Comment est né le projet de l’association ?
Delphine Chevallier : Nous avons créé l’Assovica à la suite d’un double constat. D’une part, le fait que les victimes des incidents cyber ne sont pas encore assez entendues et écoutées ; d’autre part, le fait que l’on ne mesure pas encore pleinement, voire que l’on sous-estime le traumatisme généré par une cyberattaque pour l’organisation et surtout pour les équipes.
On commence à avoir des témoignages en source publique. Mais nous nous sommes rendu compte, particulièrement lors de conférences, qu’il y a une différence entre ce que la personne dit devant tout le monde et ce qu’elle va venir vous livrer dans un moment un peu plus intime, sur la manière dont elle a vraiment vécu les choses.
Il est vrai qu’il est toujours assez difficile pour les victimes de parler de l’incident, pour différentes raisons que l’on connaît désormais. La première est que l’on peut craindre que le fait d’avoir été victime d’un acte de cybermalveillance sur ses actifs professionnels, mette à mal le capital confiance construit avec ses clients, fournisseurs, partenaires, etc. Il peut aussi y avoir, bien entendu, des choses que l’on n’a pas envie de partager pour des raisons de confidentialité liées aux affaires.
Est-ce la raison pour laquelle votre plateforme d’écoute est anonyme ?
D. C. : Effectivement. Pour une victime de parler de ce qu’elle a vécu, il faut que l’on puisse lui offrir l’anonymat. Nous sommes une plateforme où l’on recueille les témoignages sous anonymat si les personnes le souhaitent. D’autres acceptent de témoigner sans être sous anonymat. Et, selon ce que l’on entend, on peut être amené à proposer à la personne d’interviewer aussi un client ou un partenaire qui a été touché par rebond. Mais bien entendu, tout cela ne se fait qu’avec l’accord des parties prenantes. Les documents de restitution sont complètement anonymisés et font l’objet de mesures de cybersécurité et de stockage spécifiques.
La plateforme est accessible à tout membre d’une organisation ayant subi une cyberattaque ?
D. C. : Oui. Notre point d’entrée, c’est vraiment l’organisation qui a été victime et derrière l’organisation, la ou les personnes qui ont été touchées. Et ce n’est pas forcément le DSI ou le RSSI. Il y a une réelle souffrance des professionnels de la cyber, mais la direction générale, la direction des affaires financières, le juridique, les ressources humaines et, plus largement, tous les salarié(e)s qui ont été dans la tourmente, peuvent aussi avoir besoin de raconter. Le fait de ne pas en parler ralentit la construction de la compétence collective pour mieux se prémunir et se préparer à ce type d’événements par la suite.
Qui sont les écoutants de la plateforme ?
D. C. : Les membres bénévoles de notre (très) jeune association ont des profils variés. Nous avons des avocats, des personnes qui, comme moi, viennent du milieu de l’entreprise, des RH. Nous avons aussi un coach, un expert-comptable, un commissaire aux comptes, ainsi que, bien entendu, des professionnels de la cybersécurité.
Nous ne pouvons pas encore disposer d’une ligne d’appel, ne serait-ce que parce que, pour le moment, nous n’avons pas de permanents à l’association. Mais ce serait vraiment formidable à terme ! Les personnes « qui ont des choses à dire » peuvent nous contacter par mail. Ensuite, nous nous organisons avec les bénévoles de l’association pour écouter, puis analyser et traiter l’information recueillie (anonymement, je le rappelle).
Pour l’instant, il ne s’agit donc pas d’un accompagnement psychologique et/ou technique à la crise cyber, mais plutôt d’une porte d’entrée (et d’écoute) ?
D. C. : Oui. Mais comme je vous le disais, l’association est encore très jeune (moins d’un an) et nous espérons pouvoir, à terme, nous "professionnaliser" davantage (en restant une association) sur la partie psy !
Mais vous avez raison de le dire : nous ne faisons pas de gestion de crise cyber en tant que telle. D’autres structures comme les centres régionaux de réponse aux incidents cyber (CSIRT - Computer Security Incident Response Team) gérés par l’ANSSI et d’autres structures (plateforme Cybermalveillance.gouv.fr et les services du CERT-FR, prestataires privés) sont là pour proposer ce service de réponse à incident. Mais, bien entendu, si nous sommes contactés par des personnes qui vivent une crise cyber, nous faisons le maximum pour les mettre en lien le plus rapidement possible avec ces opérateurs. Nous avons d’ailleurs mis en place une page "ressources" [1] sur le site de l’association pour guider vers les services adéquats suivant la situation.
Pour l’instant, nous pouvons proposer une zone de « décharge émotionnelle » et, à partir des témoignages, proposer des pistes de réflexion pour l’avenir. Nos travaux sont d’écouter et d’en tirer des constats et des pistes d’amélioration de la prise en charge des victimes cyber. L’idée est, avec le recueil de ces témoignages, de favoriser la prise de conscience du besoin sur ce terrain-là. Ce sera d’ailleurs l’objet de notre premier livre blanc qui devrait sortir l’année prochaine.
Vous avez beaucoup de professionnels du Droit et du Chiffre parmi vos membres. Peut-on trouver auprès d’eux des conseils pour la gestion des impacts juridiques et financiers ?
D. C. : En effet. Nous construisons petit-à-petit notre communauté professionnelle. Et nous avons bien sûr besoin de ces métiers, parce qu’il y a aussi des pistes d’amélioration à proposer dans la prise en charge des contentieux et la survie financière de l’entreprise touchée. Nous avons d’ailleurs commencé à nous rapprocher d’associations qui sont spécialisées dans l’accompagnement des chefs d’entreprise pour rebondir après un dépôt de bilan.
Comme vous le disiez, nous sommes un « chaînon intermédiaire » entre la crise cyber elle-même et la suite, des terrains encore assez peu connus. Prenons l’exemple de la responsabilité : quelles responsabilités individuelles et/ou collective dans la survenance et le traitement d’un incident cyber ? La jurisprudence est encore assez pauvre sur le sujet.
Plus largement, il y a d’immenses champs de recherche dans de nombreuses disciplines. Nous nous sommes aussi beaucoup renseignés aussi sur ce qui se faisait ou pas à l’étranger. Il y a un vrai besoin de compiler et de diffuser les bonnes pratiques et l’association s’est donné pour mission d’y contribuer.