Gestion de crise cyber : toute l’organisation doit être impliquée
Gérer une crise cyber n’est pas que l’affaire de la DSI. Outre la nécessité de communiquer en interne et vers l’extérieur, ce sont les métiers qui vont devoir faire tourner l’entreprise pendant que les informaticiens remettent le système d’information en production.
Lorsqu’on évoque une attaque cyber, on pense au RSSI qui ordonne l’arrêt du système d’information, aux équipes de remédiation qui cherchent les traces de l’attaquant, à la DSI qui travaille d’arrache-pied nuit et jour pour remettre en place le SI.
Si le travail des équipes informatiques est capital dans le retour rapide du système d’information en production, ce sont les directions métiers qui vont devoir faire tourner leurs processus sans leurs outils habituels. « Quand on parle de crise cyber, on pense directement à l’IT. Mais en fait, une crise cyber n’est pas uniquement du ressort de l’IT, parce que le premier enjeu d’une crise cyber n’est pas la perte de données. L’enjeu, c’est l’arrêt du business », explique Hend El Ajroud, responsable des infrastructures IT chez Transavia, sur la scène du salon Cyber Show, fin janvier. Pour lui, « une crise cyber est avant tout une crise opérationnelle qui affecte toute l’entreprise. C’est l’enjeu de toute l’entreprise ».
« La première question que l’on se pose quand on est dans une usine, c’est combien l’entreprise va-t-elle perdre par heure si cette ligne de production s’arrête. »
Nathalie FeytVP Product Security, Schneider Electric
Nathalie Feyt, VP Product Security chez Schneider Electric, illustre cet enjeu métier crucial pour les industriels : « la première question que l’on se pose quand on est dans une usine, c’est combien l’entreprise va-t-elle perdre par heure si cette ligne de production s’arrête. Si on n’a pas fait cette analyse-là, on ne sera jamais efficace en cas de crise, car on ne sait pas ce qu’il faut sauver en priorité, où sont les documents indispensables. C’est une première approche très pragmatique ».
Hend El Ajroud confirme cette nécessité de travailler avec les métiers sur la mise en place d’un PCA/PRA, et rappelle que, selon Gartner, 80 % des incidents de cybersécurité seraient aggravés par une mauvaise coordination entre IT, métiers et communication de crise. « Il faut savoir travailler ensemble. Quand on se fait attaquer, l’enjeu de l’IT n’est pas de réparer, mais de savoir ce qu’il faut redémarrer en premier pour minimiser l’impact ».
Bien souvent, lorsque le système d’information est totalement immobilisé, basculer vers un mode de fonctionnement papier/crayon est la seule issue pour essayer de maintenir une activité, même partielle. Il est nécessaire de documenter les processus sur papier, mais aussi de disposer de tous les numéros de téléphone indispensables sur papier. Chaque manager doit avoir un kit de survie s’il ne peut plus accéder à Teams, à ses applications et à son PC.
Réagir vite pour limiter les dégâts
Hend El Ajroud pointe le besoin de réagir très rapidement lorsque l’attaque est identifiée : « en cas de crise, le RSSI va demander à isoler un serveur, couper le réseau. Face à lui, les métiers peuvent avoir du mal à se décider, vu l’impact que cela va avoir. En moyenne, selon les sources fiables, il faut attendre entre 48 et 72 heures pour que l’entreprise prenne une décision face à une cyberattaque. Or, dans une cyberattaque, chaque minute compte ! »
« Il faut définir à l’avance toutes les informations qui peuvent rentrer et qui peuvent donner lieu à des décisions, des arbitrages. Ces décisions devront être tracées, et partagées en interne et en externe. »
Sébastien BlardDirecteur Cybersécurité, Renault Group
Sébastien Blard, directeur Cybersécurité de Renault Group et organisateur du Stream Entraînement à la gestion de crise du Campus Cyber, estime que la première étape est d’être en mesure de détecter des incidents et de déclencher la crise lorsqu’un certain seuil est atteint. « Au déclenchement de la crise, se pose la question de qui participe à la cellule de crise et quels seront les rôles de chacun. Il faut définir à l’avance toutes les informations qui peuvent rentrer et qui peuvent donner lieu à des décisions, des arbitrages. Ces décisions devront être tracées, et partagées en interne et en externe. Il faut également prévoir des check-lists. Qu’est-ce qu’on fait si on a une fuite de données personnelles ? Qu’est-ce qu’on fait si tel processus métier ne fonctionne plus ? »
Le responsable reconnaît qu’une crise réelle ne correspond jamais exactement à ce qui a été prévu dans la check-list, mais cette dernière permet de ne rien oublier dans le feu de l’action ; notamment le dépôt de plainte, l’appel à l’assureur et la sollicitation des partenaires qui pourront apporter une assistance technique ou dans la gestion de la crise.
Ces derniers mois ont montré l’importance de la maîtrise de la communication lors de la crise. « La communication est un des piliers de la gestion de crise qu’il ne faut pas rater », rappelle Nathalie Feyt. Selon elle, « il ne faut pas communiquer trop vite, parce que sinon, vous allez avoir les journalistes rapidement sur le dos. Il ne faut pas communiquer trop tard, parce que le silence, ça permet à d’autres de supposer des choses erronées ou anxiogènes ». La responsable pointe l’importance de la communication en interne et le besoin de rassurer les salariés… et de leur expliquer de ne pas communiquer de leur côté sur l’incident.
Une cellule de crise qui doit être régulièrement entraînée
Une fois que l’organisation est définie sur le papier, tout l’enjeu va être que cette organisation éphémère fonctionne réellement dans des conditions dégradées. Sur ce plan, pas de mystère, seul l’entraînement permet de s’en assurer et surtout d’améliorer les processus et moyens de secours mis en place.
« Pour être efficace en cas de crise, il faut stimuler les exercices de crise. »
Hend El AjroudResponsable des infrastructures IT, Transavia
« Comment cette gouvernance va-t-elle fonctionner sous le stress ? Pour être efficace en cas de crise, il faut stimuler les exercices de crise », explique Hend El Ajroud. Et selon lui, « cette partie est très, très importante et l’on ne s’en rend pas suffisamment compte. Quand nous nous sommes livrés à cet exercice au sein de Transavia, nous nous sommes rendu compte que nous disposions de beaucoup de documents, mais qu’il est difficile de retrouver la bonne information sous le stress ».
Pour Sébastien Blard, entraîner la cellule de crise s’apparente à un sport : s’entraîner pour s’améliorer. « L’une des premières questions à se poser est : quel est votre niveau ? », relève-t-il ainsi. « Vous pouvez trouver sur le site de l’Anssi un questionnaire qui vous permet, en répondant à certaines questions, de vous positionner sur un certain nombre d’axes. Cela permet de savoir quels sont vos points forts et ceux que vous devez travailler ».
Le Stream Entrainement du Campus Cyber propose un document qui explique comment mettre en place une stratégie d’entraînement, par quoi commencer selon son niveau de maturité, quels sont les types d’exercices et de scénarios que l’on peut mettre en place, comment évaluer ces exercices et tirer profit de ces retours d’expérience.
Ces exercices doivent impérativement se rapprocher de « la vraie vie » : un décideur peut être en déplacement le jour J et, après des exercices où l’on donne rendez-vous à tous les membres de la cellule de crise dans la salle de réunion, il faut passer à des exercices où les gens vont être sollicités là où ils sont. En s’éloignant des conditions idéales, l’exercice sera plus représentatif de ce que risque de connaître la cellule de crise le jour de l’attaque.
Eric Vautier, DSI adjoint du groupe ADP illustre le besoin d’entraîner toutes les personnes susceptibles d’intervenir, même les remplaçants : « pour prendre l’exemple de la préparation des Jeux olympiques, nous avons commencé par le schéma idéal avec les meilleures personnes autour de la table, et elles arrivaient à s’en sortir. Nous avons ensuite pris tous les managers qui allaient gérer à un moment ou l’autre la continuité de l’aéroport pendant les Jeux. Nous avons fait 9 exercices, avec chaque fois, une dizaine de personnes impliquées, et avec, chaque fois, des personnes différentes. Lors de ces 9 exercices, nous n’avons jamais obtenu le même résultat… »
L’organisation ne peut agir seule
Outre la mise en place d’un PCA et l’entraînement de l’équipe qui constituera la cellule de crise, l’organisation peut et doit faire appel à des tiers tout au long de la crise. Hend El Ajroud explique : « faites-vous entourer, vous n’êtes pas seuls ! […] D’autres entreprises ont connu la même chose avant vous et vous allez gagner en temps et en efficacité si vous vous faites aider par ces entreprises ».
La cadre de Transavia évoque pour sa part le CERT Aviation France, une communauté où se retrouvent l’ensemble des compagnies aériennes, le groupe ADP et d’autres entreprises du secteur : « nous échangeons des informations, nos règles, nos plans de remédiation, nos bonnes pratiques. Cela nous permet de gagner beaucoup de temps ».
« Il faut savoir vous entourer et savoir à qui faire appel si jamais ça vous arrive. Évidemment, ces contacts ne doivent pas être dans votre ordinateur, mais sur une feuille à part. »
Sophie LambertLieutenante-colonelle au COMCYBER-MI
Sophie Lambert, lieutenante-colonelle au COMCYBER-MI, souligne que de telles structures n’existent pas dans tous les secteurs d’activité et conseille aux victimes de se tourner vers l’Anssi et ses délégués territoriaux en cas d’incident. « Il faut savoir vous entourer et savoir à qui faire appel si jamais ça vous arrive. Évidemment, ces contacts ne doivent pas être dans votre ordinateur, mais sur une feuille à part. Il doit y avoir votre prestataire de service, les spécialistes de la remédiation, mais aussi les forces de l’ordre. Si vous êtes dans une petite commune ou une plus grande commune, ce sera soit la police, soit la gendarmerie. Il y a toujours des référents cybersécurité ou sûreté. Les référents sûreté qui se déplacent dans les entreprises gratuitement, pour faire un audit de la sécurité physique, sont aussi formés à la cybersécurité ».
La gendarme évoque aussi le dispositif MonAideCyber de l’Anssi qui permet d’avoir un diagnostic de maturité cyber : « vous avez partout en France des aidants qui, gratuitement, se déplacent pour vous aider à savoir quelle est votre maturité cyber ».
Enfin, en cas d’attaque avérée, la plateforme 17cyber.gouv.fr centralise les appels. « Cette plateforme a été créée par Cybermalveillance.gouv.fr et par les forces de sécurité intérieure. Elle offre un véritable parcours victime : vous dites ce qui vous arrive, vous décrivez ce que vous constatez et la plateforme vous oriente », explique Sophie Lambert. Si la réponse apportée n’est pas suffisante, l’appelant est mis en relation avec un policier ou un gendarme, disponible 24 h sur 24 et 7 jours sur 7.
Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)
