Un contexte de cybermenaces
L’utilisation des technologies se généralise dans les organisations. Elles constituent un élément fondamental de leur fonctionnement mais aussi un élément décisif de leur capacité à se différencier de leurs concurrents.
Toutefois, ces technologies font l’objet de cybermenaces. Les cyberattaques se multiplient quelle que soit le type d’organisation (entreprise, organisme public ou association). Aucune organisation n’y échappe. Elles proviennent de concurrents, d’Etats, de cyber-délinquants, de personnes internes à l’organisation (collaborateurs, prestataires).
Les systèmes d’informations sont toujours plus complexes, toujours plus ouverts et interconnectés, accessibles par des divers terminaux mobiles toujours bien sécurisés (ex : smartphone personnel). Ils offrent ainsi de multiples angles d’attaque difficiles à défendre et à surveiller.
Or une cyberattaque est susceptible d’impacter voir de paralyser la totalité des activités d’une organisation digitale jusqu’à la mettre en péril. En fonction de la gravité de l’impact, l’organisation peut être en crise.
La gestion de crise : une gestion d’incident grave
Pour s’en prémunir, outre, une stratégie de défense et de surveillance / détection efficace basée sur les risques, une organisation doit être capables de faire face. Elle doit pouvoir traiter l’attaque soit par la gestion d’incident et dans les cas les plus graves, par la gestion de crise.
Les cyberattaques peuvent concerner tous les métiers de l’organisation. Les métiers impactés doivent donc être mobilisables pour leur traitement. En fonction de la typologie d’attaque et de son impact, les services juridiques, la communication, le délégué à la protection des données (RGPD peuvent être sollicité.
Les impacts d’une attaque cyber sont multiples :
- Atteinte à l’activité et pertes financières
- Atteinte à l’image et la réputation
- La compétitivité
Les organisations doivent donc se préparer à :
- Prévenir le risque d’une cyberattaque en sécurisant leurs SI selon leur risques et vulnérabilités
- Être en capacité de détecter et traiter une attaque cyber
- Gérer une crise liée à une attaque cyber
- Assurer la continuité de ses activités en mode dégradé jusqu’à la reprise d’une activité normale
NB : il est impossible de sécuriser son SI à 100%. Un des enjeux majeurs est donc d’être capable de détecter une attaque pour pouvoir la contrer.
Comment gérer une crise cyber ?
Les grandes étapes d’une gestion de crise :
- Détection d’une crise, alerte, mise en œuvre des dispositifs de gestion de crise
- Evaluation de la crise et définition d’un plan d’action
- Définir et mettre en œuvre les actions de continuité d’activités si nécessaire
- Traitement de la crise et préparation des actions de sortie de crise
- Sortir de la crise, finaliser le traitement de l’incident et mettre en œuvre la reprise normale de l’activité
- Faire le bilan du traitement de la crise et identifier les axes d’amélioration
- Mettre en œuvre les améliorations
La gestion de crise : des moyens préparés en amont
Une gestion de crise cyber s’anticipe. Cette anticipation vise à définir et préparer les principaux moyens qui permettront le traitement à moindre mal de l’attaque.
Les moyens à mettre en œuvre :
- Le processus de traitement de l’incident (attaque) et les collaborateurs et/ou l’instance qui évaluent l’attaque, y compris, si nécessaire, en heures non ouvrées (astreinte) et qui valide l’alerte.
- La matrice de déclenchement de crise qui définit, selon des seuils préétablis, le niveau de qualification de l’incident entrainant le lancement du mode gestion de crise.
- L’organisation de gestion de crise (les cellules de crise). En général, 2 cellules multidisciplinaires à minima sont mises en place. L’une décisionnelle qui définit la stratégie à adopter en particulier par les métiers, la communication interne et externe, les grandes mesures technologiques. L’autre opérationnelle qui exécute les actions. Cette dernière étant composé notamment de responsables opérationnels métiers, IT.
- La main courante et la désignation du ou des collaborateurs en charge. Il s’agit d’un compte-rendu des actions entreprises pour un suivi puis une analyse post-crise pour améliorer les dispositifs. Ces documents servent à expliquer la démarche employée aux autorités et aux assurances si nécessaire.
- Les fiches réflexes qui définissent les actions à mettre en œuvre, étape par étape, pour la gestion de crise, selon les scénarios anticipés.
- La description des SI (notamment cartographie) pour bien comprendre la situation et définir précisément les actions à mettre en œuvre et leurs impacts sur le SI mais aussi sur le fonctionnement des activités de l’organisation.
- Le plan de continuité d’activité et le plan de reprise d’activité.
- Un plan de communication préétablis rassemblant des messages prédéfinis destinés à l’interne ou à l’externe, à adaptés au contexte mais permettant à la communication de gagner du temps.
- La logistique : les outils de communication (dans le cas où les outils habituels sont inutilisables), les salles et matériels mobilisables.
- L’annuaire des collaborateurs mobilisables. Il faut aussi prévoir des experts techniques externes pour intervenir sur les attaques pour lesquels l’organisation ne dispose pas de compétences suffisantes. Il faut connaître les agences gouvernementales capables d’apporter un appui selon le type d’attaque.
Les prérequis au fonctionnement du dispositif de gestion de crise
- Une procédure efficace de gestion des incidents incluant des modalités d’escalade et de qualification de crise
- Une connaissance de l’organisation et une cartographie de ses risques pour :
- Les domaines et activités métiers critiques
- Les SI critiques (applications, réseaux, machines) et les SI sous-jacents aux activités métiers critiques
- Les données et base de données critiques
- Les partenaires critiques
- Une description des dispositifs de sécurité mis en œuvre pour pallier aux risques :
- Dispositifs de défense
- Dispositifs de surveillance (détection)
- Stratégie de confinement
- Stratégie de sauvegarde
Les dispositifs de gestion de crise doivent être revus à minima chaque année et à chaque évolution majeure des activités et SI de l’organisation.
Ils doivent faire l’objet de simulations en conditions réelles pour entrainer les collaborateurs afin qu’ils soient prêts le cas échéant, et vérifier que le dispositif fonctionne et est efficace et l’améliorer.
À propos de l’auteur