Entretien: «Il ne s’agit pas d’avoir raison ou tort, mais de partager des moments d’apprentissage»
Nemanja Mitic est Head of Cyber Governance chez UBS. Engagé depuis 2022 en faveur de la cyberrésilience du secteur financier, il dirige la section «Exercises & Training» du Swiss FS-CSC. Dans cet entretien, il explique pourquoi des cyberexercices réalistes valent mieux que de simples galops d’essai, en quoi le management joue un rôle essentiel dans ce cadre et ce qu’apporte la perspective sectorielle.
Nemanja Mitic, quelles sont les clés du succès lorsqu’on prépare un cyberexercice?
Une des clés, selon moi, réside dans la composition de l’équipe qui prépare l’exercice. Celle-ci réunit des représentantes et des représentants de toutes les parties prenantes importantes – banques, entreprises d’assurance, prestataires de services financiers et autorités. Ainsi, nous faisons en sorte que participer à l’exercice soit intéressant pour tous les membres. En outre, dans le cadre de la préparation, il faut avoir un objectif clair: sur quoi doit porter l’exercice? Quelles décisions les participantes et les participants devront-ils s’entraîner à prendre? Et puis il y a un aspect de la préparation que l’on sous-estime souvent et qui concerne l’animation et la structuration des discussions – anticiper les questions, prévoir des axes de réponse, fixer des repères temporels. Cela permet d’homogénéiser les échanges dans les différents groupes, afin que l’exercice global atteigne son objectif et soit fructueux pour tout le monde.
Pourquoi les cyberexercices fondés sur des scénarios sont-ils essentiels pour renforcer la cyberrésilience?
La cyberrésilience ne s’obtient pas simplement en élaborant des documents pertinents et des check-lists. Les cyberexercices fondés sur des scénarios testent les éléments théoriques concrètement, dans des conditions réalistes. Ils ne sont donc pas seulement utiles, ils sont absolument indispensables.
Quelles sont les principales difficultés auxquelles on est confronté lorsqu’on prépare et réalise des cyberexercices?
En ce qui concerne le Swiss FS-CSC, la première est l’hétérogénéité du groupe cible. D’une part, les participantes et les participants n’ont pas le même background: selon la taille de leur établissement et les fonctions qu’ils y exercent, ils sont plus ou moins au fait des problématiques concernées. D’autre part, ils n’ont pas les mêmes attentes: certaines personnes souhaitent obtenir des réponses ou des solutions claires, d’autres préfèrent des discussions ouvertes. Mais il ne s’agit pas d’avoir raison ou tort sur les solutions, il s’agit de partager des moments d’apprentissage.
En quoi les cyberexercices stratégiques, comme celui qui a eu lieu en mars 2026, se distinguent-ils des cyberexercices opérationnels?
La différence réside dans la nature des décisions que les participantes et les participants sont amenés à prendre. Les exercices opérationnels visent à résoudre des problèmes techniques, tandis que les exercices stratégiques obligent les managers à gérer des conflits d’objectifs sous la double pression de l’incertitude et du temps – en fixant des priorités et en prenant les décisions stratégiques requises. Les deux formats sont complémentaires. Il faut impérativement les combiner pour parvenir à une véritable cyberrésilience.
Pourquoi les cadres supérieurs devraient-ils eux aussi participer activement aux exercices de cybersécurité ?
En cas de cyberincident qui dégénère, on en vient très vite à devoir prioriser les services critiques, activer le Business Continuity Management ou communiquer avec la clientèle et le public. Ces tâches sont impossibles à déléguer. La cyberrésilience est avant tout un enjeu stratégique.
En quoi les participants bénéficient-ils des exercices de cybersécurité organisés par le Swiss FS-CSC?
C’est la perspective sectorielle. De nos jours, il est rare que les cyberattaques d’une certaine ampleur visent un seul établissement. Les interdépendances avec des tiers, des infrastructures de marché, des prestataires de services ou d’autres établissements financiers jouent un rôle crucial. Ce sont précisément elles que les cyberexercices du Swiss FS-CSC mettent en lumière. Par ailleurs, le changement de perspective est également très utile selon moi. Les participantes et les participants découvrent, au-delà de leur propre situation, comment d’autres établissements gèrent des situations similaires. Cela favorise la compréhension et améliore la qualité des échanges – sans la pression d’une évaluation.
Qu’est-ce qui te motive dans cette tâche? Ton travail chez UBS bénéficie-t-il des fonctions de responsable de section que tu exerces au sein du Swiss FS-CSC?
Ce qui me motive, c’est la bonne collaboration avec des collègues d’autres établissements, mais aussi l’idée que, par notre travail, nous permettons aux équipes concernées de prendre les bonnes décisions au bon moment. Quant à mon travail chez UBS, le principal bénéfice que je vois est la perspective sectorielle, qui me permet d’identifier des schémas, des interdépendances et des dynamiques décisionnelles par-delà les établissements individuels. Ces connaissances, je les mets directement au service de mon travail quotidien.