Alerte carrière : Poste d'agent(e) de soutien à la planification et au succès client. Voir la section carrières. Alerte carrière : Conseiller technique en prévention des incendies. Voir la section carrières.

L’importance d’intégrer les procédures contre les cyberattaques dans son plan de mesures d’urgence

Aurélie Legaz, Ph.D., ABCP
Chargée de projet en sécurité civile, recherche et innovations

Cégeps, institutions bancaires, agences gouvernementales, entreprises privées, municipalités, établissements de santé, réseaux sociaux…ces deux dernières années ont été le théâtre d’une explosion de cyberattaques « sans frontières ».

Sans frontières, tout d’abord parce qu’il existe autant de cibles potentielles aux cyberattaques qu’il existe de systèmes informatisés, ce qui englobe donc tous les profils organisationnels possibles. Ensuite, parce que la nature de la fraude autorise, voire favorise, les actions délocalisées sans limites géographiques. Enfin, parce que les méthodes employées évoluent et s’améliorent constamment et se matérialisent sous forme d’offensives criminelles diverses, martelées à répétition.

Dans la plupart des cas, la cyberattaque se concrétise par la paralysie des systèmes informatiques de l’organisation et le vol de données, avec de lourdes conséquences financières à la clé. Pourquoi, et comment, dans ce contexte, arrimer ses procédures informatiques à ses procédures d’urgence ?

Pourquoi ?

Nos profils organisationnels ont évolué de sorte que l’informatique se retrouve au cœur de nos fonctionnements internes et constitue une pierre angulaire pour la livraison de nos services.

En ce sens, les mesures d’urgence ne se retrouvent plus seulement associées aux incendies et aux procédures d’évacuation, mais tendent de plus en plus à considérer les systèmes névralgiques qui portent et supportent les organisations. Les mesures d’urgence doivent donc évoluer de pair avec leur institution mère et incorporer en continu la gestion des nouveaux systèmes critiques.

De plus, les interdépendances au système informatique entraînent sans contredit des répercussions par effet domino à la grandeur de l’organisation : système d’alarme incendie, téléphonie, téléservices, perte d’équipement, livraison de services essentiels, protection des données, atteinte réputationnelle sont autant d’éléments à prendre en compte dans l’évaluation des impacts, d’où l’importance de se rattacher à une structure de mesures d’urgence intégrée, transversale, capable d’adresser les enjeux dans une perspective d’ensemble.

Comment ?

En évitant les stratégies de réponses cloisonnées : puisque les cyberattaques requièrent une fine expertise technologique pour pouvoir les adresser, il est facile de tomber dans le piège du travail en silo, avec des équipes techniques qui évoluent en roue libre … une approche intégrée requiert au contraire une concertation pilotée des différents acteurs.

Une structure de mesures d’urgence dispose habituellement d’un coordonnateur corporatif en mesures d’urgence, qui constitue le point d’entrée de tout événement significatif ou porteur de crise. Formé dans l’analyse d’événements, le coordonnateur agit comme personne pivot et est en mesure de recommander la mobilisation des différentes cellules prévues aux plans. Nul ne demande au coordonnateur d’être un « homme-orchestre » cependant… selon le besoin, le coordonnateur peut s’adjoindre un expert en T.I. ou en cybersécurité pour l’appuyer dans son évaluation préliminaire. De par son rôle dans l’organisation, le coordonnateur posera un regard plus large sur l’événement et favorisera la coordination interne des équipes mobilisées.

Sur ce principe, il va de soi de considérer les procédures contre les cyberattaques comme plan(s) particulier(s) d’intervention inscrit(s) dans le cadre du plan de mesures d’urgence. Le travail en amont avec le comité de planification permettra lui aussi de développer une réflexion élargie sur les enjeux de l’organisation, et permettra d’organiser une stratégie de réponse capable de couvrir les répercussions multiples.


À propos de Prudent Groupe Conseil

Prudent est une entreprise établie depuis 1994. Depuis janvier 2017, dans une volonté de développement social et durable, l’entreprise partage son actionnariat avec la coopérative de travailleurs Prudent Groupe Coopératif. Sa réputation en matière de résilience, gestion intégrée des risques, de sécurité civile, de gestion de crise et de mesures d’urgence, n’est plus à faire. Prudent Groupe Conseil, une équipe de professionnels dynamiques pour vous aider dans la gestion de vos risques et dans l’amélioration de votre résilience.

Laisser un commentaire

Votre adresse courriel ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Retour vers le haut