Face à une menace informatique toujours croissante et en mutation, l’amélioration de la résilience numérique par l’entraînement à la gestion de crise d’origine cyber est une nécessité pour toutes les organisations.
1. En quoi une crise d’origine cyber diffère d’une autre crise?
Selon l’ANSSI, une crise « d’origine cyber » se définit par la déstabilisation immédiate et majeure du fonctionnement courant d’une organisation (arrêt des activités, impossibilité de délivrer des services, pertes financières lourdes, perte d’intégrité majeure, etc) en raison d’une ou de plusieurs actions malveillantes sur ses services et outils numériques (cyberattaques de type rançongiciel, déni de service – DoS, etc). C’est donc un évènement à l’impact fort, qui ne saurait être traité par les processus habituels et dans le cadre du fonctionnement normal de l’organisation.
En comparaison à d’autres types de crise, les crises d’origine cyber ont des spécificités qu’il est important d’appréhender :
. une double temporalité, avec des impacts immédiats et une remédiation longue pouvant s’étendre sur plusieurs semaines, voire plusieurs mois ;
. une absence d’unicité de lieu de réalisation et une potentielle propagation à d’autres organisations en raison de l’interconnexion des SI ;
. une menace s’adaptant aux mesures d’endiguement et de remédiation : les attaquants réagissent aux actions entreprises par l’organisation ciblée, par exemple en effaçant leurs traces par des actions destructrices ;
. une incertitude concernant le périmètre de la compromission ;
. une complexité pour comprendre les objectifs de l’attaquant et l’origine de l’attaque.
Se préparer à la possibilité d’une attaque cyber et s’entrainer par le biais d’exercices est donc fondamental. Lors d’une crise cyber, des actions de remédiation doivent être décidées et exécutées rapidement. Une gestion de crise nécessite une bonne préparation via la mise en place de processus et d’outils éprouvés. Construire une organisation de crise résiliente, c’est :
. permettre de limiter les impacts de la crise cyber;
. maintenir la confiance de l’écosystème;
. prioriser et conserver en mode dégradé les activités critiques affectées.
2. S’entraîner, la meilleure solution
Les organisations disposant d’un dispositif de crise existant peuvent l’adapter pour prendre en compte les aspects spécifiques aux crises d’origine cyber.
Un exercice de gestion de crise consiste à simuler un scénario et s’inscrit dans une réflexion globale de stratégie d’exercices s’appuyant sur des procédures et prévoyant une montée en compétences par l’organisation d’exercices de plus en plus complexes. Celle-ci prévoit l’entraînement des niveaux décisionnels comme opérationnels et permet de :
. sensibiliser les personnels aux problématiques cyber et entraîner ceux qui ont un rôle à jouer, à tous les niveaux de l’organisation;
. éprouver l’efficience des procédures et les améliorer;
. rendre compte des efforts produits en matière de résilience cyber répondant ainsi à de potentielles exigences légales et attentes sociétales.
Un programme dédié d’exercices pluriannuel doit être élaboré pour maintenir le niveau d’engagement et de sensibilisation des acteurs impliqués et capitaliser sur les compétences acquises.
Imaginé ou basé sur des faits réels, un scénario doit être vraisemblable et refléter l’état de la menace cyber pesant sur l’organisation au moment de l’exercice. Il est basé sur une attaque informatique, avec ses détails techniques, ses conséquences et impacts métiers, les réactions de l’écosystème (partenaires, clients…) et les éléments de sa résolution technique.
La loi impose d’ailleurs aux Opérateurs d’Importance Vitale (soumis aux exigences cyber de la loi de programmation militaire de 2013) et aux Opérateurs de Services Essentiels (soumis aux dispositions de la directive européenne NIS – Network and Information Security), un dispositif global de maîtrise du risque numérique, incluant les volets de gouvernance, de protection et de défense de leurs systèmes d’information mais également un volet relatif à la résilience de leurs activités.
3. Des experts cyber mais pas seulement
Faire face à une crise d’origine cyber nécessite de coordonner des équipes variées, dont les périmètres d’action et les décisions sont à la fois d’ordre technique (équipes en charge de la sécurité des SI, services informatiques, etc) et stratégique (continuité d’activité, communication, etc.) pour endiguer les effets de la crise d’une part, et rétablir le bon fonctionnement des systèmes d’autre part. Le recours à un prestataire de réponse à incident de sécurité qualifié est souvent nécessaire. Certains contrats d’assurance cyber proposent un volet assistance en plus du volet financier.
Enfin, pour une gestion globale de la crise, il est indispensable d’avoir pensé sa stratégie de communication lors d’une attaque informatique, d’avoir anticipé sur les spécificités d’une communication de crise cyber et de faire travailler main dans la main la communication avec la réponse technique.
Framatome Cybersecurity accompagne les organisations dans le renforcement de leur posture de cybersécurité
***
Pour aller plus loin …
o ANSSI: Crise d’origine cyber, les clés d’une gestion opérationnelle stratégique
o ANSSI: Organiser un exercice de gestion de crise cyber
o ANSSI: Anticiper et gérer sa communication de crise cyber
o ANSSI: contribuez avant le 22 juin 2023 à l’appel à commentaires sur la remédiation
o AFNOR: Cyber-résilience reconstruction du SI et continuité d’activité métiers en cas de cyberattaque paralysante