Améliorer la résilience numérique : entraînement à la gestion de crise cyber
Le contexte d’un entraînement à la gestion de crise cyber //
Retour d’expérience sur l’exercice organisé au profit de la direction générale d’Apside.
Il y a quelques semaines les principaux managers d’APSIDE ont été invités à rejoindre une «War Room » pour une journée d’exercice particulièrement intense où il a fallu prendre en compte, alerter, analyser, prioriser, coordonner, et décider. Parce qu’une attaque sur le cyber espace provoque des impacts multiformes et généralement sévères, il faut résolument être prêts à y faire face !
Au-delà de l’impact que cet exercice a pu avoir pour Apside en interne, cet article pose les enjeux d’une attaque cyber et les réponses à y apporter, à tous les niveaux d’une structure.
Qu’est-ce qu’une crise cyber et quel est l’objectif de ce type d’exercice ? //
On parle de « crise cyber » lorsqu’une ou plusieurs action(s) malveillante(s) sur le système d’information (SI) de l’organisation ciblée provoque(nt) une déstabilisation majeure de celle-ci. Les préjudices de ce type d’attaque peuvent parfois s’avérer irréversibles.
Il s’agit donc de s’entrainer à faire face à une situation de crise d’origine « cyber » et à savoir alerter les personnes requises pour analyser, puis décider rapidement et judicieusement. « Dans ce genre de situation il faut savoir faire preuve de discernement et restreindre le plus possible l’improvisation. L’expérience montre malheureusement que le manque d’anticipation est souvent dévastateur. » précise le directeur de l’exercice (DIREX). Il s’agit donc d’un exercice de niveau décisionnel. Celui-ci ne vise pas à surprendre ou à piéger les participants, mais, bien au contraire, à les accompagner dans un entraînement cadré qui repose sur des objectifs clairement définis, communiqués et partagés en amont.
Face à une menace de plus en plus présente, l’organisation d’exercices est indispensable. En s’entraînant très régulièrement, les équipes impliquées dans la gestion de crise acquièrent, exercice après exercice, des réflexes et des méthodes leur permettant de travailler ensemble plus efficacement. Savoir réagir à ce type d’attaque ne remplace pas la prévention, en menant une politique de cyber sécurité pro-active, mais elle doit lui être concomitante.
Sur quelle base l’exercice de gestion de crise cyber est-il conçu ? //
Préparé dans le plus grand secret par une équipe dédiée, l’exercice est précédé d’une phase dite de « warm’up » consacrée à la présentation du contexte totalement fictif mais proche d’une situation réelle (agence, client, projet). Bien qu’il s’agisse de ne pas créer de confusion avec l’activité réelle de l’entreprise, le contexte choisi se veut vraisemblable et formateur, pour les joueurs, les observateurs mais également pour les organisateurs. Ainsi, le scénario retenu se compose d’un enchaînement d’événements fictifs proposant une mise en situation de crise réaliste, bien que construite de toute pièce. Il se déroule sur une durée limitée.
Comment organiser un exercice de ce type ?
Il s’agit de ne pas partir de zéro. À ce titre, l’ANSSI propose un guide baptisé « organiser un exercice de gestion de crise cyber ». Celui-ci présente les actions à entreprendre pour chacune des étapes de conception et de cadrage, de préparation du scénario, de déroulement de l’exercice et enfin d’enseignements à en tirer.
A quoi faut-il se préparer et quels sont les caractéristiques d’une crise cyber ? //
La fulgurance de ce type d’évènement, conjuguée au fait que l’entreprise peut être touchée simultanément de manière protéiforme, génère une situation d’incertitude plus ou moins durable. À ce stade, il ne s’agit plus de se préparer au mieux à une future crise mais bien d’agir en suivant la trame d’un plan imaginé à l’avance et éprouvé.
À l’image de n’importe quel événement générateur de crise au sein de l’entreprise, les conséquences d’une cyberattaque sont diverses. En effet, les impacts peuvent être juridiques, réglementaires, légaux, métiers, organisationnels, RH, financiers, réputationnels et techniques. Ils peuvent également engendrer une forte pression médiatique. Par conséquent, la cellule de crise doit être en mesure de coordonner des équipes aux compétences variées dans le but d’endiguer les effets de la crise et de permettre la meilleure résilience possible.
Quelle est la mission de la cellule de gestion de crise ? //
Il s’agit de coordonner les actions des acteurs de la cellule de crise et des équipes extérieures pour apporter au décideur l’ensemble des éléments d’information nécessaires pour :
- Supprimer rapidement l’impact de l’attaque via un cyber confinement par exemple ;
- Assurer la continuité de l’activité ;
- Communiquer en interne et en externe ;
- Prévenir les autorités et déposer plainte…
Et enfin amorcer les opérations de correction et de reconstruction qui sont à prévoir pour une reprise d’activité dans les meilleurs délais. À noter que la sortie de crise doit s’envisager sur le long terme, souvent plusieurs mois.
En conclusion, ce type d’exercice s’inscrit dans une réflexion globale visant à renforcer la résilience de l’organisation via une démarche d’apprentissage progressif aux objectifs et paliers à atteindre au fil du temps bien définis. En invitant les bons profils et en les confortant dans leur rôle réel, l’exercice permet également de préparer les personnes. Un double bénéfice collectif et individuel donc.