Accueil Gestion de crise cyber : s’entraîner pour mieux résister

Gestion de crise cyber : s’entraîner pour mieux résister

Après NotPetya, les entreprises ont compris qu’il leur fallait sérieusement muscler leurs processus de gestion de crise cyber. Cela commence par mieux comprendre les spécificités du risque cyber, puis par repenser les processus de gestion de crise traditionnels pour intégrer le risque cyber, et enfin… s’entraîner !

 

Il y a eu un « avant » et un « après » NotPetya. En 2017, Saint-Gobain et Maersk, deux très grands groupes internationaux, ont été durement frappés par une attaque informatique qui ne les ciblait pourtant pas directement. En dépit de services IT et sécurité performants, l’activité s’est arrêtée et l’impact sur le résultat se chiffrera en centaines de millions de dollars (250 millions pour Saint-Gobain et 300 millions pour Maersk). Et si ces deux groupes sont parmi ceux qui ont le mieux communiqué sur le sujet, ils sont probablement loin d’être les seules victimes aussi durement touchées.

Pour les dirigeants et les membres des comités exécutifs à travers le monde qui ne l’avaient pas encore bien compris, le message était soudain limpide : oui, une crise cyber peut mettre l’activité à genoux et avoir un impact significatif sur le résultat. Mais comment avaient-ils donc pu passer à côté ?

Le risque cyber : un risque à part ?

Pour beaucoup, cela est lié à la nature même du risque du cyber.

D’abord parce qu’il leur est tout simplement inconnu. Bon nombre de membres des comités exécutifs actuels ont fait carrière dans la finance, le commerce, l’industrie, les RH ou d’autres fonctions traditionnelles de l’entreprise. Ils sont experts de ces domaines et il leur est ainsi naturel de percevoir les risques opérationnels liés à ces filières. Or, combien de membres du COMEX ont-ils fait carrière dans la filière cybersécurité ? Trop peu, certainement…

Ensuite parce que le risque cyber – un domaine jugé à tort comme uniquement technique — était jusqu’à présent assimilé à un risque IT. Peut-être parce que les premiers impacts visibles d’une crise cyber portent le plus souvent sur l’IT, cette proximité a contribué à laisser croire qu’en matière de risques, la problématique cyber ne peut être portée que par la seule DSI.

Mais une crise cyber a pourtant des impacts bien plus larges, qui vont du juridique à la communication en passant par la sûreté (dans le cas d’une intrusion sur site pour y déposer un implant matériel, ou du forçage de cabines d’équipements).

Et elle a aussi un temps beaucoup plus long : là où le traitement d’une crise IT traditionnelle vise à remonter les systèmes au plus vite, la crise cyber implique, entre autres, de préserver les traces sur les machines compromises, et donc de ne pas les restaurer immédiatement. En outre, dans le cas d’une crise cyber les premières traces peuvent remonter à plusieurs mois (l’intrusion initiale) et les impacts continuer à se faire sentir plusieurs mois après la reprise de l’activité.

Enfin, et c’est une spécificité du risque cyber, celui-ci implique une perte de confiance dans les moyens. Là encore, alors que la réponse IT standard vise à remonter au plus vite les systèmes, la réponse cyber ne peut se permettre ce luxe tant qu’elle n’a pas la garantie que ces derniers ne seront pas à nouveau compromis dès leur connexion. Et dans l’intervalle, elle doit être capable de travailler sans s’appuyer sur les moyens de communication habituels des équipes (email, téléphone, Slack…), car ceux-ci peuvent aussi avoir été compromis. C’est un travail minutieux, que l’on a déjà comparé à celui d’un démineur devant opérer une main dans le dos !

En bref, le risque cyber est un risque opérationnel comme les autres… mais en plus transverse ! Et les PRA actuels, souvent purement IT, ne sont pas adaptés aux crises cyber.

Muscler la gestion des crises cyber

Au lendemain de la catastrophe NotPetya, les retours des grands groupes victimes étaient limpides : il fallait sérieusement muscler la gestion des crises cyber ! Pour cela, de nombreux projets ont rapidement été engagés. L’année 2018 a été celle des grandes réflexions sur la place du cyber dans l’organisation de crise existante, suivie des premières réalisations étalées entre 2018 et 2019.

Les premiers axes de réflexion ont notamment porté sur la capacité à identifier la nature malveillante d’une crise IT (la distinguer d’une crise IT accidentelle) afin de pouvoir activer au plus tôt les mesures nécessaires (préservation des traces, isolation des systèmes, implication des experts nécessaires).

Bien entendu, ce travail de longue haleine est très spécifique à chaque organisation et fort dépendant de sa culture, de ses enjeux de politique interne et bien sûr de sa maturité. Mais l’objectif ne varie pas : être capable d’adresser — au sein des processus de crise existants ou à créer — les spécificités jusqu’à présent ignorées des crises cyber, d’embarquer le COMEX dans l’aventure, de mettre à jour les fiches réflexes parfois poussiéreuses, de revoir les PRA et de former les collaborateurs afin qu’ils soient en mesure de comprendre et d’appliquer les mesures cyber de première urgence.

Et bien entendu, tout cela sans s’appuyer sur le SI de l’entreprise, et donc sans ses emails, son téléphone, son Skype… Ce qui implique bien souvent de créer une infrastructure dormante appuyée sur des ressources hébergées dans le Cloud.

L’exercice de crise : la partie visible de l’iceberg

Ce n’est qu’une fois ces procédures clairement établies, validées par la hiérarchie et comprises des collaborateurs qu’il est possible de les tester. D’ailleurs, commencer par un exercice (comme cela est parfois demandé) ne servira probablement qu’à valider le fait que sans préparation la réponse de l’entreprise à la crise cyber sera un échec !

En revanche, une fois les conditions préalables réunies, l’exercice de crise cyber est l’outil incontournable pour s’assurer que les procédures sont efficaces et comprises de tous.

Car, en cas de crise, celles-ci devront être mises en œuvre par des êtres humains, forcément soumis au stress et enclins par nature à interpréter le même jeu d’instructions de manière différente. Il est donc vital de pouvoir régulièrement simuler des crises afin de valider la bonne compréhension et la bonne exécution des procédures théoriques. D’ailleurs, ce passage de la théorie à la pratique est souvent source d’amélioration des procédures elles-mêmes, preuve s’il en est de la nécessité de l’exercice.

Un exercice de crise peut suivre une méthodologie normée, définie dans la norme ISO 22398. Dans tous les cas, il est défini en premier lieu par des objectifs précis (valider les procédures de remontée des alertes cyber, valider la procédure d’activation de la cellule de crise, éprouver l’échange d’information entre les niveaux opérationnels et tactiques, tester les équipes face à un arrêt du centre de production à cause d’un rançongiciel, etc.)

Une fois les objectifs fixés, un scénario de haut niveau est créé. Celui-ci, en tenant compte du contexte de l’entreprise, de ses menaces, de ses capacités (sa maturité) et des objectifs de l’exercice, présentera une situation crédible en détaillant notamment l’attaquant, ses motivations, ses ressources…

Ce scénario global est alors décliné sous la forme d’un chronogramme, qui détaille chaque stimulus qui parviendra aux joueurs (A quel moment ? Vers qui ? Sous quelle forme ? Quel message ? Avec quelle réaction attendue ?). Il s’agit là d’un travail souvent fastidieux, mais qui constitue le cœur opérationnel de l’exercice (à noter qu’il est parfois nécessaire de décliner le scénario global — trop générique — en scénarii techniques intermédiaires, qui détailleront de manière plus précise l’intrusion jouée par l’attaquant)

Enfin, le jour de l’exercice, les équipes seront prêtes et le jeu peut commencer ! Les stimuli commenceront à pleuvoir, des décisions devront être prises et des priorités données (et assumées !). En coulisse, pendant que l’équipe d’animation s’adaptera aux actions des joueurs, les observateurs consigneront chaque détail, ce qui permettra, une fois l’exercice conclu, de passer à sa phase la plus utile : le retour d’expérience !

Et c’est ainsi que la boucle sera bouclée, puisque le RETEX donnera lieu à de nouvelles procédures à tester. Et l’entreprise sera engagée dans un cycle d’amélioration continue de sa réponse à incidents cyber, et donc de sa résilience.

 

 


Trois types d’exercices de crise cyber

 

L’exercice sur table (OT)

Il s’agit du format le moins exigeant en ressources, car il ne nécessite que de réunir les joueurs dans la même pièce, équipée d’un rétroprojecteur. L’animateur présente alors le contexte du scénario aux joueurs, leur remet un dossier de mise en situation et commence à présenter les éléments du scénario. À chaque évolution du scénario, les joueurs disposent du temps nécessaire pour se concerter (par équipe métier ou fonctionnelle, par exemple) et proposer leurs réponses. Celles-ci font alors l’objet d’un échange avec l’animateur et les autres joueurs, avant de poursuivre le scénario.

La simulation

L’exercice de simulation tente de mieux coller au quotidien des équipes. Les joueurs sont ici à leurs postes de travail respectifs, et le scénario leur est dévoilé par le biais de stimuli reçus par email, téléphone ou SMS (et clairement identifiés comme tels). À l’image d’un jeu de rôle, ils doivent alors décrire les actions qu’ils mèneraient en situation réelle. Celles-ci sont ensuite évaluées par le Maître du Jeu et l’équipe d’animation, qui adaptent en temps réel le scénario et les prochains stimuli en conséquence. Ce type d’exercice exige plus de préparation et une équipe d’animation plus importante que le précédent.

La simulation technique

L’exercice de simulation technique se distingue du précédent par le fait que les joueurs mènent réellement les actions qu’ils préconisent. Bien entendu, ils le font au sein d’une réplique du système d’information modélisée pour les besoins de l’exercice. Cette réplique permet également d’héberger une équipe de vrais-faux intrus (une Red Team) qui jouera le rôle de l’attaquant et tentera de mener à bien les objectifs de l’attaquant. En parallèle, bien entendu, les autres métiers (communication, RH, production) jouent eux en mode simulation simple.

 


Les étapes d’un exercice de crise cyber