Ransomware, espionnage, vol de données... Les menaces et les scénarios d’attaque sont multiples, tout comme les tactiques et les techniques des attaquants (le framework MITRE permet par exemple de les cartographier).
Pour contenir l’impact d’un incident de sécurité et favoriser la résilience, toute l’organisation doit être prête à réagir en cas de crise, des équipes techniques aux équipes de communication externe.
Dans un article précédent, nous avons vu comment mettre en place un exercice de gestion de crise, ou encore comment organiser les cellules de crise décisionnelles et opérationnelles.
Découvrons à présent les principaux écueils répertoriés par l’ANSSI afin que l’exercice soit le plus efficace possible.
Les responsabilités des participants à un exercice de gestion de crise
Un groupe projet est généralement constitué :
- d’une personne en charge de la direction de l’exercice, décideur cyber ou responsable de la sécurité, qui peut aussi assurer la direction de l’animation ;
- de personnes en charge de la planification, qui peuvent aussi faire partie de l’animation ;
- de joueurs ;
- d'observateurs.
La ou les personnes responsables de l’animation, ainsi que les observateurs, peuvent identifier les situations problématiques, et la direction de l’animation peut intervenir pour réorienter le déroulé de l’exercice, en s’appuyant sur les solutions proposées par l'ANSSI.
Exercices de gestion de crise : les principaux écueils
Les problématiques cyber ne sont pas bien comprises ou expliquées
La cellule de crise décisionnelle est généralement composée de membres dont la cybersécurité n’est pas un sujet auquel ils sont confrontés au quotidien. Si l’organisation n’a pas mis en place de sessions de sensibilisation ou de vulgarisation atour de la cybersécurité, ce manque de culture et de langage commun peut générer des incompréhensions.
Que faire dans ce cas ?
- L’équipe d’animation peut provoquer des temps d’échanges ad hoc pour renforcer le dialogue.
Les décisions prises par la cellule de crise ne correspondent pas aux objectifs de l’exercice
Une situation de crise est exceptionnelle et peut mener à prendre des décisions exceptionnelles voire drastiques.
Mais par exemple, si l’objectif de l’exercice est de maintenir le parc informatique en conditions opérationnelles en cas d’attaque, et que la cellule décisionnelle décide d’interrompre le Système d’Information, l’objectif est manqué.
Que faire dans ce cas ?
- C’est le rôle de l’équipe d’animation de recadrer l’exercice en rappelant l’objectif. Ce rappel peut prendre la forme d’un stimuli dans le cadre de la simulation, ou il peut être nécessaire de sortir momentanément de l’exercice pour remettre la situation à plat.
Les cellules décisionnelles et opérationnelles ne se comprennent pas
Exactement comme sur le terrain, la théorie et la pratique peuvent diverger. Ainsi, les choix de la cellule décisionnelle peuvent mettre la cellule opérationnelle face à des obstacles pour des raisons techniques, de planning, de ressources...
L’exercice de gestion de crise est aussi fait pour soulever ces sujets et les prendre en main, plutôt que de se retrouver face à un mur en situation de crise réelle.
Que faire dans ce cas ?
- La cellule chargée de l’animation peut poser des questions qui attirent l’attention sur le caractère irréaliste de certaines décisions, ou pointer les éléments manquants pour les mettre en pratique.
La cellule de crise décisionnelle se transforme en cellule de crise opérationnelle
Une cellule décisionnelle doit s’appuyer sur l’expertise technique de la cellule opérationnelle, mais elle n’a pas vocation à la remplacer.
Pourtant, il peut arriver que les membres de la cellule décisionnelle débattent de sujets techniques alors que ce n’est pas censé être de leur ressort.
Que faire dans ce cas ? Quelques options pour la cellule d’animation :
- Intervenir pour refaire de la sensibilisation aux rôles de chaque cellule.
- Discuter en aparté avec le membre de la cellule décisionnelle concerné, afin de repréciser les périmètres et les expertises de chaque cellule de crise.
- Créer des stimuli visant à orienter le membre de la cellule décisionnelle afin qu’il sollicite la cellule de crise opérationnelle.
Les équipes techniques sont sur-sollicitées
A l’inverse du cas où la cellule décisionnelle s’approprie les décisions techniques, elle peut aussi solliciter la cellule opérationnelle à outrance, au détriment des autres composantes du groupe.
Autrement dit, elle cherche à avoir un contrôle permanent sur les sujets techniques, au risque d’oublier le reste des impacts associés à la crise : communication, organisation des équipes métiers...
Que faire dans ce cas ?
- Limiter les canaux de communication vers la cellule opérationnelle ;
- ou désigner une personne qui filtre et hiérarchise les sollicitations.
Il faut aussi rappeler à l’équipe décisionnelle que les investigations demandent du temps, et que les informations techniques ont intérêt à être remontées seulement lorsqu’elles sont validées et non au fil de l’eau.
Outre les écueils fréquents dans le cadre d’un exercice de gestion de crise, certains comportements peuvent être induits par la situation bien spécifique que représente cet exercice. Ils peuvent relever de la sur-réaction, ou au contraire de la sous-réaction.
Exercice de gestion de crise : remédier aux biais de simulation
Pour un exercice réussi, l'équipe d’animation doit aussi prendre en compte les réactions et les biais comportementaux liés à la situation de crise.
Ces comportements peuvent être détectés par les observateurs, ou par l’équipe d’animation qui peut apporter des réponses afin de maintenir le cap de l’exercice.
L’ANSSI liste un certain nombre de comportements possibles à l’échelle du groupe ou d’un individu, les catégorise, et propose des solutions.
Comportements assimilés à une sur-réaction
- Agitation et manifestations de stress
Solution : Rassurer sur les objectifs de l’exercice, notamment le fait qu’il n’est pas question d’évaluer ou sanctionner, mais d'identifier des axes d’amélioration.
- Monopolisation de l’attention ou des actions
Solution : Impliquer la personne dont le périmètre n’est pas respecté, pour qu’elle donne son avis ou qu’elle agisse directement dans le cadre de ce périmètre sur lequel elle est légitime.
- Contrôle ou requêtes excessives
Solution : Ne pas répondre à toutes les sollicitations de la personne concernée, ou différer les réponses.
- Comportements et prises de décisions autoritaires
Solution : Emmener temporairement la personne concernée vers une action qui n’implique pas d'échanges avec les autre cellules (prise de parole publique, tâche de réflexion ou de production en autonomie).
Comportements assimilés à une sous-réaction
- Désintérêt ou désimplication
Solution : Inciter la personne concernée via un stimuli qui la fait revenir à l’action.
- Défausse ou déresponsabilisation
Solution : Inviter la personne concernée à reprendre la main ou à prendre une décision, à travers des dispositifs ou des outils relevant de son périmètre (à la suite d’une indisponibilité de certains applicatifs, du déclenchement d’un PRA ou du PCA...).
- Manque de dynamisme
Solution : Rappeler la temporalité de l’exercice, cruciale même si c’est une simulation. Fixer des échéances régulières pour rythmer les interactions (points de situation, rapports...).
- Manque de leadership
Solution : Fixer des échéances nécessitant de prendre des décisions et de communiquer ces choix (point presse, investisseurs, comité exécutif...).
Exercice de crise cyber : l’importance de s’adapter aux participants
Nous l’avons vu, malgré une préparation minutieuse, les exercices de simulation de crise peuvent être ponctués par des imprévus qui requièrent des adaptations.
En outre, bien qu’un chronogramme soit établi en amont pour définir le rythme et l’intensité des étapes de la simulation, il est toujours possible de le faire évoluer en cours d’exercice.
Par exemple, il peut être nécessaire de :
- guider les réactions à certains stimuli, notamment, inviter à réaliser une action ou prendre une décision à un instant T (déconnecter le réseau, contacter la presse...) ;
- attirer l’attention sur certains détails à côté desquels les joueurs seraient passés (implications ou effets de bord de certaines actions...) ;
- ou au contraire, si des étapes ont été franchies plus tôt que prévu, anticiper les étapes suivantes en vue de maintenir le rythme...
En somme, la capacité à réagir et s’adapter aux aléas dans le cadre de l’exercice sont autant d’occasions de se préparer aux imprévus qui surviendront forcément en situation de crise réelle.
Et maintenant, pour aller plus loin dans le renforcement de la sécurité de votre parc informatique,
savez-vous quels sont les KPIs à évaluer ?