2016 Copyright emoveo. Tous droits réservés
Repenser l’exercice de gestion de crise en matière
de cybersécurité dans la Ba...
2016 Copyright emoveo. Tous droits réservés
Les métiers de la Banque et de l’Assurance ont fait de la protection contre le...
2016 Copyright emoveo. Tous droits réservés
Ils ont certes l’avantage de mettre en évidence des dysfonctionnements et des ...
2016 Copyright emoveo. Tous droits réservés
L’agilité pour favoriser la professionnalisation des contributeurs
impliqués
N...
2016 Copyright emoveo. Tous droits réservés
3 - L’exercice en mode « interface »
> Il consiste à associer des contributeur...
2016 Copyright emoveo. Tous droits réservés
Pour plus d’informations, contactez :
Jean-Marc Sépio
Associé emoveo
jmsepio@e...
Prochain SlideShare
Chargement dans…5
×

Repenser l’exercice de gestion de crise en matiere de cybersecurite dans la Banque et l’Assurance

792 vues

Publié le

L’exercice de gestion de crise en matière de cybersécurité est un élément essentiel pour faciliter la mise en œuvre des bonnes pratiques, en activant l’intelligence collective et l’apprentissage des organisations.

Publié dans : Économie & finance
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
792
Sur SlideShare
0
Issues des intégrations
0
Intégrations
593
Actions
Partages
0
Téléchargements
7
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Repenser l’exercice de gestion de crise en matiere de cybersecurite dans la Banque et l’Assurance

  1. 1. 2016 Copyright emoveo. Tous droits réservés Repenser l’exercice de gestion de crise en matière de cybersécurité dans la Banque et l’Assurance Avril 2016
  2. 2. 2016 Copyright emoveo. Tous droits réservés Les métiers de la Banque et de l’Assurance ont fait de la protection contre les cyberattaques une priorité. Au-delà des politiques de sécurité et des technologies, il est nécessaire d’instaurer une véritable culture de cybersécurité et de renforcer la professionnalisation des personnels. C’est le moyen de remédier aux erreurs commises par ces derniers et aux vulnérabilités de l’organisation qui sont souvent exploitées par les cybercriminels. L’exercice de gestion de crise, au service des bonnes pratiques de la culture de cybersécurité Développer et diffuser une culture de cybersécurité, c’est quelques erreurs à éviter, mais aussi des bonnes pratiques désormais reconnues : L’exercice de gestion de crise en matière de cybersécurité est un élément essentiel pour faciliter la mise en œuvre des bonnes pratiques, en activant l’intelligence collective et l’apprentissage des organisations. Traditionnellement, les exercices de gestion de crise en matière de cybersécurité sont de belles mécaniques à faire des constats Ils permettent de valider dans des conditions proches de la réalité certains aspects essentiels d’un dispositif de crise :  Les situations.  Les moyens et la procédure d’alerte.  La disponibilité des moyens humains et matériels.  Les moyens de communication.  Et dans certains cas la coordination entre acteurs internes et à de rares occasions celle avec les partenaires extérieurs.
  3. 3. 2016 Copyright emoveo. Tous droits réservés Ils ont certes l’avantage de mettre en évidence des dysfonctionnements et des idées d’amélioration qu’on n’aurait pas su discerner autrement. Ils présentent enfin l’avantage de convaincre les équipes dirigeantes des atouts du dispositif et des progrès qu’ils restent à accomplir. Toutefois, ils présentent des limites et quelques carences : Ils sont source de perturbations Ils sont incomplets Ils sont parfois difficiles à vivre et peu gratifiants : - La plupart des participants ne retiennent que la demi- journée ou journée de retard qu’il va falloir rattraper dans son agenda déjà surchargé. - Les acteurs impliqués sont partagés entre la crainte de ne pas être jugés à la hauteur et la sensation que cela va trop vite pour comprendre, voire la sensation qu’il n’y a pas eu de changements depuis l’exercice précédent. Il n’aborde que des risques déjà identifiés : Attaque virale, intrusion dans le système d’information, contournement des dispositifs de sécurité. Les organisateurs sortent rarement des sentiers battus alors que la réalité illustre bien les chemins détournés pris par les cybercriminels. Exemple récent : Un groupe de hackers a volé de l'argent sur le compte de la banque centrale bangladaise aux États-Unis en utilisant le système de virement SWIFT. Ils laissent parfois une impression de « doutes » : Pour des raisons de commodités, l’exercice se concentre dans l’exercice plusieurs événements qui se déroulent dans un temps plus réduit. Cela laisse une impression que ces derniers ne peuvent se produire qu’à cette occasion et que dans la « vie réelle » avec une cinétique différente, «on saura faire ». Les principaux dirigeants ne sont pas nécessairement présents alors qu’en situation réelle ils sont les plus sollicités. - Sont-ils conscients des limites des exercices ? - Ont-ils la crainte que leur faible performance entraîne une démotivation de leur personnel ? Ils soulèvent également plus de questions, qu’ils n’apportent de réponses : > Un seul exercice annuel est-il judicieux ? > Que se passe-t-il entre chaque exercice ? Qu’ont-ils fait du plan d’action déterminé à l’issue du débriefing de l’exercice ? Quelles sont les actions mises en œuvre ? Et quelles sont celles qui n’ont pas été traitées ? > A-t-on raison de ne pas vouloir passer en revue les points que l’on sait être défaillants ? Ou au contraire de tester des situations totalement nouvelles ? > Est-ce qu’une routine ne s’est pas installée ? On connaît souvent la date plusieurs jours avant la simulation, on déroule le « plan », on débriefe et on se quitte sur ce sujet en se donnant rendez-vous l’année prochaine ou dans 2 ans.
  4. 4. 2016 Copyright emoveo. Tous droits réservés L’agilité pour favoriser la professionnalisation des contributeurs impliqués Nous en avons référencé quelques modes aptes à la favoriser : 1 - L’entraînement en mode « Coaching » > A l’image de ce qui se pratique dans le monde du sport, il s’agit d’assimiler les « bons gestes et les bons réflexes », plutôt que de laisser se développer les mauvaises pratiques. > Dans un premier temps, l’exercice est conçu pour présenter aux acteurs, individuellement ou collectivement, les actions qu’ils devront entreprendre dans les différentes phases clés de la gestion d’une crise. Ces actions pourraient s’assimiler aux « gammes » pour un musicien. > Il suffit ensuite de répéter collectivement dans une simulation. > L’avantage : Chaque acteur assimile quelques bonnes pratiques et développe les bons réflexes. 2 - L’exercice conçu en mode « collaboratif » Généralement, tous les participants associés à l’exercice, métiers de la banque ou de l’assurance et fonctions techniques, participent à l’élaboration du scénario. C’est l’orchestre qui choisit la partition à jouer. Ce mode d’exercice favorise le développement d’un langage commun, des responsabilités réciproques notamment sur les risques imprévisibles. - L’avantage : Chaque participant est rassuré sur un plan psychologique, car ils participent au scénario de l’exercice. > Chaque acteur identifie sa contribution. Ce qui permet de se préparer dans cette optique. - Chaque musicien répète la partie de la partition qu’il aura à jouer. - L’avantage : Chaque participant aura à cœur de se préparer, car l’objectif est de ne pas mettre en difficulté l’ensemble du dispositif. > Le jour de l’exercice est vu comme un jour dédié à la manœuvre de l’ensemble du dispositif. - L’orchestre joue ensemble la partition. - L’avantage : On renforce les liens entre les participants.
  5. 5. 2016 Copyright emoveo. Tous droits réservés 3 - L’exercice en mode « interface » > Il consiste à associer des contributeurs extérieurs (Exemple : Référents sûreté de la police nationale ou gendarmerie) à un ou plusieurs exercices afin de mettre à plat les contraintes, les schémas réglementaires et les comportements des uns et des autres. > L’avantage : Il permet alors de tisser des liens avec eux, créer un climat de confiance et clarifier les positions respectives. Cette posture peut se révéler être un atout lors de la gestion d’une situation de crise.  En conclusion, au-delà des actions de sensibilisation, de formation, l’exercice de gestion de crise demeure le moyen le plus efficace d’entraîner les métiers de la banque ou de l’assurance et les équipes techniques aux situations rencontrées comme d’appréhender les nouveaux risques. Pour cela il convient de repenser leur modèle et répondre aussi aux attentes des superviseurs sur les domaines suivants : Domaines Objectifs Sensibilisation Identification des nouvelles menaces ou nouveaux risques. Prévention Plusieurs mises en situation, plutôt qu’un exercice annuel. Détection Analyse combinée associant les métiers de la banque ou de l’assurance et les services techniques. Implication du management. Réponse Répétition des bons réflexes. Mise en œuvre combinée des plans d’urgence et de poursuite des activités.
  6. 6. 2016 Copyright emoveo. Tous droits réservés Pour plus d’informations, contactez : Jean-Marc Sépio Associé emoveo jmsepio@emoveo.fr A propos d’emoveo : Cabinet de conseil en Stratégie et Transformation d’entreprises et d’organisations fondé en 2008 par des associés ayant 20 ans d’expérience dans le conseil et l’opérationnel, emoveo aide ses clients à construire leur vision stratégique, à mener leurs projets de transformation, à améliorer la performance opérationnelle de leur entreprise, à conduire efficacement les changements. emoveo revendique un style de travail qui lui est propre, le « Side Management ® », qui repose sur un engagement fort et place le capital humain au cœur de la création de valeur. emoveo accompagne ses clients en France et à l’International depuis 3 bureaux : Paris, Lyon, Toulouse (siège social). A propos de notre pôle Banque & Assurance : Nos consultants spécialisés dans les métiers de la banque et de l’assurance interviennent dans 4 domaines : - Conformité et management des risques. - Efficience opérationnelle et lean service. - Digitalisation et nouveaux business modèles. - Pilotage de projets complexes de transformation.

×