Accueil Crise cyber, les clés pour y faire face

Crise cyber, les clés pour y faire face

Sans préparation, gérer une crise reposera principalement sur l’humain, sur des renforts internes ou bien des ressources externes sur lesquelles personne n’a de prise, voire sur le facteur chance. S’il existe plusieurs modèles, il en est un, minimaliste mais efficace, qui repose sur 3 phases : “avant”, où la plupart des efforts doivent être portés, “pendant” où se cristallise généralement toute l’attention, et “après”, destinée à tirer les enseignements, mais trop souvent oubliée. 

 

Phase 1 : avant 
Se préparer, anticiper

« Clairement, c’est là que tout se joue !  assure Olivier Caleff, responsable gestion de crise et cyber résilience chez Erium. Dans les faits, on n’imagine pas un pompier partir sur un incendie seul, sans équipement, sans procédure, avec une simple adresse, sans connaître la nature de l’incident auquel il sera confronté, ou le type et la nature du lieu concerné. On ne peut pas être dans l’improvisation. Eh bien ! dans le cas d’une gestion de crise cyber, c’est exactement pareil. » Concrètement, une absence de préparation plongerait une entreprise dans une improvisation totale et l’obligerait à se reposer sur ses ressources internes ou potentiellement externes et à tout faire dans l’urgence et la précipitation.

Voici donc une liste non exhaustive, regroupant les principales actions à mener pour se préparer.

  1. Connaître son environnement et son contexte : cela se traduit en général par la réalisation d’une cartographie et la réalisation d’un inventaire des actifs matériels, immatériels, humains et métiers. Un inventaire qu’il va falloir bien entendu tenir à jour.
  2. Identifier les menaces afférentes à son environnement, au contexte métier mais aussi géopolitique. Une crise cyber peut démarrer avec une intrusion physique ou des troubles publics comme dans un bâtiment public ou de l’entreprise, voire de l’un de ses prestataires. Disposer d’une veille ou d’un suivi de l’actualité économique et politique, ainsi que de la (cyber) criminalité est donc de rigueur.
  3. Réaliser des analyses de risques à jour avec des scénarios redoutés afin de les hiérarchiser par ordre de priorité.
  4. Ne pas négliger l’humain et la logistique. En complément des capteurs techniques, l’humain reste, en effet, une source précieuse de remontée d’information. Il faut donc organiser ces remontées d’information. « Tout comme le centre d’appel des secours, il faut prévoir des ressources, des règles claires, des scripts préparés en amont pour être en mesure de poser les bonnes questions et établir ainsi un diagnostic rapide et pouvoir orienter vers les intervenants les plus adaptés », compare Olivier Caleff. Il faut donc également ces ressources, avoir développé un protocole de communication interne et externe vis-à-vis des salariés et des prestataires présents sur place, des partenaires, mais aussi des fournisseurs et des clients. En résumé, tout ce que l’écosystème de l’entreprise compte comme acteurs.
  5. Anticiper les aspects organisationnels. Il faut prévoir le personnel (dédié ou non) affecté à la “logistique” et des liens avec les services transverses concernés (Sûreté, Services généraux, RH, juridique, etc.) Il faut tenir compte des problématiques de vie courante comme subvenir aux besoins primaires pour tenir 72h. Cela revient à : définir les roulements et changements d’équipe, prendre en considération l’aspect RH qui change selon les pays et leur législation et anticiper les potentiels incidents de personnes (fatigue, stress, surmenage).
  6. Gérer la communication interne et externe. Il s’agit de mettre en place un système de communication adapté par temps de crise : il faut partir du principe que les moyens classiques et habituels de l’entreprise ne fonctionneront probablement plus, ou bien de façon imparfaite, ou seront considérés comme non fiables. Il convient donc de disposer d’un mode de communication alternatif que tout le monde saura utiliser et qu’il faudra tester régulièrement afin de s’assurer que les acteurs sont toujours capables de les utiliser (et de les gérer). En complément de ce mode de communication hors bande, un annuaire maintenu et à jour est absolument indispensable.
  7. Définir des procédures : étape incontournable ! « Un bon exemple est de définir la fin d’intervention : quand décide-t-on que l’incident est clos ? », illustre Olivier Caleff. Des contrôles périodiques doivent cependant être réalisés afin de s’assurer que les procédures sont toujours valides, adaptées, respectées, connues et accessibles. Il est également possible d’envisager de contractualiser avec une société externe en cas de débordement des équipes internes : ces procédures lui serviront de base de travail.
  8. Organiser la chaîne décisionnelle, c’est-à-dire identifier et désigner les responsables et définir les différentes modalités d’organisation et de gestion du reporting. Cela prend la forme d’au moins 2 cellules : la première est décisionnelle et généralement composée des membres de la direction, voire du Comex, et de représentants de l’informatique, de la sécurité, de la sûreté, des métiers, etc. La seconde est opérationnelle et traitera notamment des aspects techniques.
  9. S’entraîner pour vérifier que l’on est prêt à affronter la crise. Les exercices servent à valider que tout est toujours prêt ou, au contraire, à identifier les écarts ou manques apparus au fil du temps. Ils peuvent également être déclenchés sans être annoncés afin de tester la capacité de mobilisation des différents acteurs ainsi que celle à basculer en mode gestion de crise. « L’impact du télétravail ces dernières années remet notamment en cause un certain nombre de procédures et d’habitudes : la gestion de crise est plus complexe pour des acteurs habitués à la gérer en présentiel. La distance rend les choses beaucoup plus complexes lorsque l’on n’y est pas préparé et le stress lié à la crise augmente », ajoute Olivier Caleff.

 

Il y a plusieurs types d’exercices, parmi lesquels :

  • Les exercices avec l’injection d’événements techniques (journaux d’activités, alertes, rapports d’analyses, etc.)
  • Les exercices sur table (ou table tops) non techniques et orientés décisionnel à durée (très) limitée. Par exemple, tester une procédure spécifique de gestion d’incident qui fait partie de la gestion de crise
  • Les exercices mixtes avec le support de technologies comme celles des BAS (Breach and Attack Simulation) pour tester toute la chaîne : depuis l’évaluation des capacités de détection, de prise en compte par les équipes opérationnelles et de communication avec la cellule décisionnelle et la prise de décision, qui doivent être mises en œuvre.

 

Les exercices peuvent avoir lieu à fréquence régulière (semestrielle ou annuelle), irrégulière (selon le budget, le contexte cyber ou géopolitique…) ou encore contextuelle, à chaque changement majeur par exemple. « Dans ce dernier cas, l’exercice sert à valider la conformité de l’organisation ou à mesurer le niveau de maturité de l’organisation », explique Olivier Caleff.

 

Phase 2 : pendant 
Appliquer les règles, gérer

En théorie, si la phase précédente a été correctement gérée, le pendant, c’est-à-dire le moment où la crise survient, devrait être assez “simple” à gérer. En théorie toujours, il “suffirait” en effet d’appliquer le plan ! Considérons toutefois que, une fois la “vraie” crise en cours, son déroulé ne ressemblera pas point pour point aux scénarios imaginés. Une bonne préparation permet d’acquérir des réflexes et de disposer d’une panoplie de procédures sur lesquelles s’appuyer.

 

Quelques questions à traiter en début de crise :

  • Faut-il faire appel aux assurances ?
  • Faut-il faire appel au(x) prestataire(s) externe(s) ?
  • Les critères pour activer la cellule de crise sont-ils atteints ? Qui prend la décision d’activer le plan de continuité ou de remédiation, voire le PRA ?
  • Faut-il prévenir les autorités, l’ANSSI ou une autre entité officielle ?
  • Si rançongiciel, faut-il lancer les négociations et, si non, quelles alternatives ?
  • Quels sont les critères pour lancer la reconstruction ?
  • Etc.

Conserver la maîtrise du temps

Dans les faits, il faut être en mesure de délivrer des estimations de temps aux métiers mais également aux différents acteurs de l’écosystème : clients, fournisseurs, partenaires, prestataires, etc. « En effet, “quand” est, très souvent, le mot qui est sur toute les lèvres et démarre presque toutes les questions posées », confirme Olivier Caleff.

  • Quand vais-je redémarrer mon activité ?
  • Quand vais-je livrer mes clients à nouveau ?
  • Quand vais-je relancer ma production ?
  • Quand le retour à la normale est-il prévu ?

 

Phase 3 : après
Faire le bilan, s’améliorer

Dans une démarche d’amélioration continue, il est indispensable de tirer les leçons de la crise que l’on vient de subir et de se donner les moyens d’être plus résilient pour … une éventuelle prochaine fois. Il s’agit de faire un bilan objectif. L’idée n’est donc pas de chercher des coupables mais d’identifier ce qui a fonctionné et ce qui, au contraire, n’a pas été efficace. Dans ce dernier cas précis, il faut trouver les causes : préparation mal évaluée ? Organisation inadaptée ? Rôles et responsabilités mal définis ? Outillage inapproprié ? Problèmes de communication ? « Il est toujours plus facile de dire ce qu’il aurait fallu faire et quelles auraient dû être les décisions. Mais, entre la critique du passé et  la volonté de construire ou d’améliorer les choses, le choix est vite fait.  Reste qu’il faut se projeter vers l’avenir et ne pas tenter de refaire le monde. Cette phase de bilan post incident est aussi indispensable que celle de préparation et nécessite d’être objectif et constructif. Malheureusement, très souvent, elle est soit omise soit négligée. », déplore Olivier Caleff.