C’est seulement en anticipant et en se préparant qu’une entité pourra limiter les dommages d’une cyberattaque qui ne manquera pas d’arriver. La mise en place d’une cellule de crise et de plans d’action est donc centrale dans toute approche de la cybersécurité.
Omniprésentes dans l’actualité, les cyberattaques touchent toutes les organisations, publiques comme privées, quel que soit leur secteur. Expression tarte à la crème au possible, la question n’est plus de savoir si on va être attaqué mais quand. Il est donc crucial de réagir rapidement et efficacement à un incident. Et, comme pour toute crise de quelque nature que ce soit, la mise en place d’une cellule dédiée à la gestion des incidents cyber est indispensable. La littérature sur le sujet est heureusement abondante. L’ANSSI nousa ainsi gratifiés de l’excellent guide « Crise d’origine cyber, les clés d’une gestion opérationnelle et stratégique », qui aborde à grands renforts de recommandations la mise en place et l’activation d’un dispositif de gestion de crise cyber. « La particularité du scénario de crise cyber implique de mobiliser à la fois des profils métiers, cyber et IT, ainsi que d’assurer la bonne coordination entre les différents niveaux. Il convient donc de planifier une organisation de crise en amont de tout évènement et de s’accorder sur le rôle de chaque partie, afin de faciliter la mobilisation », écrit l’agence dans son ouvrage.
Dream On Technology © DR
On ne peut que lui donner raison : une cellule de crise ne s’improvise pas quand le loup est déjà dans la bergerie. « La gestion de crise n’est pas bien faite ou mal organisée : c’est le constat à la base de la création de Dream On. Nous avons modélisé les crises les plus courantes pour en définir des scénarios et, pour chacun d’entre eux, des étapes à suivre de sorte à être le plus concentré possible sur les actions à mener pendant la crise », nous explique Mikael Masson, P-DG et cofondateur de Dream On Technology. C’est un constat par ailleurs partagé par de nombreux experts du sujet : l’anticipation de la gestion d’une crise d’origine cyber est encore défaillante. Or, lorsque l’incident survient, la panique et la désorganisation peuvent aggraver ses conséquences.
Prévention et anticipation
Si l’on reprend un peu la théorie, une bonne cellule de crise se divise en deux sections. D’un côté, la cellule de crise stratégique, de l’autre la cellule de crise opérationnelle. La première décide, la seconde agit, le tout de manière coordonnée et informée. Mais dans la pratique, cette organisation ne sera pas nécessairement la plus adaptée, notamment pour des structures de petite taille. Une cellule de crise cyber bien préparée doit être structurée autour de plusieurs compétences clés, qu’il convient d’identifier en amont. Là encore, il n’y a pas de règle absolue, sa composition va dépendre de l’organisation, de son activité, de ses métiers, de sa taille…
Moïra Cybersecurity © DR
« Dans la cellule de crise, on doit trouver le RSSI s’il y en a un ainsi qu’une partie prenante du SSI. On y ajoute le chef d’entreprise ou un membre du Comex, le responsable de la communication, quelqu’un du risque ou de la conformité et, si possible, du juridique. Les métiers sont également à inclure, liste Élodie Le Saout, fondatrice et P-DG de Moïra Cybersecurity. La forme n’est pas essentielle, on définit surtout les responsabilités et les rôles des uns et des autres. » Ainsi, la coordination entre les parties prenantes va dépendre de l’entité : le RSSI pourra jouer ce rôle, de même qu’un membre de la direction générale. Là encore, tout dépend de la gouvernance et des process internes de l’entreprise. Pour Mikael Masson, il ne faut pas hésiter à inclure certaines personnes extérieures, à l’instar du prestataire informatique ou de l’équipe forensic. Évidemment, entre l’état de l’art et la réalité du terrain, il y aura un écart.
Amélioration continue
Les outils sont tout aussi déterminants que les personnes, à commencer par la documentation : disposer de l’information nécessaire sur ses assets et ses processus internes et pouvoir y accéder immédiatement est un premier socle. Dans le cas particulier des crises cyber, il est essentiel de définir des plans d’action clairs pour chaque type d’attaque, au moyen de runbooks et de scénarios, avec des process clairs et documentés, les personnes à contacter, les actions à mettre en œuvre, etc. À cela, on ajoutera des outils de communication sécurisés et, pourquoi pas, une plateforme spécialisée en gestion de crise. Le P-DG de Dream On Technology recommande en outre, si possible, de « décentraliser et délocaliser la cellule de crise afin qu’elle soit accessible indépendamment de l’infrastructure de l’entreprise ».
En outre, la préparation repose sur un entraînement régulier. La cellule de crise doit être fréquemment activée et participer à des exercices de simulation d’attaques pour vérifier que les procédures soient toujours valables et tester la chaîne d’escalade en situation de crise, afin de s’assurer que l’information circule de manière fluide et rapide entre les différents niveaux de responsabilité et, in fine, d’améliorer les plans d’action. Pour Pascale Perez, présidente d’AUCAE, les exercices sur table ne suffisent pas. « Il faut des entraînements immersifs à la gestion d’une crise cyber, quitte à prendre les collaborateurs par surprise, à ne pas les informer de l’exercice. » Force est en effet de constater que le stress engendré par une crise est un facteur à ne pas sous-estimer lors d’un entraînement. « La cellule de crise est la déclinaison opérationnelle des scénarios documentés dans les procédures. En cyber, on dépend beaucoup des outils : il ne faut pas oublier qu’une cellule de crise cyber ne repose pas que sur la technique. Il n’y a que la documentation, la préparation et les process qui permettent de minimiser l’impact d’une attaque », assure Élodie Le Saout.
Pendant et après la crise
Lorsqu’une attaque survient, la cellule de crise doit immédiatement entrer en action. La clé est la réactivité. La cellule doit être prête à identifier rapidement la nature et l’étendue de l’attaque, ce qui nécessite une coopération étroite entre les équipes de sécurité informatique et les analystes spécialisés. Le premier diagnostic permettra de décider des actions à mener et de mettre en place une gestion de crise coordonnée, basée sur les protocoles définis en amont, régulièrement vérifiés et actualisés. « C’est le cœur, ce qui va permettre que la cellule soit efficace et de dérouler les actions séquentielles définies en amont », note le P-DG de Dream On. À noter que la cellule de crise doit également prendre en compte les implications légales et réglementaires de l’attaque, en veillant à respecter les exigences en matière de protection des données et à signaler l’incident aux autorités compétentes lorsque cela est requis.
Mais le travail de la cellule de crise ne s’arrête pas une fois celle-ci terminée. Ses membres doivent réaliser un post-mortem, une analyse post-incident pour comprendre comment l’attaque a eu lieu et quelles vulnérabilités ont été exploitées, ainsi qu’évaluer l’efficacité de la réponse. « Ce que je préconise, c’est de ne pas réagir tout de suite quand on est revenu à son point d’origine. Je conseille de laisser passer un peu de temps pour faire mûrir ce qu’il s’est passé, puis de réunir les gens qui ont participé à la crise et de reprendre son déroulé pour comprendre ce qu’on aurait pu améliorer et ce qui a été efficace : on fait le retour d’expérience et on le réinjecte dans le processus », suggère Mikaël Masson. Et on renforce ainsi la préparation pour les futures attaques, qui ne manqueront pas d’advenir.
La communication, un élément à ne pas négliger
Lorsque les serveurs sont tombés, les données chiffrées et l’activité à l’arrêt, il peut sembler dérisoire de s’intéresser aux questions de communication. Grossière erreur ! Pour reprendre les propos de l’universitaire Thierry Libaert : « La crise engendre un phénomène paradoxal qui repose sur un maelström d’incertitudes croissantes, une impossibilité technique de réponses univoques et une demande publique d’explication claire, simple, unique. » En d’autres termes, la communication de crise est un pan entier de la gestion d’une crise cyber. « La communication est un relais auquel on pense beaucoup moins mais il faut définir les canaux internes et externes et les porte-paroles en cas de crise pour maintenir la confiance », explique Élodie Le Saout. En interne, il faut éviter toute panique et s’assurer que les employés disposent d’informations fiables sur la situation. En externe, la communication doit être maîtrisée pour préserver l’image de l’entreprise et respecter les obligations légales. Même la gestion de l’après-crise doit comprendre un volet communication : une entreprise qui montre qu’elle a appris de l’incident et qu’elle renforce activement sa sécurité peut transformer une crise en opportunité. L’inverse est également vrai.
Guillaume Périssat
