Accueil Cybersécurité Exercice de cybercrise chez des PME

Exercice de cybercrise chez des PME

Premier du genre organisé par le CLUSIF, Club de la sécurité de l’information français, un exercice de crise a évalué les réactions d’une PME et d’un OIV, fictifs, face à une cyberattaque.

Le Clusif vient de diffuser les premiers résultats de « ECRANS 2017″ (Acronyme de « Exercice de Crise Réaliste, Annuel et Nécessaire a la Sensibilisation »), un exercice de cybercrise qui s’est déroulé le 22 juin dernier. Celui-ci se base sur un scénario plutôt original mettant en scène une PME fictive de la région bordelaise, un laboratoire d’analyses médicales aux prises avec un ransomware. Les pirates réclament une rançon afin de déchiffrer les données médicales tombées sous leur emprise alors qu’un second acteur, un hôpital parisien (lui aussi fictif), attend de son côté les résultats d’analyses de ses patients, dont certains sont entre la vie et la mort. Comment gérer une telle crise alors qu’on est une PME sous la pression de son client, des médias et des autorités telles que la CNIL, ANSSI et la BEFTI ?

Michel Delpuech, préfet de la région d'Île-de-France
Michel Delpuech, préfet de la région d’Île-de-France, préfet de Police et préfet de la zone de défense de Paris a ouvert la conférence de restitution de l’exercice de cybercrise ECRANS 2017, preuve de l’importance donnée à la cybersécurité par les autorités françaises.

 

Jean-Marc Gremy, président du Clusif, résume l’objectif de cet exercice qui est appelé à devenir annuel. Alors que de nombreux exercices de cybercrises sont menés dans les grandes entreprises, ou que d’autres, de grande taille, sont opérés par l’ANSSI, la volonté du Clusif était de s’ inscrire dans une démarche où le tissus économique est largement composé de PME . « Il fallait monter un exercice afin de constater ce que pouvait être la gestion de crise dans une entreprise de petite taille, souvent mal préparée. Si les petites entreprise ne se préparent pas au pire, elle ne survivront pas à de telles crises. » Le Clusif veut donc constituer un champ d’exercice où les PME pourraient envoyer leurs « cybersoldats » afin de valider leurs procédures de cybercrise.

Jean-Marc Gremy, président du Clusif
Jean-Marc Gremy, président du Clusif, a souligné qu’ ECRANS 2017 est le premier exercice de cybercrise a avoir été mené dans le contexte d’une PME.

 

Cet exercice a aussi été l’occasion pour le Clusif de valoriser ses travaux, notamment le dossier technique publié en 2017 sur les cellules de crise. « Il s’agissait pour nous de mettre sur le grill les recommandations que nous avions faites et voir si ce que nous avions élaboré était réellement applicable à l’échelle d’une PME. »

Un scénario de crise longuement préparé

Quatre équipes ont été impliquées dans cette simulation. La première, localisée à Bordeaux, était animée par le CLUSIR Aquitaine. Elle figurait un laboratoire d’analyses médicales. Une deuxième équipe, basée à Paris, représentait un établissement hospitalier, client de ce laboratoire. En parallèle était postée sur les deux sites une équipe d’observateurs tandis qu’une équipe d’animation orchestrait l’opération. La conférence de restitution qui a eu lieu le 28 septembre a été l’occasion de montrer que les enjeux d’une telle situation  vont bien au-delà du seul aspect technique. Techniquement, l’équipe d’animation s’est appuyée sur le logiciel Openex, une plateforme Open Source développée par l’ANSSI et qui permet, tout au long de l’exercice, de délivrer des stimuli selon le scénario préétabli. Des stimuli comme des tweets et des appels téléphoniques auxquels doivent réagir en temps réel les acteurs de l’exercice.

Le dispositif ECRANS 2017
Le dispositif mis en place pour l’exercice ECRANS 2017 a pu s’appuyer sur le logiciel Openex de l’ANSSI.

 

La technique n’est pas le seul aspect important 

Lorsqu’on imagine une entreprise confrontée à une cyberattaque, on pense aux analystes en cybersécurité du CERT (Computer Emergency Response Team) pour éteindre les incendies allumés par les pirates dans le système d’information, identifier le « Patient zéro », déchiffrer ou récupérer les données chiffrées, dans une ambiance de poste de commandement de sous-marin nucléaire. La vérité est tout autre, particulièrement lorsqu’on est une simple PME.

Le premier enseignement  de l’exercice ECRANS 2017, c’est l’impérieux besoin de préparation nécessaire au bon fonctionnement d’une cellule de crise. Il faut que l’entreprise ait déjà désigné les personnes qui vont composer sa cellule de crise, définir qui en sera le directeur, les conseillers et notamment avoir nommé un PMO (Secrétaire de crise) qui va rédiger une main courante tout au long des événements, avec des points de situation régulier tout au long de la journée. Il faut aussi prévoir une rotation de chaque membre de l’équipe afin de pouvoir assurer une permanence si la crise vient à durer dans le temps. Il faut aussi avoir établi à l’avance un annuaire des personnes à contacter tant en interne qu’en externe, notamment la liste des autorités qu’il convient d’informer de la situation qu’il s’agisse de l’ANSSI, de la CNIL. La directive NIS va notamment étendre le nombre d’entreprises concernées par les déclarations auprès de l’ANSSI. Enfin, il faut prévoir une version papier des annuaires et procédures à tenir en cas de blocage total du système d’information.

Des PME démunies en termes de communication de crise

L’autre grande leçon tirée de l’exercice ECRANS 2017 a été l’impréparation de la PME à gérer sa communication de crise. Ainsi, contacté par un journaliste (fictif) alerté par des tweets alarmants, un des membres de la cellule de crise a détaillé à ce dernier l’attaque à laquelle était soumise son entreprise… Une transparence parfois dangereuse car, outre le risque d’image encouru, livrer trop de détails à la presse peut alimenter les pirates qui vont exploiter les informations qu’ils trouveront sur le Web. A l’opposé, un mutisme total va pousser les journalistes à extrapoler à partir des quelques informations glanées sur les réseaux sociaux, avec un risque d’erreur élevé.  « Le mieux est d’avoir un discours authentique, reconnaître la crise mais sans tout dévoiler » a ainsi expliqué Frédéric Malmartel, Responsable Fonction Sécurité des SI d’ACOSS (caisse nationale du réseau des URSSAF) et Administrateur du Clusif : « Etre transparent dans certaines limites, puis, une fois la crise passée, retournée celle-ci en votre faveur, montrer que l’on a été capable de la gérer, montré que l’on a pas plié face aux malfaiteurs et ainsi renforcer l’image de l’entreprise. »

Autre aspect méconnu de la gestion de crise, la gestion contractuelle. Raynald Lasota, chef de service chez France Télévisions a souligné l’extrême complexité de cette problématique avec des fournisseurs dans le contexte d’une cyberattaque. Que faire si son fournisseur est sous le feu d’une attaque, quelles sont ses SLA et que se passe-t-il en cas de rupture de service ? Dans le cas de l’exercice ECRANS, le laboratoire a pu mettre en place un VPN vers l’hôpital afin de lui transmettre les données sans risque d’infecter son client. Un comportement exemplaire qu’il convient de formaliser dans les « clauses cybersécurité » des fournisseurs. D’autant que, parfois, certains hébergeurs facturent les demandes d’extractions de log…

Déposer une plainte en cas de cyberattaque n’est pas si fréquent

Enfin, la conférence de restitution s’est achevée par l’intervention de Sylvie Sanchis, commissaire à la BEFTI (Brigade d’Enquêtes sur les Fraudes aux Technologies de l’Information). Celle-ci a insisté sur l’importance de porter plainte en cas de cyberattaque. Une vraie problématique en France : la commissaire a révélé que la BEFTI n’a enregistré qu’une centaines de plaintes suite à l’attaque de Locky alors que les experts estiment que le ransomware aurait frappé 1 500 victimes dans l’Hexagone. « Nous apprenons souvent à la victime comment l’attaque s’est passée ou même comment elle se déroule encore » a expliqué Sylvie Sanchis. « Vous n’imaginez pas le nombre de victimes qui viennent nous voir une fois puis reviennent une seconde fois dans un intervalle de temps très court car, parfois, l’entreprise a réparé son SI un peu vite, sans véritablement identifier l’origine de l’attaque. A partir du moment où vous venez déposer plainte, nous, nous allons être un peu offensifs, on va vous questionner, vouloir savoir comment s’est passée l’attaque, d’où elle est venue. C’est un travail collectif qui permettra d’anticiper et éviter une nouvelle attaque. »

 

Le top 10 des meilleures pratiques à appliquer en cas de cyberattaque selon le Clusif

Anticiper en définissant à l’avance l’organisation de la cellule de gestion de crise

Préparer et former les personnes qui devront entrer en action lors de la crise, leur fournir les documents qui leur seront nécessaires

Collecter et sauvegarder tout au long de la crise les éléments qui seront ensuite utiles au dépôt de plainte

Prévoir un système de rotation des membres de la cellule de crise si celle-ci vient à durer

Définir et faire accepter les modalités relatives aux permanences à assurer dans la cellule de crise

Anticiper la mise en place d’un secrétariat qui prendra en charge la rédaction des documents qui permettront d’assurer un suivi de la crise

Avertir les instances type CNIL, ANSSI, autorités de tutelle, déposer plainte

Informer en interne, les partenaires et clients de l’entreprise sur le déroulement de la crise, préparer la communication externe

Identifier un cabinet juridique ou un cabinet d’avocats lorsqu’on ne dispose pas d’un juriste interneTester régulièrement le dispositif

 

Auteur : Alain Clapaud