• Home

  • Economy & Finance

  • Repenser l’exercice de gestion de crise en matiere de cybersecurite dans la Banque et...
6
2016 Copyright emoveo. Tous droits réservés Repenser l’exercice de gestion de crise en matière de cybersécurité dans la Banque et l’Assurance Avril 2016

Repenser l’exercice de gestion de crise en matiere de cybersecurite dans la Banque et l’Assurance

Embed Size (px)

Citation preview

Page 1: Repenser l’exercice de gestion de crise en matiere de cybersecurite dans la Banque et l’Assurance

2016 Copyright emoveo. Tous droits réservés

Repenser l’exercice de gestion de crise en matière de cybersécurité dans la Banque et l’Assurance

Avril 2016

Page 2: Repenser l’exercice de gestion de crise en matiere de cybersecurite dans la Banque et l’Assurance

2016 Copyright emoveo. Tous droits réservés

Les métiers de la Banque et de l’Assurance ont fait de la protection contre les cyberattaques une priorité. Au-delà des politiques de sécurité et des technologies, il est nécessaire d’instaurer une véritable culture de cybersécurité et de renforcer la professionnalisation des personnels. C’est le moyen de remédier aux erreurs commises par ces derniers et aux vulnérabilités de l’organisation qui sont souvent exploitées par les cybercriminels.

L’exercice de gestion de crise, au service des bonnes pratiques de la culture de cybersécurité Développer et diffuser une culture de cybersécurité, c’est quelques erreurs à éviter, mais aussi des bonnes pratiques désormais reconnues :

L’exercice de gestion de crise en matière de cybersécurité est un élément essentiel pour faciliter la mise en œuvre des bonnes pratiques, en activant l’intelligence collective et l’apprentissage des organisations.

Traditionnellement, les exercices de gestion de crise en matière

de cybersécurité sont de belles mécaniques à faire des constats

Ils permettent de valider dans des conditions proches de la réalité certains aspects essentiels d’un dispositif de crise :

Les situations. Les moyens et la procédure d’alerte. La disponibilité des moyens humains et matériels. Les moyens de communication. Et dans certains cas la coordination entre acteurs internes et à de rares occasions celle avec

les partenaires extérieurs.

Page 3: Repenser l’exercice de gestion de crise en matiere de cybersecurite dans la Banque et l’Assurance

2016 Copyright emoveo. Tous droits réservés

Ils ont certes l’avantage de mettre en évidence des dysfonctionnements et des idées d’amélioration qu’on n’aurait pas su discerner autrement. Ils présentent enfin l’avantage de convaincre les équipes dirigeantes des atouts du dispositif et des progrès qu’ils restent à accomplir. Toutefois, ils présentent des limites et quelques carences :

Ils sont source de perturbations Ils sont incomplets

Ils sont parfois difficiles à vivre et peu gratifiants :

- La plupart des participants ne retiennent que la demi-journée ou journée de retard qu’il va falloir rattraper dans son agenda déjà surchargé. - Les acteurs impliqués sont partagés entre la crainte de ne pas être jugés à la hauteur et la sensation que cela va trop vite pour comprendre, voire la sensation qu’il n’y a pas eu de changements depuis l’exercice précédent.

Il n’aborde que des risques déjà identifiés : Attaque virale, intrusion dans le système d’information, contournement des dispositifs de sécurité.

Les organisateurs sortent rarement des sentiers battus alors que la réalité illustre bien les chemins détournés pris par les cybercriminels. Exemple récent : Un groupe de hackers a volé de l'argent sur le compte de la banque centrale bangladaise aux États-Unis en utilisant le système de virement SWIFT.

Ils laissent parfois une impression de « doutes » :

Pour des raisons de commodités, l’exercice se concentre dans l’exercice plusieurs événements qui se déroulent dans un temps plus réduit. Cela laisse une impression que ces derniers ne peuvent se produire qu’à cette occasion et que dans la « vie réelle » avec une cinétique différente, «on saura faire ».

Les principaux dirigeants ne sont pas nécessairement présents alors qu’en situation réelle ils sont les plus sollicités.

- Sont-ils conscients des limites des exercices ?

- Ont-ils la crainte que leur faible performance entraîne une démotivation de leur personnel ?

Ils soulèvent également plus de questions, qu’ils n’apportent de réponses : > Un seul exercice annuel est-il judicieux ? > Que se passe-t-il entre chaque exercice ? Qu’ont-ils fait du plan d’action déterminé à l’issue du débriefing de l’exercice ? Quelles sont les actions mises en œuvre ? Et quelles sont celles qui n’ont pas été traitées ? > A-t-on raison de ne pas vouloir passer en revue les points que l’on sait être défaillants ? Ou au contraire de tester des situations totalement nouvelles ? > Est-ce qu’une routine ne s’est pas installée ? On connaît souvent la date plusieurs jours avant la simulation, on déroule le « plan », on débriefe et on se quitte sur ce sujet en se donnant rendez-vous l’année prochaine ou dans 2 ans.

Page 4: Repenser l’exercice de gestion de crise en matiere de cybersecurite dans la Banque et l’Assurance

2016 Copyright emoveo. Tous droits réservés

L’agilité pour favoriser la professionnalisation des contributeurs impliqués

Nous en avons référencé quelques modes aptes à la favoriser : 1 - L’entraînement en mode « Coaching » > A l’image de ce qui se pratique dans le monde du sport, il s’agit d’assimiler les « bons gestes et les bons réflexes », plutôt que de laisser se développer les mauvaises pratiques. > Dans un premier temps, l’exercice est conçu pour présenter aux acteurs, individuellement ou collectivement, les actions qu’ils devront entreprendre dans les différentes phases clés de la gestion d’une crise. Ces actions pourraient s’assimiler aux « gammes » pour un musicien. > Il suffit ensuite de répéter collectivement dans une simulation. > L’avantage : Chaque acteur assimile quelques bonnes pratiques et développe les bons réflexes. 2 - L’exercice conçu en mode « collaboratif » Généralement, tous les participants associés à l’exercice, métiers de la banque ou de l’assurance et fonctions techniques, participent à l’élaboration du scénario. C’est l’orchestre qui choisit la partition à jouer. Ce mode d’exercice favorise le développement d’un langage commun, des responsabilités réciproques notamment sur les risques imprévisibles. - L’avantage : Chaque participant est rassuré sur un plan psychologique, car ils participent au scénario de l’exercice. > Chaque acteur identifie sa contribution. Ce qui permet de se préparer dans cette optique. - Chaque musicien répète la partie de la partition qu’il aura à jouer. - L’avantage : Chaque participant aura à cœur de se préparer, car l’objectif est de ne pas mettre en difficulté l’ensemble du dispositif. > Le jour de l’exercice est vu comme un jour dédié à la manœuvre de l’ensemble du dispositif. - L’orchestre joue ensemble la partition. - L’avantage : On renforce les liens entre les participants.

Page 5: Repenser l’exercice de gestion de crise en matiere de cybersecurite dans la Banque et l’Assurance

2016 Copyright emoveo. Tous droits réservés

3 - L’exercice en mode « interface » > Il consiste à associer des contributeurs extérieurs (Exemple : Référents sûreté de la police nationale ou gendarmerie) à un ou plusieurs exercices afin de mettre à plat les contraintes, les schémas réglementaires et les comportements des uns et des autres. > L’avantage : Il permet alors de tisser des liens avec eux, créer un climat de confiance et clarifier les positions respectives. Cette posture peut se révéler être un atout lors de la gestion d’une situation de crise. En conclusion, au-delà des actions de sensibilisation, de formation, l’exercice de gestion de crise

demeure le moyen le plus efficace d’entraîner les métiers de la banque ou de l’assurance et les

équipes techniques aux situations rencontrées comme d’appréhender les nouveaux risques. Pour

cela il convient de repenser leur modèle et répondre aussi aux attentes des superviseurs sur les

domaines suivants :

Domaines Objectifs

Sensibilisation Identification des nouvelles menaces ou nouveaux risques.

Prévention Plusieurs mises en situation, plutôt qu’un exercice annuel.

Détection

Analyse combinée associant les métiers de la banque ou de l’assurance

et les services techniques.

Implication du management.

Réponse

Répétition des bons réflexes.

Mise en œuvre combinée des plans d’urgence et de poursuite des

activités.

Page 6: Repenser l’exercice de gestion de crise en matiere de cybersecurite dans la Banque et l’Assurance

2016 Copyright emoveo. Tous droits réservés

Pour plus d’informations, contactez : Jean-Marc Sépio Associé emoveo [email protected]

A propos d’emoveo :

Cabinet de conseil en Stratégie et Transformation d’entreprises et d’organisations fondé en 2008 par des associés ayant 20 ans d’expérience dans le conseil et l’opérationnel, emoveo aide ses clients à construire leur vision stratégique, à mener leurs projets de transformation, à améliorer la performance opérationnelle de leur entreprise, à conduire efficacement les changements. emoveo revendique un style de travail qui lui est propre, le « Side Management ® », qui repose sur un engagement fort et place le capital humain au cœur de la création de valeur. emoveo accompagne ses clients en France et à l’International depuis 3 bureaux : Paris, Lyon, Toulouse (siège social).

A propos de notre pôle Banque & Assurance : Nos consultants spécialisés dans les métiers de la banque et de l’assurance interviennent dans 4 domaines :

- Conformité et management des risques. - Efficience opérationnelle et lean service. - Digitalisation et nouveaux business modèles. - Pilotage de projets complexes de transformation.


Les Transformations de la matiere

Les Transformations de la matiere

Documents
IDJCCM : Repenser Montréal

IDJCCM : Repenser Montréal

Documents
La matiere l_autre_nom_de_l_illusion_2011

La matiere l_autre_nom_de_l_illusion_2011

Spiritual
Matiere Par Matiere

Matiere Par Matiere

Documents
1. LA MATIERE

1. LA MATIERE

Documents
Repenser l' économie mondiale

Repenser l' économie mondiale

Business
Repenser l’organisation territoriale des soins

Repenser l’organisation territoriale des soins

Documents
Fiche Matiere EI

Fiche Matiere EI

Documents
MATIERE GRISE

MATIERE GRISE

Documents
Repenser la stratégie organisationnelle

Repenser la stratégie organisationnelle

Documents
Repenser le développement territorial

Repenser le développement territorial

Documents
Conference fep cybersecurite 24 janvier 2018

Conference fep cybersecurite 24 janvier 2018

Leadership & Management
CYBERSECURITE et PROTECTION DU PATRIMOINE

CYBERSECURITE et PROTECTION DU PATRIMOINE

Documents
LUMIERE - MATIERE

LUMIERE - MATIERE

Documents
Cybersecurite propriete intellectuelle

Cybersecurite propriete intellectuelle

Technology
Matiere Et Memoire

Matiere Et Memoire

Documents
Repenser le métier de chausseur

Repenser le métier de chausseur

Documents
Bergson, Matiere Et Memoire

Bergson, Matiere Et Memoire

Documents
Barcamp presentation Cybersecurite by saphia

Barcamp presentation Cybersecurite by saphia

Technology
REFERENTIEL EN MATIERE DE COMPTAGE

REFERENTIEL EN MATIERE DE COMPTAGE

Documents
Repenser l’exploitation des stations limnimétriques

Repenser l’exploitation des stations limnimétriques

Documents
Usinage Par Enlevement de Matiere

Usinage Par Enlevement de Matiere

Documents
FORMATIONS EN CYBERSECURITE 2019-2020 - Le Net Expert

FORMATIONS EN CYBERSECURITE 2019-2020 - Le Net Expert

Documents
5 Maximum Matiere

5 Maximum Matiere

Documents
LES MATIERES. CEST QUELLE MATIERE? La chimie CEST QUELLE MATIERE? La physique

LES MATIERES. CEST QUELLE MATIERE? La chimie CEST QUELLE MATIERE? La physique

Documents
INTITULE DE LA MATIERE : PHYTOCHIMIE

INTITULE DE LA MATIERE : PHYTOCHIMIE

Documents
CATALOGUE PAR MATIERE

CATALOGUE PAR MATIERE

Documents
Transport matiere dangereuse

Transport matiere dangereuse

Education
Repenser la périphérie commerciale

Repenser la périphérie commerciale

Documents
LES MATIERES. CEST QUELLE MATIERE? Langlais CEST QUELLE MATIERE? Le français

LES MATIERES. CEST QUELLE MATIERE? Langlais CEST QUELLE MATIERE? Le français

Documents