Kit de survie gestion d’une crise cyber
Une crise cyber est définie par l’ANSSI dans son guide de gestion de crise cyber comme la déstabilisation immédiate et majeure du fonctionnement courant d’une organisation (arrêt des activités, impossibilité de délivrer des services, pertes financières lourdes, perte d’intégrité majeure, etc.) en raison d’une ou de plusieurs actions malveillantes sur ses services et ses outils numériques (cyberattaques de type rançongiciel, déni de service, etc.). C’est donc un évènement à fort impact, qui ne saurait être traité par les processus habituels et/ou dans le cadre du fonctionnement normal de l’organisation.
En 2023, plus de la moitié des entreprises (53%) ont subi une cyberattaque, un chiffre en hausse de 5 points par rapport à l'année précédente. Derrière, ce sont des pertes financières conséquentes qui se dessinent, avec un coût immédiat dépassant les 230 000€ pour un organisme sur huit, pouvant être accompagnées de sanctions réglementaires et d’atteintes à la réputation. Dans ce contexte, la question n’est plus de savoir si un organisme sera victime mais quand il le sera, et surtout, s’il sera prêt à réagir ?
Vous l’aurez compris, la gestion de crise cyber devient une compétence incontournable. Cet article propose un "kit de survie" essentiel pour les entreprises, couvrant les mesures clés pour anticiper (I), gérer et atténuer l'impact de telles crises (II).
I- La préparation
Une crise cyber est un évènement qui génère du stress et rend difficile la prise de décision. Dans cette perspective, l’anticipation est fondamentale pour mettre en place une réponse adaptée, rapide et efficace.
1. Connaître et maîtriser ses systèmes d’information
Une équipe de gestion de crise a besoin de réaliser dans un premier temps un travail d’investigation afin de déterminer l’ampleur de la crise. À cette fin, il est d’abord nécessaire d’être en possession d’une cartographie exhaustive des actifs critiques. Celle-ci doit comprendre les applications et services critiques rendus par l’organisation, les systèmes informatiques sur lesquels les services métiers critiques reposent et sont reliés entre eux, qu’ils soient déployés en interne ou fournis par des partenaires extérieurs (sous-traitants, infogérant, etc.). Aussi il est important d’identifier des points de contact clés qu’il s’agisse de prestataires externes ou de collaborateurs gérant les systèmes en interne. Enfin, il est indispensable de s’assurer que cette liste soit à jour et accessible hors ligne pour que les investigations puissent être menées en toutes circonstances.
2. Mettre en place une résilience numérique
En cas de crise cyber, il est primordial de maintenir ses activités les plus critiques, parfois sans outils numériques, et les relancer de manière opportune. Cela permet de garder la confiance des tiers. Il est alors nécessaire d’avoir un plan de continuité d’activité (PCA) spécialement prévu en cas de crise cyber. Le PCA intègre des scénarios d’indisponibilités de ressources clés mais aussi la stratégie et l’ensemble des dispositions prévues pour garantir la continuité de l’activité suite à un évènement perturbant gravement son fonctionnement habituel. De manière complémentaire, il est nécessaire de prévoir un plan de reprise d’activité (PRA). Celui-ci doit contenir, pour chaque service, une durée maximale d’interruption des activités qui, une fois écoulée, enclenchera une relance des systèmes critiques basée sur un processus de restauration de sauvegardes hors ligne. Enfin, il faut prévoir des outils de conduite de crise spécifiques, en mesure de fonctionner au moment venu (annuaire de crise, moyens de communication, etc.).
3. Adapter l’organisation de crise au scénario cyber
Un scénario de crise cyber nécessite de rassembler des profils de différents secteurs (métiers, cyber et IT) et d’assurer une coordination optimale entre les différents niveaux. Il est donc essentiel de planifier en amont une organisation de crise visant à clarifier le rôle de chaque acteur pour faciliter leur mobilisation de manière efficace. Une organisation structurée en situation de crise comprend l’existence d’une cellule stratégique (ou décisionnelle) et d’une ou plusieurs cellules opérationnelles (IT, cyber, métiers) selon les nécessités et proportionnellement à la taille de l’entité. Leurs modalités d’activation et de désactivation sont à définir préalablement. Dans cette perspective, la mise en place d’une chaîne d’alerte, comprenant un mode « alerte » et un mode « crise », est utile. Les membres de ces cellules, une fois identifiés, doivent être informés de leur rôle et missions et être formés notamment dans le cadre d’exercice de mise en situation.
4. Formaliser une stratégie de communication de crise
En situation de crise cyber, l’organisme fera face à des pressions internes et externes. Sa communication devient alors un outil central, c’est pourquoi une stratégie formalisée est indispensable. Dans un premier temps, il faut identifier les parties prenantes en établissant, en fonction des scénarios, une liste claire des personnes à contacter en cas de crise (clients, partenaires, autorités, personnes concernées…) et des canaux à mobiliser. Il faudra ensuite préparer des messages adaptés pour répondre rapidement aux sollicitations des médias et partenaires selon les scénarios de crise. Adopter la bonne stratégie permettra à l’organisme de gagner du temps et de maintenir la confiance avec ses clients, prestataires, etc.
5. Préparer ses capacités de réponse à incident
Une organisation doit disposer d’une cellule de réponse à incident :
CERT ou CSIRT internes pour les institutions d’Etat ou les grandes industries,
CERT ou CSIRT externes pour les entreprises en général
À défaut, l’organisation doit se doter de solides outils de détection (SOC – Security Operations Center interne ou externe) et de réponse aux incidents, accompagnés d'experts pour renforcer les capacités de détection, d'investigation et de gestion de crise.
Il est conseillé de pré-sélectionner des prestataires et de souscrire à une assurance cyber pour bénéficier rapidement des compétences nécessaires en cas d'incident. Les prestataires doivent être connus des équipes de crise, et leur liste régulièrement mise à jour.
6. Souscrire à des polices d’assurance adaptées
Les assureurs proposent désormais des offres spécifiques pour couvrir les incidents cyber. L'assurance cyber renforce la protection du patrimoine des organisations en complétant leur stratégie de gestion des risques. Selon le contrat, l’assureur peut fournir un soutien financier et technique, couvrant des pertes d’exploitation, les coûts d’intervention d’experts et, potentiellement, les dommages subis par des tiers. Il reste néanmoins essentiel de maintenir un haut niveau de sécurité interne et de clarifier en amont les garanties du contrat, notamment en matière de reconstruction des systèmes, afin d’adapter la couverture aux besoins réels.
Il est ainsi recommandé, de prioriser l’identification des risques à couvrir : les pertes d’exploitation, les frais de reconstruction, le coût des expertises…
7. S’entraîner pour pratiquer et s’améliorer
Une fois ces étapes passées, il faut se préparer aux différents scénarios à travers des exercices de gestion de crise réalistes. À leur issue, les équipes sont davantage sensibilisées et les retours d’expérience permettent d’affiner le dispositif de crise. En effet, ces exercices cibleront les failles et les périmètres perfectibles de la structure.
II. Réagir efficacement en adoptant de bonnes pratiques
Lorsque la crise survient, il est essentiel de suivre une méthodologie de réponse structurée pour limiter les impacts, rétablir les services critiques, et regagner la confiance des parties prenantes.
1. Alerter, mobiliser et endiguer l’attaque
Lorsqu'un incident cyber majeur est détecté, l'organisation doit activer un dispositif de gestion de crise structuré. Ce dispositif inclut une cellule stratégique et une ou plusieurs cellules opérationnelles (RH, logistique, communication, etc.). Une réponse coordonnée peut être décomposée en trois objectifs :
a. La mobilisation du dispositif de crise
La cellule stratégique évalue la situation pour activer l'état de crise et rassembler les équipes opérationnelles, en mettant en place des points de situation réguliers pour coordonner les actions de réponse. Un « rythme de bataille » est alors instauré pour garantir une réactivité continue face à l’évolution de la menace, c’est-à-dire collecter et gérer efficacement les informations en les utilisant de manière réfléchie.
b. Mesures d’endiguement et de continuité
Les équipes IT et cyber, en lien avec les responsables stratégiques, initient des actions de confinement pour contenir l’attaque. Cela inclut le blocage ou l’isolement de certains systèmes pour limiter la propagation de l’incident. La cellule stratégique valide ces mesures lorsque l’intégrité ou la disponibilité de l’infrastructure est en jeu, afin de maintenir autant que possible les activités essentielles.
c. Activation des réseaux de soutien
La cellule stratégique contacte les partenaires de soutien, comme les assureurs, les équipes CERT/CSIRT, ou les autorités si nécessaire. Ces réseaux fournissent des ressources et une expertise précieuse pour renforcer la capacité de réponse de l’organisation. Un suivi continu des actions et des coûts associés est assuré pour une traçabilité des décisions et des dépenses, facilitant la reconstruction et la récupération post-crise.
2. Maintenir la confiance et comprendre l’attaque
Après l’activation du dispositif de crise face à un incident cyber, il est crucial de limiter les impacts immédiats sur l’organisation. Cela repose sur le maintien de la confiance des parties prenantes et une investigation approfondie pour comprendre l’attaque.
a. La communication de crise pour rassurer les parties prenantes
La complexité et l’ampleur des incidents cyber nécessitent une communication rapide et bien orchestrée, tant en interne qu’en externe. La cellule stratégique, avec les équipes de communication et d’IT, adaptent les messages pour chaque public, en prenant en compte la réputation de l’organisation et de l’environnement socio-politique. Des porte-paroles formés aux enjeux cyber sont désignés pour centraliser les informations et éviter les rumeurs. Une cellule de veille médiatique peut être constituée pour suivre l'impact des messages diffusés et ajuster la stratégie de communication en temps réel.
b. Investigation pour comprendre l'attaque
Identifier l'origine et le déroulement de l'incident permet de circonscrire la compromission et de hiérarchiser les actions de remédiation. La cellule stratégique établit une approche équilibrée entre le retour à la normale et la sécurisation des systèmes. Les équipes IT et cyber priorisent l’analyse des systèmes critiques et des vecteurs de l'attaque, puis partagent des résultats intermédiaires pour garder toutes les équipes informées. L'objectif n’est pas de chercher un coupable mais de sécuriser les opérations et éviter une réinfection. Les ressources pour l’investigation (collecte de journaux, coordination des experts) sont centralisées pour garantir une vue d’ensemble et une traçabilité des actions.
c. Mise en place de modes de fonctionnement dégradé
Les équipes métiers, confrontées à une potentielle indisponibilité des systèmes, doivent adapter leurs processus avec des solutions alternatives (systèmes manuels, utilisation de sauvegardes, etc.) pour assurer la continuité d’activité. Une communication claire est faite sur ces modes de fonctionnement temporaire, et des outils de déchiffrement sans rançon sont envisagés lorsque possible.
3. Durcir les systèmes et relancer les activités
Dans cette phase, l’objectif est de restaurer les activités tout en renforçant la sécurité des systèmes pour éviter de nouvelles compromissions. Cette étape, pour revenir à la normale, s’articule autour du durcissement des systèmes et de la reconstruction progressive.
a. Durcissement et remédiation
Une fois les vecteurs de l’attaque identifiés, des actions de sécurisation doivent être déployées pour empêcher de nouvelles intrusions. Il faudra donc réviser les pratiques d’administration des systèmes et mettre en place de nouvelles mesures de sécurité. Le plan de durcissement est ajusté selon les résultats des investigations et les besoins métiers. En cas de mesures ayant un impact important, l’adhésion des équipes métiers est nécessaire pour garantir leur bonne application. L'objectif est de construire un "cœur de confiance" sécurisé pour relancer les activités essentielles sans risque de compromission.
b. Reconstruction des systèmes
La remise en production se concentre d’abord sur les systèmes critiques, en fonction de leur priorité pour l’organisation (comme les outils de paie ou les applications de production). Cette reconstruction repose sur des sauvegardes saines et exige un standard de sécurité élevé, même si cela peut ralentir le processus. La cellule stratégique supervise cette phase pour s’assurer que la sécurité n’est pas sacrifiée au profit de la rapidité. Toute dérogation doit être approuvée par la cellule stratégique, avec une évaluation formelle des risques associés.
c. Coordination et transparence
Les équipes métiers testent les systèmes et applications avant leur remise en service. Une communication continue est assurée avec les utilisateurs et personnes concernées pour gérer les attentes et maintenir l’engagement des équipes jusqu’à la fin de la crise. Cette coordination, renforcée par un suivi rigoureux, permet de synchroniser les efforts de remédiation et de reconstruction.
4. Tirer les leçons de la crise et capitaliser
Dans la même perspective qu’à l’issue d’un exercice de gestion de crise, il s’agira de faire un retour d’expérience pour identifier les points d’amélioration et renforcer le plan de gestion de crise cyber. Ce retour d'expérience sera notamment l’occasion de mettre à jour les procédures et une opportunité de sensibiliser les équipes internes et externes des leçons à tirer de l’incident pour garantir une réponse future plus performante.