Fraude au paiement, escroqueries, soupçons d’espionnage ou de malversation : autant d’événements exceptionnels où l’entreprise devra passer en mode « crise ». Comment s’y préparer, et quel peut-être alors le rôle de la SSI ? C’était la question que nous posions à l’occasion du dernier petit-déjeuner thématique organisé par SecurityVibes.

Diane Mullenex, associée fondatrice du cabinet Ichay Mullenex Avocats, est venue partager son expérience en la matière avec les membres de SecurityVibes. Le cabinet IMA a en effet conseillé de nombreuses entreprises lors de crises allant du vol pur et simple (vrais-faux ordres de virements) à l’espionnage d’ex-associés en passant les soupçons de la maison mère envers la loyauté d’une ou plusieurs de ses propres filiales.

Avant la crise

La clé de voûte du dispositif est la cellule de crise. Il s’agit d’une équipe pluri-disciplinaire associant l’expertise des services communication, juridique et bien entendu technique. L’organisation préalable de la cellule doit permettre à chacun de ses membres d’être alerté à tout moment et de communiquer avec les autres participants, y compris lorsque les moyens de communication habituels sont hors-service ou compromis (perte du PABX de l’entreprise, suspicion d’écoutes…). Pour ce dernier point Diane Mullenex préconise d’acheter des téléphones portables pré-payés à distribuer le cas échéant aux membres de la cellule.

De telles précautions sont d’autant plus importante que la cellule ne se réunira pas nécessairement dans les murs de l’entreprise. « Dans notre expérience nous avons constaté que l’image de la cellule de crise qui se retrouve physiquement dans une grande salle de réunion est un mythe. La plupart du temps tout se passe par téléphone ou email, voire par SMS !« , observe un membre de SecurityVibes.

Autre point important : il est crucial d’intégrer le service communication de l’entreprise à la cellule. « Ce qui nous a le plus manqué lorsque nous avons assemblé dans l’urgence une cellule de crise empirique, c’est la communication. Il faut avoir prévu les diverses interventions publiques, avoir pris en compte comment l’information est susceptible d’être reprise et traitée, y compris sur les réseaux sociaux« , avertit un membre de SecurityVibes manifestement déjà passé par là.

Pour un autre participant, enfin, le casting de cette cellule de crise est un facteur de succès important : chaque membre doit non seulement avoir la capacité à travailler en équipe, mais surtout savoir faire fi d’éventuelles rivalités internes.

Sur le plan pratique, Diane Mullenex offre deux conseils qui feront la différence au coeur de l’action :

• Il faut mettre en place un processus de délégation avant la crise : savoir qui sera en charge de quoi, au nom de qui, et dans quelles limites. Cela permettra des prises de décisions plus rapide sous le feu.
• Il faut pré-autoriser un budget « de crise », qui pourra être utilisé par les membres de la cellule sans nécessiter les autorisations habituelles. Cela permettra, par exemple, de commander immédiatement un audit sécurité, une prestation technique de « serrage des boulons » ou encore de mandater un huissier pour un constat immédiat. Moins de 20 000 euros suffisent le plus souvent à mener les premières actions d’urgence.

Entrer en crise

Etre préparé, c’est bien, mais encore faut-il savoir quand lancer la machine. Pour les membres de SecurityVibes, l’entreprise peut se dire en crise quand elle a perdu la maîtrise de la situation. « Une crise, c’est quand le coeur entre en fusion, lorsque plus plus personne ne sait quoi faire« , propose un membre. Pour un autre, la distinction se joue avant tout sur les moyens qui doivent être mis en oeuvre pour régler la situation : « Si l’incident peut être traité automatiquement, ou par des moyens de sécurité existants, ce n’est pas une crise. L’entreprise est en crise lorsqu’il faut trouver des processus de résolution non-standards« . Tous, enfin, sont d’accord pour dire qu’il ne faut pas confondre gestion d’incidents – même sévères – et gestion de crise : peut-être parce que gérer des incidents, c’est précisément le quotidien du RSSI !