Méthodologie

Pourquoi mener des exercices de crise cyber?

En tant que RSSI ou SOC Manager, vous êtes convaincus de l’intérêt des exercices de crise, mais ce n’est pas le cas de votre DSI ou de votre direction ? Voici des arguments pour vous aider à installer cette bonne pratique auprès de vos collaborateurs.
8 min

Exercice de gestion de crise cyber : définition 

Selon NIST, un exercice de gestion de crise est : “Un exercice basé sur la discussion où les collaborateurs ayant des rôles et des responsabilités sur les sujets informatiques se réunissent collégialement ou en petits groupes, pour valider le contenu du plan d’action, en discutant de leurs rôles et des réponses à apporter en cas de crise. Un animateur lance l’exercice en présentant un scénario, et pose des questions basées sur ce scénario.” 

Ainsi, les exercices de crise, ou exercices sur table, sont un excellent moyen d’identifier les failles en termes d’outils et d’organisation. Ils peuvent mettre en lumière le besoin de s’équiper de solutions de cybersécurité spécifiques, ou d’améliorer les dispositifs de communication interne ou externe en cas d’attaque.  

Pour commencer, voici 3 idées reçues dont il faut se défaire à tout prix. 

Les mauvaises excuses et idées reçues pour ne pas organiser d’exercice de gestion de crise cyber  

Le manque de temps 

“Un exercice de gestion de crise prend du temps et demande de l’organisation, et nous n’avons pas ce temps.” 
Ne pas s’entraîner à gérer une crise est le meilleur moyen de se retrouver pris au dépourvu lorsqu’une attaque survient. En effet, on ne le répète jamais assez : il ne s’agit pas de savoir si on va être attaqué, mais quand on va l’être.  
Et finalement, quand on sait que les conséquences d’une attaque peuvent s’étendre sur plusieurs mois, qu’est-ce que quelques heures d’exercice par rapport à des jours, voire des semaines, gagnées dans la gestion d’une crise réelle ? 

La taille trop modeste de l’organisation 

“Nous sommes trop petits pour être la cible d’attaques.” 
Pour vous défaire de cette idée reçue, sachez qu’en 2023, le Campus Cyber a relevé dans un rapport que les TPE et PME françaises (99% du tissu économique) ont été près de 20 fois plus attaquées que les grandes entreprises. 

Le RSSI est l’unique responsable en cas d’attaque 

“C’est le rôle de l’équipe de sécurité d'intervenir en cas d’attaque, pas celui des autres équipes.” 
L’équipe de sécurité est, comme son nom l’indique, responsable de la sécurité, mais elle n’opère pas seule. Elle est liée à la DSI et doit impérativement se coordonner avec toute une organisation en cas d’incident.  
Par ailleurs, d’autres équipes ont de fortes chances d’être impliquées en cas d’attaque : l’équipe dirigeante pour la prise de décisions stratégiques, l’équipe communication pour des prises de parole publiques, l’équipe technique pour apporter une expertise et des réponses opérationnelles... Toutes ces parties prenantes doivent agir ensemble en suivant des procédures bien rodées. 
 

Maintenant que nous avons vu quelques croyances à propos des exercices de gestion de crise, passons aux arguments en faveur de cette démarche essentielle, en vue d’assurer une meilleure réponse et une meilleure résilience en cas d’attaque cyber. 

3 arguments pour promouvoir les exercices de gestion de crise cyber 

Un exercice de quelques heures seulement peut être efficace 

Pour être efficace, un exercice de gestion de crise cyber n’a pas besoin de s’étaler sur un ou plusieurs jours. Quelques heures peuvent suffire pour tester un outil ou une procédure, soulever des questions auprès des intervenants, et débriefer. 

L’exercice peut par exemple consister à résoudre un problème “sur le papier” à l’aide d’une discussion sans mise en situation ; tester la remontée d'alertes et leur qualification ; tester un outil ou des fonctionnalités d’un outil (par exemple, la notification de masse). 

Découper les exercices en plusieurs sessions permet ainsi de couvrir un périmètre à la fois large et complet, avec un impact minimum sur le rythme de travail des équipes métiers, et en limitant les risques de dispersion. 

 

Une simulation de crise renforce la cohésion des équipes et la culture cyber 

Les questions techniques sont évidemment centrales dans le cadre d’une cyberattaque, mais ce ne sont pas les seules !  
Une attaque peut avoir des conséquences impliquant des aspects juridiques, administratifs, financiers, ou encore la réputation de l’organisation... Réunir toutes les parties prenantes autour d’une table permet d’une part de renforcer les liens, mais aussi de permettre à chacun de prendre conscience des périmètres et des expertises. 

C’est aussi l’occasion de faire collaborer des équipes métiers autour de sujets de sécurité qui ne font pas partie de leur quotidien, et de renforcer leurs connaissances à propos de menaces, des techniques d’attaques, des groupes d’attaquants...  
Ces exercices de gestion de crise sont ainsi un excellent moyen de refaire de la sensibilisation autour des bonnes pratiques essentielles de cybersécurité. 

En somme, la protection optimale d’un parc informatique dépend à la fois des outils de cybersécurité, mais aussi de la vigilance de tous les utilisateurs, et de processus de gestion de crise parfaitement huilés tant sur les aspects techniques que de communication. 

"Dans certaines organisations, les exercices de crise ont été l’occasion de prendre conscience des enjeux cyber, et de débloquer a posteriori des budgets pour renforcer la sécurité avant qu’une attaque réelle ne survienne. C’est donc un très bon moyen de convaincre une équipe dirigeante d’allouer des ressources aux solutions de cybersécurité avant qu’il ne soit trop tard.” 
Léna Jakubowicz, Ingénieure Avant-vente - HarfangLab 

 

Un exercice permet de gagner du temps en conditions de crise cyber réelle 

Un exercice de crise cyber, c’est bien plus que cocher une case. Il s’agit véritablement de simuler une situation d’urgence pour être en ordre de bataille et prêt à prendre les bonnes décisions le jour où un incident survient. 

Ainsi, pour un exercice de gestion de crise cyber réussi, il faut préalablement définir les objectifs, identifier les participants et les personnes en charge de l’organisation, et assurer une restitution a posteriori pour tirer les enseignements de la simulation. 

C’est à partir de cette restitution qu’une organisation pourra prendre les mesures adéquates pour renforcer la sécurité le cas échéant, et faire en sorte que chaque partie prenante ait bien en tête ses rôles et responsabilités, et son périmètre à l’intérieur de la cellule stratégique ou opérationnelle. 

 

Comment faire si vous n’êtes pas en mesure d’organiser un exercice de gestion de crise ?  

Puisqu’aucune organisation n’est trop petite pour être victime d’une cyberattaque, aucune n’est trop petite pour organiser un exercice de gestion de crise !  
En revanche, si l’expertise ou les ressources manquent en interne, l’appui de ressources externes peut être bénéfique, d’autant que ces exercices doivent être organisés régulièrement pour valider la pertinence des outils et des process dans la durée. A cette fin, vous pouvez vous appuyer sur un MSSP, autant pour organiser des exercices que pour un accompagnement en situation de crise réelle. 

 “Une crise de sécurité met en exergue la responsabilité des équipes dirigeantes et les processus définis en amont pour gérer la situation. La prise de décision qui doit se faire en urgence, sous stress, parfois sans accès exhaustif aux informations. Ainsi formaliser son protocole de crise, même allégé, c'est indispensable pour faire face à une situation d’urgence. Les exercices de crise permettent de construire ces réflexes, un peu comme un sportif se prépare pour optimiser ses performances.” 
Nicolas Brossard, Directeur de l’offre Gestion de Crise Cyber – Advens 

“Le soutien d’un partenaire MSSP dans la gestion de crise prend tout son sens, de la construction à la mise en situation réelle, en passant par l’exercice. En effet, les partenaires MSSP sont habitués à gérer des incidents et des crises de grande envergure, et disposent de fait des éléments indispensables à la conduite des opérations où chaque minute compte.  
Ainsi, la réalisation d’exercices de crise permet d’évaluer la pertinence des processus définis en les mettant en contexte.  
Il est par exemple possible d’inclure des situations d’interruption de service aux scénarios d’exercice, en vue de mesurer l’impact éventuel en termes de pertes d’exploitation. Ces pertes anticipées ainsi que la capacité à rétablir rapidement le système d’information contribuent à limiter les impacts financiers d’une crise cyber sur l’organisation.” 
Tristan Tarrieux, Responsable SOC - Atheo 


Et en cas de crise réelle,

comment mettre en pratique les bonnes méthodes pour communiquer ?