At your service 24/7
dga

Gestion de crise cyber chez Bouygues Construction

Article extrait du n° 600 de Face au Risque : « Ingénierie de sécurité incendie » (mars-avril 2024).

En janvier 2020, Bouygues Construction a été victime d’une cyberattaque. Le cabinet de conseil en gestion de crise EH&A, qui accompagne le groupe Bouygues dans l’organisation de la gestion de crise, a vécu cette attaque aux côtés du comité de direction de Bouygues Construction. Emmanuelle Hervé, présidente et fondatrice d’EH&A, a recueilli la vision du responsable de la sécurité des systèmes d’information (RSSI) de l’époque, Thomas Degardin. Il est aujourd’hui coordinateur cybersécurité du groupe Bouygues.

En janvier 2020, Bouygues Construction est la cible d’une cyberattaque majeure. Pouvez-vous nous en parler ?

Thomas Dégardin. Bouygues Construction a été touchée par une cyberattaque de type “cryptolocker” dans la nuit du 29 au 30 janvier 2020. À l’époque, l’entreprise comptait un peu plus de 60 000 collaborateurs, 30 000 postes de travail et 3 000 serveurs. La première décision a été de couper l’alimentation électrique du système d’information, pour enrayer la propagation du virus. Imaginez un réseau déployé dans plus de 60 pays, plusieurs centaines d’applications majeures : tout cela à l’arrêt. Les équipes qui travaillaient sur ces systèmes ne pouvaient plus rien faire, ne pouvaient plus se connecter aux unités finances, traiter les fiches de salaires.

Nous avons basculé en mode crise. Le Comex de Bouygues Construction nous a donné immédiatement deux priorités : payer les salaires des collaborateurs (nous étions en fin de mois) et faire en sorte qu’aucun chantier ne s’arrête en permettant leur approvisionnement et le paiement des fournisseurs.

Comment s’est organisée la gestion de crise ?

T. D. Une cellule de crise opérationnelle côté DSI s’est mise en place, avec une organisation, pour tenir 24/7 car au début de la crise, c’est du non-stop. Une cellule décisionnelle s’est également mise en place au niveau du comité de management de Bouygues Construction, avec des interactions fréquentes entre les deux. Le rôle de la cellule décisionnelle était de donner les priorités de redémarrage pour que l’entreprise surmonte cette difficulté et elle laissait la cellule opérationnelle s’occuper des problématiques techniques. La grande difficulté était l’ampleur de la crise. Quand tout commence, nous ne savons pas trop ce qui nous tombe dessus. Au début, nous sommes dans le flou, la première difficulté est de savoir ce qu’il se passe. Les autres difficultés apparaissent au fur et à mesure.

Il y a eu, de plus, une concomitance des crises. Six, sept semaines après le démarrage de cette crise informatique, la pandémie du Covid-19 a débuté. Il a fallu travailler à la résolution de la crise tout en étant confinés. Cela a ajouté des cellules de crise dans la crise.

Face à ce type de crise, quelle est selon vous la stratégie à adopter ?

T. D. Je ne peux pas vous donner une stratégie magique parce qu’il n’y en a pas. Ce serait trop simple, nous l’aurions déjà tous. Le point qui me semble primordial c’est d’enclencher des investigations, du forensic. Si la situation devait se représenter, nous referions sans hésiter ces analyses. Si nous ne savons pas ce qu’il s’est passé, c’est extrêmement compliqué, voire impossible, de redémarrer en toute confiance. Ne pas conduire ces investigations, c’est comme jouer à la roulette russe, prendre des décisions et croiser les doigts. Ça ne fonctionne pas. Il faut se faire aider.

Vous pouvez préparer tous les plans de réponse, la situation sera toujours un peu différente. Chaque attaque est différente et il faut surtout savoir s’organiser pour y faire face et s’adapter continuellement. À mesure que la crise se poursuit, l’enquête apporte de nouveaux éléments qui permettent d’ajuster les actions, on s’adapte au fur et à mesure. La stratégie repose donc sur l’enquête. L’échange d’informations entre les cellules est la clé.

Et en ce qui concerne la communication de crise ?

T. D. Si l’entreprise ne communique pas, les hackeurs le feront. Ils ont des services de communication eux aussi. Si vous ne parlez pas en premier, il faudra traiter la parole de la partie adverse. Cela prend plus de temps de démontrer qu’un hackeur communique des informations incorrectes que d’annoncer, en premier, ce que vous savez ou ce que vous ne savez pas. Vous avez le droit de dire « pour l’instant on ne sait pas ».

Quels enseignements le groupe a-t-il tirés de cette crise ? Cela a-t-il changé la culture de la crise, en particulier cyber ?

T. D. À la suite de la cyberattaque, les trois mots souvent martelés par le DSI étaient : plus jamais ça. Plus jamais une crise avec une telle ampleur. Il est important de se reconstruire, de réorganiser. Cela a été une vraie prise de conscience et pas seulement du groupe, mais de moi aussi. La crise est une dose d’humilité XXL. Depuis, le sujet cyber a été saisi par la direction générale de façon encore plus précise, avec des suivis réguliers dans tous les métiers du groupe.

Vous êtes dans le milieu de la cybersécurité depuis 20 ans, comment la menace a-t-elle évolué ?

T. D. Le monde technique a bien sûr évolué, mais c’est finalement le rapport avec la menace qui a changé. C’est une course gendarme-voleur. Les attaquants étaient peut-être à une époque des adolescents en sweat à capuche dans un garage, mais ce sont maintenant de vraies organisations cybercriminelles très bien organisées, avec des processus de recrutement. Elles investissent du temps et de l’argent dans leurs attaques et doivent maximiser les résultats. Il faut vraiment prendre en compte cette évolution de la menace. De plus, l’approche traditionnelle qui consiste à se protéger tout seul ne suffit plus, il faut prendre en compte les fournisseurs et être dans une coopération étendue de toute la chaîne de production.

Pour lire la suite de cet article, vous pouvez cliquer sur l’image :

En pleine tempête, qui pour tenir la barre?

Les relations entre assureurs et spécialistes de la gestion de crise ne sont pas directs. Pourtant, ces derniers peuvent éviter bien des soucis à une entreprise prise dans une situation d’urgence pouvant la mettre en péril.

Continue reading “En pleine tempête, qui pour tenir la barre?”

Les Sommets du Digital – Le confinement expliqué à mon boss 

Retour sur le webinar du 14 avril 2020 des Sommets du Digital auquel Emmanuelle Hervé participait avec Hervé Kabla, Président de Else&Bang, Manuel Diaz Président de Emakina et Yann Gourvennc Dirigeant de Visionary Marketing.

ICompetences – PPMSeminar – Gestion de Crise 

Emmanuelle Hervé présente les clés de la communication de la gestion de crise. Définition de la crise, les cadres, les acteurs et les processus de gestion.

Exposition Lumières d’Afrique au Palais Chaillot – Paris – Energie pour l’Afrique – COP 21

Emmanuelle Hervé était invitée à l’ouverture de l’exposition Lumières d’Afrique au palais Chaillot. Elle est  interrogée sur les projets énergétiques en Afrique et sur l’importance du continent par Louis Magloire Keumayou.

Suicide du juge Lambert : la pression médiatique a-t-elle tué le juge Lambert ?

Mediasphere de 12 juillet 2017 sur la mort du Juge Lambert, Intervention d’Emmanuelle Hervé, EH&A Consulting.

LCI – La Médiaspère

Mediasphere de 20 juillet 2017 Crise entre le CEMA et Macron / Balard et Bercy, retour sur la guerre des images : faute politique ou excès de confiance ? Intervention d’Emmanuelle Hervé, EH&A Consulting.

Atlantic Radio – Les Experts de la prévention – Comment prévenir les risques psycho-sociaux.

En octobre 2017, Emmanuelle Hervé est intervenue dans l’émission « Les experts de la prévention » de la radio marocaine Atlantic pour expliquer comment prévenir les risques psycho-sociaux.

Atlantic Radio – Les Experts de la prévention – Comment anticiper une crise en entreprise

En octobre 2017, Emmanuelle Hervé est intervenue dans l’émission « Les experts de la prévention » de la radio marocaine Atlantic pour expliquer comment anticiper une crise en entreprise.

BFM – Il est temps de parler d’économie –  La BNP Paribas échappe t-elle au pire ?

La BNP Paribas est dans le viseur de la justice américaine. Une amende de 9 milliards de dollars plane sur la banque française. Un montant qu’elle peut assumer économiquement. C’est en terme d’image et de réputation que les dommages peuvent s’avérer être plus importants. Emmanuelle Hervé analyse les enjeux, la communication, la gestion en interne et les aspects culturels de cet épisode judiciaire crucial pour la BNP.

E&HA
Privacy Overview

This website uses cookies so that we can provide you with the best user experience possible. Cookie information is stored in your browser and performs functions such as recognising you when you return to our website and helping our team to understand which sections of the website you find most interesting and useful.