été pensé en amont de la crise. « Le PCA doit permettre à l’entreprise, quelle que soit l’attaque, de fonctionner sur son cœur de business. Si vous êtes un Alibaba ou un Amazon, votre priorité c’est la vente et la livraison. Donc il faut avoir un PCA qui va vous permettre coûte que coûte de continuer l’activité. Sur le reste, vous pouvez vous contenter de faire un PRA », expose Yannick Bouchet. Et de conclure : « Pour une petite entreprise, un plan de continuité peut coûter facilement 500 000 euros. C’est cher, mais il faut avoir conscience que si l’informatique s’arrête, c’est l’activité de l’entreprise qui risque de s’arrêter également. Au final, cela peut donc coûter encore plus cher pour l’entreprise ».
