« Il y a 2 types d’organisations : celles qui ont déjà été victimes de cyber attaques et celles qui ne tarderont pas à l’être » résume Yves VERHOEVEN, anciennement sous-directeur Stratégie de l’ANSSI. Si vous êtes dans la 2ème catégorie, vous avez encore le temps de vous préparer à une attaque avant d’en être victime. Comment s’y prend-on ? Comment réaliser une bonne gestion de crise ?
La gestion de crise en cas de cyber attaque
En cas de crise cyber, c’est-à-dire, selon l’ANSSI, lorsqu’une ou plusieurs actions malveillantes sur le système d’informations génère une déstabilisation majeure de l’entité provoquant des impacts multiformes et importantes, jusqu’à engendrer des dégâts irréversibles, il est nécessaire de monter les mécanismes de gestion de crise cyber. Cette dernière a plusieurs objectifs : Identifier et caractériser la cyber-attaque, y faire face à court terme en limitant les impacts et en communiquant les bonnes informations aux bons interlocuteurs aux bons moments et enfin analyser l’attaque et y remédier à long terme. Elle met en relation des acteurs transverses : Communication, Sécurité, Juridique… qui n’ont pas forcément l’habitude de communiquer entre eux et certainement pas en période de crise. Les acteurs doivent être réactifs mais ne pas se précipiter en communicant à bon escient.
L’exercice de gestion de crise
Il permet de simuler une cyber-attaque : par déni de service, par l’infiltration d’un ransomware ou de fuite de données. Elle a pour objectif de préparer les acteurs d’une gestion de crise à acquérir des réflexes et des méthodes spécifiques et en cas de lacune, de les identifier dans le but de les combler. L’ANSSI a publié un guide à cet effet afin d’« Organiser un exercice de gestion de crise cyber » car comme Guillaume Poupard le rappelait « en matière de protection des systèmes d’informations, l’anticipation est la clé». Ce guide détaillé est divisé en 4 étapes de la conception de l’exercice à sa restitution en passant par sa préparation et au déroulement de l’exercice. Il met aussi en lumière les écueils à éviter et les actions à privilégier pour permettre un bon déroulement de l’exercice.
Qu’est-ce qu’un bon exercice de gestion de crise ?
Un exercice de gestion de crise réussi est un exercice qui a permis aux acteurs « d’en tirer des leçons et qui leur a donné envie de réitérer l’expérience » selon l’ANSSI. Le but est de mettre en musique les différents acteurs et les actions qu’ils doivent mener afin que le jour de la cyber-attaque les mécanismes soient rodés. Ils pourront s’appuyer sur une documentation dédiée et maintenue à jour de la gestion de crise cyber. Ainsi les acteurs pourront se consacrer à la défense de leur Système d’information et à la remédiation.
