Les spécificités de la crise cyber expliquées à ma grand-mère

En chemin et au beau milieu de nulle part, vous croisez un véhicule en panne sur le bord d’une départementale, et une autre famille avec deux enfants (soit quatre personnes) fait du stop car elle doit justement se rendre en urgence à Vouziers, mais la culasse du véhicule vient de rendre l’âme. Et toujours cinq places dans votre Audi A4, pas une de plus.

Autant le préciser à ce stade : abandonner qui que ce soit ne fait pas partie des possibilités de la présente simulation. Mais, en gros, vous allez tout de même vous en tirer : déposer votre propre famille au village le plus proche, revenir chercher les quatre autres personnes, les ramener au même village, trouver un taxi, etc.

Maintenant, retour à l’étape 1 : votre famille et vous, les autres personnes. Mais cette fois-ci et toujours au beau milieu de nulle part, la tuile : panne d’essence, panne du GPS, panne totale de tous les téléphones portables présents dans l’habitacle et, bien entendu, aucune carte routière dans les vide-poches. Ça rigole moins, n’est-ce pas ?

Grosso modo, le premier cas correspond à un afflux massif de « clients » (ou de patients dans le cas d’un hôpital) : à moyens constants, vous devez d’un coup gérer un afflux de demandes. C’est ce que les hôpitaux vivent dans un plan Amavi[1], c’est ce qu’ils ont vécu pendant les premières phases du Covid et, en général, les organisations acculturées au risque (dont les hôpitaux, mais pas que) sont fortement résilientes face à ce genre de situation. Malgré les contextes de flux tendus que nous connaissons à peu près partout, il est d’ailleurs remarquable de constater que d’un bout à l’autre de la chaîne hiérarchique les hôpitaux ont tenu le choc.

Le second cas en revanche correspond à une suppression des moyens techniques indispensables à assurer la mission, sans que le nombre de clients/patients/usagers change pour autant. Et c’est généralement beaucoup plus complexe, pour tout un tas de raisons, notamment parce que les organisations ne sont pas acculturées à gérer la perte des moyens en back-office ou des outils techniques. Dit en langage Itil, elles sont plus aptes à gérer les dysfonctionnements de leur SLA que de leurs UC (moyens techniques sous-jacents), elles n’ont pas anticipé leur dépendance à des outils presque « invisibles » telle la messagerie, certains composants se retrouvent de facto en situation de SPOF[2], etc. Paradoxalement, devoir courir plus vite sur un tapis est plus « simple » que de se voir retirer d’un coup le tapis sous vos pieds.

Nous pourrions débattre pendant des heures sur ce genre d’analyse, mais au final le schéma est le même : une crise cyber relève de la seconde catégorie. Et c’est justement ce qui fait sa spécificité avec une petite nuance : les autres « crises » équivalentes de perte de moyens supports (par exemple une panne électrique ou un incendie dans un bâtiment) ne durent jamais plus de 48 heures, au pire. Une crise cyber est donc le seul exemple connu d’une perte des moyens techniques qui peut durer des mois.

Les RSSI doivent absolument axer une partie de la sensibilisation de leur direction générale sur l’idée selon laquelle, certes, il s’agit d’un dysfonctionnement de l’intendance, mais, dans ce cas précis, l’intendance ne suivra pas, qu’il risque de durer longtemps et qu’il faut s’y préparer. Justement, au Congrès de l’Apssis, pendant sa conférence, le spationaute Jean-François Clervoy expliquait que 70 % du temps d’entraînement avant un vol dans l’espace consistait à s’exercer aux pannes de toute nature. Sans aller jusque-là côté cyber, c’est une réflexion à intégrer dans le fonctionnement des organisations.

Si vous n’êtes toujours pas convaincu, posez-vous juste la question suivante : si au lieu de vivre un afflux massif de patients pendant le Covid (qui a saturé les services de réa, entre autres) et qui a duré en gros 18 mois, le système de santé français avait connu une panne totale de toute l’informatique des 135 GHT pendant la même durée… Vous préférez gérer quelle situation ?

[1]   Amavi : Afflux massif de victimes.

[2]   Single Point of Failure, ou maillon faible.