Gestion de crise

Anticiper une crise cyber : qui fait quoi en cellule de crise ?

Qu'est ce qu'une cellule de crise ? Comment répartir les rôles ? Comment adapter sa cellule de crise en fonction de la nature de l'incident ?
10 min

Dans notre série “Anticiper une crise cyber”, retrouvez les meilleurs conseils et retours d’expérience des experts d’HarfangLab, ainsi que ceux de RSSI et autres acteurs de l’écosystème cyber. Un objectif : capitaliser sur les expériences de terrain pour enrichir les connaissances de chacun. Dans cet article, retrouvez les témoignages de Jean-Sylvain Chavanne, RSSI au CHRU de Brest, et de Pierre-Yves Amiot et Léna Jakubowicz, respectivement CXO et Pre-Sales chez HarfangLab.


Qu’est-ce qu’une cellule de crise cyber ?

La cellule de crise est l’équipe qui organise la gestion de crise d’une entreprise, tant au niveau de la remédiation cyber que des actions côté métiers. Elle répartit les rôles de façon claire en cas de crise, et assure la coordination entre les différents niveaux. Elle est essentielle au sein de toute entreprise, quelle que soit sa taille. Si de nombreuses tâches peuvent être externalisées en cas de crise cyber, la cellule de crise ne peut pas l’être : seules les équipes dirigeantes peuvent arbitrer et prendre les décisions qui engagent l’entreprise. Le facteur humain étant décisif, le fait d’avoir donné à chacun un rôle clair et des tâches précises en y affectant les ressources nécessaires permet de mobiliser les bonnes personnes en un temps record. Car en cas de crise, il faut, en très peu de temps, faire preuve d’une redoutable intelligence collective.


Identifiez les rôles dans vos cellules de crise cyber et documentez-les

Définissez des rôles selon vos scénarios de crise

Vous allez pouvoir répartir les rôles dans vos cellules de crise selon la nature de la crise à laquelle l’entreprise fait face. Quels sont les risques probables et potentiellement graves pour votre entreprise ? L’analyse préalable des risques cyber va vous permettre de définir des scénarios de dangers éventuels et leurs impacts. A partir de cette analyse, vous allez donc avoir différentes procédures, dans lesquelles les décisions à prendre et les parties prenantes ne sont pas les mêmes. Par exemple, si votre scénario est une fuite d’informations, la Direction Juridique de votre entreprise doit être impliquée dans la cellule de crise, car elle doit solliciter la CNIL, puis informer le coordinateur de la cellule de ses actions.

Distinguez cellule stratégique et cellule opérationnelle

En général, on définit deux types de cellules de crise distinctes : la cellule stratégique ou décisionnelle, et la cellule opérationnelle IT et cyber. Les cellules de crise mobilisent donc des personnes qui sont à la fois responsables des infrastructures IT et de la sécurité, et des personnes responsables des activités métiers de l’organisation.

La cellule de crise stratégique, décisionnelle, ou encore institutionnelle, doit rassembler les fonctions stratégiques de l’entreprise : Direction Générale, Direction de la Communication, Direction des Affaires Juridiques, Direction des Systèmes d’Information (DSI et/ou RSSI), Directions métiers à solliciter selon les besoins : RH, finance, etc. Ses missions sont :

  • Identifier les impacts métiers
  • Organiser la réponse, les décisions stratégiques, légales (CNIL, ANSSI, etc.), les actions de communication
  • Valider la remédiation avec la cellule opérationnelle sur la base des remontées de celle-ci

La cellule de crise opérationnelle IT et cyber intègre des experts clés capables de fournir des orientations, et de procéder à la remédiation. Elle rassemble les responsables cyber/IT (SOC Manager, Responsable Infra…), des experts cyber/IT, et des fonctions support. L’organisation de crise en place est la plus efficace possible et n’est pas forcément la même que celle du quotidien. Ses missions sont :

  • Coordonner les actions définies par la cellule stratégique
  • Orienter les décisions par la remontée d’informations
  • Réaliser les actions d’investigation, de remédiation et de reconstruction

Une cellule opérationnelle métiers peut éventuellement être activée selon les enjeux de la crise. RH, juridique, communication, logistique, le département métier concerné dépend des besoins de la crise. Sa mission est de réaliser les actions définies par la cellule stratégique.

Sauvegardez et communiquez ces informations

Une fois les membres des cellules de crise identifiés selon vos scénarios, vous devez les informer de leurs rôles et définir leurs périmètres d’action. Notez leurs coordonnées dans un annuaire, dupliqué dans deux environnements différents. Lors de la crise, vous n’aurez probablement pas accès à votre SI habituel, il faut donc prévoir un dispositif pour accéder à ces informations en mode dégradé.

Léna Jakubowicz, Pre-Sales chez HarfangLab

« Lorsque vous définissez ces paramètres, pensez à garantir l’agilité des cellules de crise : veillez à ce qu’il n’y ait pas trop d’intervenants pour ne pas entraver la réactivité de la cellule. Aussi, chaque membre doit avoir un niveau suffisant d’autonomie dans son domaine, pour ne pas ralentir la cellule par de longs processus de validation. » 

Assignez des tâches claires aux différents intervenants (RSSI, DSI, RP…)

Au sein de la cellule stratégique, vous pouvez nommer :

Pierre-Yves Amiot, CXO chez HarfangLab

« Il est crucial que le responsable du management de l’information préserve la cellule de crise opérationnelle. En effet, il n’y a rien de pire pour les équipes techniques que de recevoir des sollicitations de tous les côtés. Dès lors que la crise va s’installer, et perdurer, des relances et des sur-sollicitations pourraient interférer avec la gestion de la crise elle-même : le responsable du management de l’information doit préserver au maximum les intervenants.

Qui peut tenir ce rôle ? Il faut quelqu’un qui comprenne la technique, et qui puisse en même temps restituer les informations de manière simple aux équipes dirigeantes. Ce rôle peut être tenu par le RSSI de l’entreprise. Quant au directeur de crise, il s’agit souvent du DSI, qui peut être relayé par le RSSI, ou le RSSI lui-même. Cela dépend de chaque organisation, et du niveau technique du DSI. » 

Désignez une seule personne comme interlocutrice avec la presse : cela peut être le responsable des relations publiques, du marketing, de la communication, ou le responsable du management de l’information de votre cellule. L’important est que cette personne maîtrise le sujet de crise cyber, et puisse ainsi donner des informations précises et pertinentes. Dans le cas contraire, un “flop” est vite arrivé et peut même parfois déclencher une sur-crise… Ainsi, beaucoup de cellules stratégiques font appel à un service de média training pour éviter les ratés.


Chronologie d’une crise cyber au CHRU de Brest

Le jeudi 9 mars 2023, les équipes informatiques du CHRU de Brest reçoivent une notification : le système d’information du centre hospitalier est susceptible d’être victime d’une intrusion. Jean-Sylvain Chavanne, RSSI, raconte comment il a organisé ses cellules de crise pour gérer les prémices de cette cyberattaque.

« Quand l’incident est détecté, à 20h50 le jeudi 9 mars, nous convoquons une mini cellule de crise avec la DSI, la directrice de garde et moi. Nous contactons tout de suite les autorités de l’hôpital : la Direction Générale, et le Président de la Commission Médicale d’Etablissement (le représentant des soignants).

A 22h30, nous prenons la décision de couper le CHU de la connexion internet, car nous estimons que les impacts peuvent être très importants : à partir du moment où nous voyons des traces de Mimikatz et de Cobalt Strike sur plusieurs postes, nous décidons de couper l’herbe sous le pied de l’attaquant pour éviter un incident plus large, et notamment l’accès à l’Active Directory.

Le soir même, nous composons 3 mini cellules de crise, qui travaillent toute la nuit jusqu’à 6h du matin.

  • Une cellule de crise chargée de mener des investigations sur les traces que l’on a, c’est à dire de réaliser les fameuses ORC de l’ANSSI sur les différents serveurs impactés. ORC : logiciel de l’ANSSI disponible sur GitHub qui permet de faire des relevés de traces sur un serveur ou un poste de travail, pour ensuite traiter et investiguer en local.
  • Une cellule de crise dédiée à l’Active Directory, chargée de déterminer si les attaquants ont réussi à prendre la main sur l’Active Directory, et de renforcer toutes les configurations, pour sauver tout ce qui peut l’être. Dans cette cellule, il y a deux agents de l’ANSSI, et deux administrateurs système de notre côté.
  • Une troisième cellule de crise, cette fois-ci composée des métiers. Ils sont chargés d’identifier quels seraient les impacts d’une coupure internet, et de définir les procédures pour poursuivre l’activité en mode dégradé, à mettre en place dès le lendemain matin.

A J+1, donc le vendredi 10 mars, nous réorganisons les cellules de crise en deux grosses cellules : une cellule institutionnelle dont je fais partie, et une cellule technique de la DSI.

La cellule technique de la DSI est chargée de mettre en place les procédures en mode dégradé pour essayer de fonctionner le mieux possible.

La cellule institutionnelle, quant à elle, est chargée d’évaluer les impacts au sein des métiers et de prioriser les systèmes à remettre en service. Elle est également en charge de déclencher le Plan Blanc en cas de nécessité.

Très vite, nous devons prioriser ces impacts métiers. En effet, quand vous êtes en mode dégradé, vos collaborateurs viennent vous expliquer comment ce nouveau mode de fonctionnement affecte leur travail, et il faut pouvoir répondre à leur demande.

La cellule de crise institutionnelle est donc chargée de prioriser les impacts métiers, de tenir une hiérarchie dans les demandes à traiter, et de les assumer en faisant de la pédagogie sur la situation et ce qu’elle implique. Son rôle est aussi de préserver la cellule de crise technique de ce qui peut se passer pour ne pas qu’ils soient perturbés dans leur remédiation. »

En conclusion

  • Identifiez les rôles selon vos différents scénarios de crise
  • Organisez vos cellules stratégiques et opérationnelles
  • Donnez des périmètres d’action et des missions claires à chaque intervenant
  • Communiquez ces informations et sauvegardez-les pour un mode dégradé

 

Découvrez les conseils de nos experts pour communiquer en temps de crise.

Je veux tout savoir !