Accueil Avec l’ANSSI, les entreprises ne sont plus seules face à la crise...

Avec l’ANSSI, les entreprises ne sont plus seules face à la crise cyber

Sommaire du dossier

L’Agence nationale de la sécurité des systèmes d’information accompagne les organisations hexagonales dans le choix des dispositifs de sécurité, les stratégies à déployer et la gestion de crise cyber. C’est sur ce sujet aussi brûlant que d’actualité que Mathieu Couturier, chef adjoint Division Management de la Sécurité Numérique à l’ANSSI, répond aux questions de Solutions Cybersécurité et explique, en détail, la mission de l’Agence.

 

 

« La gestion de crise ce n’est pas inné, cela s’apprend, d’autant plus sur le sujet cyber ! » 

Mathieu Couturier,
chef adjoint Division Management de la Sécurité Numérique à l’ANSSI

 

  • Qui sont vos bénéficiaires ?

Je précise que nos bénéficiaires sont les OIV (Opérateurs d’importance vitale), les OSE (Opérateurs de services essentiels) et les administrations publiques. Dans le cadre de NIS2, notre périmètre va être décuplé en termes de nombre d’opérateurs et passer à plusieurs milliers d’organisations appartenant à 18 secteurs d’activité différents et avec des administrations de toutes tailles et des entreprises, allant de la PME aux groupes du CAC40. Nos actions ont pour objectif d’aider nos bénéficiaires à ne pas se sentir seuls face à l’ensemble des travaux qu’ils doivent mener.

  • Quels sont vos rôles ?

Nous avons deux rôles principaux. Auprès de nos bénéficiaires, nous sommes amenés à les accompagner en réaction à des cyberattaques, dans la gestion de leur crise notamment. Par ailleurs, nous avons pour mission, par temps calme, de sensibiliser, de former et d’accompagner une montée en compétence sur les sujets de gestion de crise. Pour ça, nous avons des guides publiés sous l’appellation “Collection crise” (lire encadré). Ces formats, dans lesquels nous demandons à des bénéficiaires de témoigner, nous permettent de démultiplier les vecteurs de sensibilisation. Nous cherchons dans nos guides à être très pragmatiques et concrets.

Le second rôle est la mise en place d’exercices de crise. Nous en faisons chaque année un grand nombre, au niveau français et européen. Nous organisons également des exercices en lien avec les autorités sectorielles pour un secteur entier. Il nous arrive aussi d’observer des exercices organisés par des bénéficiaires lorsqu’ils souhaitent un regard extérieur. Dans ces cas-là, nous pouvons être amenés à nous rendre directement dans la cellule de crise du bénéficiaire et, dans le cadre de son exercice, lui faire des recommandations et l’aider à améliorer son dispositif. La gestion de crise n’est pas innée, cela s’apprend, d’autant plus sur le sujet cyber. Nous croyons donc beaucoup à l’entraînement. Les exercices sont également un bon vecteur pour gagner des automatismes et même pour sensibiliser les dirigeants des organisations. Ils peuvent prendre des formes différentes selon les objectifs que l’on cherche à atteindre : valoriser des pratiques, entraîner des cellules ou tester des dispositifs.

  • Pouvez-nous nous donner un exemple d’exercice ?

Oui, REMPAR22, que nous avons co-organisé avec le Club de la Continuité d’Activité (CCA) et le Campus Cyber, est un très bon exemple même s’il est assez à part dans son genre en termes d’organisation. Il a, en effet, mobilisé beaucoup de personnes et nécessité un temps de préparation assez long – près d’un an. Mais il a le mérite et la particularité d’avoir réussi à réunir des équipes hors des filières IT/cyber traditionnelles (70 %) : juristes, décideurs, communication, équipe métiers, etc. Nous avons vraiment axé l’exercice pour adresser d’autres populations qui jouent un rôle clé dans ce type d’événement. Une crise ne se gère pas dans son silo cyber mais en coordination avec plusieurs écosystèmes internes comme externes. Nous recommandons que chaque organisation réalise un exercice avec un volet cyber par an, sur table ou en taille réelle, et des exercices de grande ampleur avec son écosystème tous les trois ans environ. J’en profite pour vous annoncer que nous travaillerons bientôt à l’organisation de REMPAR24 !

  • Etes-vous en relation avec beaucoup d’associations ?

Nous travaillons effectivement avec des associations de professionnels du secteur comme l’AMRAE (Association pour le Management des Risques et des Assurances de l’Entreprise), le Cesin, le Clusif, le Club des Directeurs de Sécurité des Entreprises (CDSE)  et le CCA que je viens d’évoquer. Ces associations présentent l’avantage d’avoir déjà des groupes de travail avec leurs membres et des points de vue complémentaires. Nous avons, en ce sens, créé un groupe de travail au sein du Campus Cyber baptisé “Crise cyber et entraînement” et qui a vocation à travailler sur ces sujets de gestion de crise et de résilience. Ce groupe comprend les associations susmentionnées et une quarantaine d’organisations pour opérationnaliser et mettre sur étagère des documents et des outils qui seront accessibles à tous. L’idée est d’offrir l’accès à tous à un panel d’outils et de documents permettant à toutes les organisations de gagner rapidement en maturité afin de faire progresser collectivement notre cyber-résilience. Cela nous permet également d’affiner nos publications avec des approches plus opérationnelles et plus adaptées à certaines typologies d’organisations. Même si nos guides sont appréciés, on leur reproche parfois d’être un peu trop génériques car nous essayons de nous adresser à un public large. J’ajoute que nous préparons actuellement la publication d’un référentiel d’exigences applicables aux prestataires d’accompagnement et de conseil en cyber permettant de créer un marqueur de confiance pour les organisations désireuses d’un accompagnement plus approfondi. Que ce soit dans la préparation à la gestion de crise, sa gouvernance, la continuité ou la reprise d’activité adaptée au cyber, voire l’organisation d’exercices.

  • L’ANSSI joue-t-elle un rôle exclusivement national ?

Non. Dans notre rôle régalien d’autorité nationale nous intervenons à trois niveaux. Au niveau des bénéficiaires comme je viens de vous l’expliquer, au niveau crise cyber en France, donc, à ce titre, des plans gouvernementaux écrits en lien avec le SGDSN (Secrétariat Général de Défense et de Sécurité Nationale). Nous organisons des exercices au niveau interministériel pour coordonner les actions des différents ministères en cas de crise d’origine cyber. L’ANSSI ne peut en effet pas tout gérer seule et doit travailler en lien avec la cellule interministérielle de crise où elle joue un rôle de conseiller cyber pour aiguiller, éclairer, déchiffrer si besoin ce qui se passe d’un point de vue cyber. Cela au profit de la coordination interministérielle. La gestion de crise n’est cyber que de par son origine, mais en phase de gestion, elle, a des impacts métiers qui dépassent largement le champ numérique et c’est bien pour cela qu’on essaie dans toutes nos actions de dépasser les filières cyber et IT. Enfin, au niveau européen, l’ANSSI est l’autorité qui représente la France sur les problématiques de gestion de crise cyber. Nous sommes présents au sein de réseaux qui nous permettent de contribuer à la coopération européenne sur ces problématiques. Un sujet très présent dans la présidence française du conseil de l’Union Européenne (PFUE) où la France avait la présidence du CSIRT Network, qui est le réseau européen des CSIRT nationaux et du réseau CyCLONe (Cyber Crisis Liaison Organisation Network), le réseau de coordination des agences nationales en cas de crise d’origine cyber et institualisé dans la Directive NIS2.

  • Quel est l’objectif de ces éléments de partage européens ?

Que ce soit au niveau technique, avec le CSIRT, opérationnel ou exécutif (réunion des directeurs des différentes agences nationales) avec CyCLONe, ils permettent de faire un état des lieux de ce qui se passe dans une situation donnée. Le cyber est parfois source d’inquiétude et de fantasme, parfois justifié et parfois non. Cette “photo” intelligible d’une situation partagée aux autorités nationales ou européennes permet donc d’éclairer et d’aider à la décision. CyCLONe en cas de crise est une ANSSI européenne en quelque sorte et, pour que la réponse de l’Europe face à une crise cyber soit efficace il faut s’entraîner pour apprendre à se connaître, à se faire confiance. L’exercice organisé par la France avec l’ENISA et le SEAE sous la PFUE, EU-CyCLES, a justement permis de tester, au niveau européen, les dispositifs de crise qui doivent se coordonner en cas de crise cyber, nous y avons appris beaucoup de choses et cela a réellement contribué à améliorer notre cyber-résilience.

La collection Gestion de crise cyber

L’ANSSI propose trois guides. Un premier apprend à organiser un exercice de gestion de crise avec un chronogramme, un exercice type, qui permet aux organisations de se l’approprier et de l’adapter à son propre contexte pour s’entraîner. Un deuxième s’intéresse à la communication de crise pour anticiper et réagir en matière de communication et de crise cyber. Enfin, un troisième est consacré à la gestion de crise d’origine cyber pour savoir comment faire face au niveau opérationnel et stratégique.