Baptisé REMPAR22, l’exercice de gestion de crise cyber se déroulait jeudi 8 décembre au Campus Cyber sous la houlette de l’Agence nationale de la sécurité des systèmes d’information.
Le premier exercice de cyber-crise de grande ampleur s’est terminé hier soir. Co-organisé par l’ANSSI, le Campus Cyber et le Club de la Continuité d’activité (CCA), l’événement a réuni un grand nombre de participantes et de participants en deux sessions. Le matin, plusieurs organisations (entreprises, administrations, associations, etc.) répondaient, à distance, et en même temps, à une crise d’origine cyber. L’idée, ici, était de permettre à celles et ceux qui le souhaitaient, de sensibiliser aussi les membres de leur Comex sachant que ces derniers n’auraient probablement pas fait le déplacement jusqu’à La Défense. L’après-midi, plus de 200 personnes, provenant de près de 100 organisations, se sont rassemblées au Campus Cyber en cinq organisations de crise, chacune incarnant une entreprise fictive liés à son secteur d’activité, pour assurer la gestion de crise de l’entreprise. L’objectif était le même pour tout le monde : se coordonner afin de gérer la pression et opter pour les bons réflexes afin d’assurer une continuité d’activité.
Un an de préparation pour une journée d’exercice
Un journée couronnée de succès, donc, où toutes et tous sont rentré(es) la besace riche d’enseignements. Prévu depuis un an environ, l’événement, à l’initiative de l’Agence nationale, a été conçu en étroite collaboration avec le Campus Cyber et les membres du Club de la Continuité d’Activité, rompus à ce type d’exercice.
“Depuis 2007, nous réunissons des responsables de gestion de crise, de sécurité du système d’information ou de plan de reprise d’activité (PCA), issus des secteur privé et public (administration, ministères, universités, etc.), rappelle à Solutions Numériques Monique Tinas, présidente du CCA et responsable PCA chez Natixis. Aujourd’hui nous avons une centaine d’adhérents avec qui nous réalisons ce type d’exercice une fois par an. » Pour l’ANSSI, l’idée de cette collaboration reposait non seulement sur le fait de bénéficier de l’expérience de l’association, mais, également, de faire en sorte que l’exercice de crise cyber ne soit pas uniquement une affaire de spécialistes comme les RSSI mais touchent toutes les fonctions de leur organisation de crise. L’occasion pour l’ANSSI de créer des dynamiques de partage et d’échange entre les communautés et les secteurs, comme l’explique Yves Verhoeven, sous-directeur stratégie l’ANSSI, mais également “de tester les dispositifs de gestion de crise afin de s’assurer de la prise en compte des spécificités des cyberattaques. » Et ce, un an après la sortie par l’ANSSI de trois guides complémentaires afin d’appréhender pas à pas la gestion de crise cyber et ainsi faciliter la prise de décision, disponible sur le site de l’agence.
Cinq secteurs d’activités représentés
Banque-assurance, industrie, commercial, conseil et service à la personne ont ainsi été représentés par près de 200 participants l’après-midi. Dans les faits, la crise se décomposent en trois phases : d’abord attaque de la supply chain puis récupération de privilèges, blocage des serveurs informatiques, rançongiciel et, enfin, fuite de données. “Pour que ce soit réaliste, nous avons travaillé avec des personnes issues de chaque secteur pour aider aidé l’ANSSI à rendre les scénarios crédibles, explique Monique Tinas. Je travaille dans une banque, nous avons donc dit à l’ANSSI que ce qui est grave pour nous c’est qu’on nous coupe les systèmes de paiement. Donc le scénario pour le secteur bancaire a été de perturber les systèmes de paiement. Pour l’industrie il a été question de couper la production, la caisse pour le commercial, la relation client pour le conseil, etc. »
Les participants ont eu l’occasion d’utiliser l’outil OpenEx, plateforme mise à disposition par l’ANSSI gratuitement pour organiser des exercices de gestion de crise. Pour celles et ceux qui voudraient s’y essayer, l’Anssi a mis sur son site internet un guide sur comment organiser un exercice de gestion, corédigé avec le CCA.