Comme le rappelle Guillaume Poupard en introduction du guide de l’ANSSI dédié à l’organisation des exercices de gestion de crise cyber, dont cet article fait une synthèse : “Une attaque enrayée par une bonne préparation ne fait pas de bruit !”
Bien qu’elle entraîne forcément des bouleversements et du stress, s’y préparer permet de contenir au mieux ses effets.
Voyons comment mettre en place des exercices de gestion de crise cyber, de façon à ce qu’un incident de sécurité informatique fasse le moins de bruit et laisse le moins de traces possible. Mais pour commencer, qu’est-ce qu’une crise cyber ?
Crise cyber : définition
Une attaque cyber se caractérise par une atteinte aux équipements informatiques et qui peut mener à une crise. Toute organisation est concernée, toutes tailles et secteurs d’activité confondus.
Source ANSSI - Guide "Organiser un exercice de gestion crise cyber"
Par ailleurs, une crise est “un événement rare avec un impact fort” :
- Elle peut toucher une organisation via des canaux multiples, et se propager à l’intérieur du Système d’Information et au-delà.
- Si l’impact est certain (finances, réputation, organisation...), il peut être difficile à estimer précisément.
- L’attaque peut évoluer dans la mesure où l’attaquant peut réagir à la suite des actions de protection et de remédiation mises en place par l’organisation, et elle peut être réitérée dans le temps.
Etant donné qu’une crise cyber requiert des compétences techniques avancées et une organisation exceptionnelle, il convient de s’assurer que toutes le parties-prenantes sont préparées pour agir efficacement : les équipes techniques (DSI, RSSI...), mais aussi équipes métiers (légal, communication, RH, finances...). C’est une des seules crises qui peut impliquer toutes les équipes d’une entreprise en termes d’impact et de résolution.
La gestion du temps est également particulière dans une crise cyber : le temps d’investigation peut être beaucoup plus long que le temps de prise des décisions et de résolution. En effet, la cellule décisionnelle doit attendre les résultats de la cellule opérationnelle, ce qui implique une coordination particulièrement forte entre tous les acteurs.
Les exercices de crise au cœur des dispositifs de sensibilisation
Pour faire prendre conscience des enjeux cyber, renforcer les connaissances et surtout la résilience face à une crise, rien de tel qu’une simulation ! Cette initiative est centrale dans une démarche de sensibilisation, et elle permet de mettre les parties prenantes en situation.
"Mon conseil [...] : prioriser la sensibilisation à la cybersécurité à tous les niveaux de l'organisation : investir dans des solutions efficaces, sensibiliser le personnel aux dernières menaces, et encourager une culture de sécurité où chacun se sent responsable de la protection des données de l'entreprise. Cette approche impliquant des ressources techniques et humaines augmente significativement le niveau de sécurité de l’entreprise."
Sofiane Benou, CRO – Scalair
“Les incidents et les crises se gèrent efficacement grâce à des équipes bien formées qui connaissent les plans mais qui ne les consultent que rarement et lorsque des situations telles viennent à se présenter.
Il faut ainsi garder en tête qu’il n’est pas raisonnable de penser que seule l’expertise des équipes suffira à faire face à tous les aléas.
Il n’est pas non plus raisonnable de croire que la rédaction de stratégies et de plans sans formation auprès de ceux supposés les appliquer suffira à appréhender toutes les situations redoutées.
La résilience et la gestion de crise sont deux thèmes qui présentent de fortes adhérences et qui partagent la caractéristique de devoir être pensées en amont, intégrées au fil de l’eau auprès des équipes, et surtout testées."
Rémy Dutartre, Responsable du Conseil en Résilience et Gestion de crise - Thales Cyber Solutions
Entrons maintenant dans les détails de la préparation à la gestion d’une crise cyber.
Les avantages des exercices de gestion de crise cyber
En premier lieu, il faut absolument avoir en tête certains principes essentiels lors de la mise en place d’exercices de simulation de crise :
- Le scénario doit être plausible ;
- L’exercice ne doit en aucun cas impacter l’activité normale de l’organisation ni de son Système d’Information (avec la possibilité de déployer un environnement de test dédié, aussi appelé “range”, pour les organisations les plus rodées) ;
- Il ne s’agit pas de surprendre, piéger ou prendre en défaut les participants, mais de remporter leur adhésion en démontrant les bénéfices de l’exercice lui-même, et du dispositif de gestion de crise prévu.
Outre le fait d’améliorer la préparation des équipes pour faire face à une crise, un exercice contribue aussi à renforcer les connaissances en matière de sécurité informatique, et à maintenir l’engagement et la vigilance des équipes.
Il permet par ailleurs de répondre à des exigences légales en vigueur pour certains secteurs d’activité, comme par exemple Bâle 3 pour la finance, Solvency 2 pour la finance et les assurances, ou encore NIS2... Ainsi, dans certains cas, l’exercice doit s’accompagner de déclarations légales selon la législation applicable.
La planification d’un exercice de gestion de crise cyber
Un exercice de simulation de crise doit être encadré par un cahier des charges.
Il s’agit de définir les objectifs de l’exercice, les événements et incidents à tester, les participants, le scénario et les indicateurs de réussite.
Ce cahier des charges peut être réalisé par un groupe dédié au projet en interne, ou éventuellement avec l’appui d’un prestataire externe (cabinet de conseil).
Ce groupe projet a vocation à cadrer l’exercice, préparer le scénario d’attaque, prévoir un format (exercice sur table, simulation...), animer l’exercice, et mettre en forme le document de retour d’expérience.
Il est composé d’une personne en charge de la direction de l’exercice, et de personnes en charge de la planification et de l’animation.
Les participants à l’exercice se répartissent en trois ensembles : les joueurs, les animateurs et les observateurs (en cas d’intervention d’un prestataire externe, ces deux derniers rôles sont assurés par ses soins).
Les objectifs de l’exercice peuvent être définis en fonction des menaces qui pèsent sur l’organisation :
- défiguration de site,
- attaque DDoS,
- vol de données,
- ransomware...
ou des besoins identifiés en interne, en lien avec les différentes parties prenantes (experts techniques, communicants, équipe dirigeante...) pour renforcer leur implication :
- former les membres de l’organisation,
- tester des dispositifs spécifiques (solution techniques, dispositifs de communication...)...
Enfin, la planification doit aussi comprendre les aspects logistiques du test :
- lieu,
- durée,
- matériel nécessaire,
- organisation des réunions de préparation,
- organisation des réunions de retours d’expérience et de restitution...
Le cahier des charges réunit ainsi toutes les informations relatives à l’organisation de l’exercice : qui y participe et avec quel rôle, dans quelles conditions, le scenario, le chronogramme (rythme et intensité de l’exercice, dont la définition peut être facilitée par des logiciels prévus à cet effet), la documentation remise aux participants en amont (dossier de mise en situation, modèles de documents utilisés dans le cadre de l’exercice...), etc.
Un exercice de gestion de crise a vocation à se préparer non seulement sur les aspects techniques, mais aussi sur le plan de la communication pour les cas de crises qui peuvent avoir un retentissement médiatique.
Le site du CERT-FR recense les vulnérabilités les plus récentes et les plus graves, ainsi qu’un mémo sur les ransomwares, sur lesquels vous pouvez vous appuyer pour concevoir votre scénario.
Les retours d’expérience à l’issue d’un exercice de crise cyber
Un exercice de gestion de crise permet de tester ses propres solutions techniques, son organisation et son dispositif de communication, et de tirer des enseignements.
Il aide à identifier les points forts et les axes d’amélioration afin d’être prêts en temps utile. Pour ce faire, voici trois étapes importantes à l’issue d’un exercice.
Le Retex à chaud
Les participants sont encore sous l’effet de l’exercice, et c’est le moment de recueillir des retours d’expérience comme d’évacuer les éventuels points de frustration à propos de ce qui a été testé, et de l’exercice en lui-même.
Les retours positifs doivent être valorisés autant que les points à améliorer.
Ce Retex à chaud peut prendre la forme d’un tour de table au cours duquel les participants reviennent sur l’organisation de l’exercice, le scénario, la qualité des échanges... Notez qu’il est préférable de laisser d’abord la parole aux joueurs pour éviter l’influence des observateurs.
Plusieurs Retex peuvent être organisés en parallèle dans le cas où plusieurs cellules de crise ont été mises en place pour l’exercice.
Le Retex à froid
Il offre une nouvelle occasion de consolider la réflexion sur les résultats de l’exercice de gestion de crise, avec davantage de recul.
Il peut se dérouler de quelques jours à quelques semaines après l’exercice, en complément du Retex à chaud, éventuellement avec le support d’un questionnaire.
Il doit réunir tous les participants et prendre environ 1h, pour aborder de nouveaux points ou revenir sur l’évaluation à chaud, et il peut être complété par des échanges individuels.
Le rapport écrit et la restitution
Enfin, un rapport écrit et une restitution permettent de capitaliser sur les enseignements de l’exercice. Le rapport regroupe tous les éléments écrits produits au cours de l’exercice, les notes, et les comptes rendus des différents Retex.
Il permet ainsi de s’assurer que toutes les parties prenantes sont au même niveau d’information et de compréhension, et peuvent ainsi définir un plan d’action commun en vue d’optimiser le dispositif de gestion de crise.
Bonne pratique : la complexité peut monter d’année en année, mono-cellule puis multi-cellule, et progressivement multi-sites...
Dans un prochain article, nous allons préciser les écueils et les biais à éviter pour assurer un exercice dans les meilleures conditions. Stay tuned!
En attendant, découvrez pourquoi l'analyse humaine reste essentielle
pour investiguer en cas d'alerte de sécurité :