Comment appliquer la procédure traditionnelle de gestion de crise à une attaque cyber ? Quelles spécificités respecter ? Avec quels outils ?
Une crise cyber consiste en une attaque du système informatique capable de déstabiliser gravement l'organisation. Les processus de fonctionnement normaux de l'entreprise ne suffisent pas à juguler son impact. Elle constitue donc un challenge de taille, surtout en 2021, où la cybersécurité représente un grave enjeu pour les entreprises. Malgré sa gravité, une cybercrise peut être endiguée. Pour faire face à une situation de crise cyber, la prise de décisions doit être rapide, tout comme la mise en oeuvre de celles-ci. C’est le rôle de la gestion de crise, dont il convient de respecter strictement les procédures pour s’assurer de réduire l’impact des cyberattaques.
Pour comprendre ce qu’est la gestion d’une crise en cybersécurité, il convient de rappeler en premier lieu comment se définit une crise, une gestion de crise et une cyberattaque.
Le mot “crise” trouve son origine dans le latin “krisis”, qui désigne le moment où une maladie atteint un point critique, qui débouche soit sur la guérison, soit sur la mort. Par extension, on utilise aujourd'hui le mot “crise” pour désigner une période difficile traversée par un individu, un groupe, ou par une entreprise, comme c’est le cas lors d'une cyberattaque.
L’Institut national des hautes études de la sécurité et de la justice propose la définition suivante : « une crise cyber est une crise liée à une attaque cyber qui vise spécifiquement le patrimoine numérique, les infrastructures techniques ou le Système d’Informations d’une entreprise.»
Face à ces crises cyber, la gestion de crise relève de plusieurs démarches :
Les crises cyber sont par ailleurs assez spécifiques. Elles englobent une série de facteurs de gravité :
Avant de se lancer dans la conceptualisation d’une gestion de crise, il faut envisager la diversité des scénarios de crise éventuels pour votre entreprise. De nombreux risques de piratages informatiques planent sur les sociétés françaises. Ils sont répertoriés par le gouvernement sur sa page web dédiée aux risques cyber :
Les cyberattaques visent aussi bien les entreprises que les administrations publiques. Pour qu’une gestion de cybercrise soit efficace, il faut en outre qu’elle mobilise l’ensemble des salariés de votre société ou de votre organisation.
Une récente étude Cyber Insécurité : Gérer les menaces de l’intérieur » réalisée par The Economist Intelligence Unit s’est effectivement intéressée à la gestion des crises cyber par plus de 300 dirigeants, DSI (Directeurs des Services Informatiques) et RSSI (Responsables de la Sécurité des Systèmes d’Information).
85% des répondants à cette enquête estiment que les vulnérabilités humaines incarnent la première menace pour la cybersécurité de leur entreprise. Les failles technologiques auraient ainsi moins d'impact que les erreurs du personnel ou des partenaires. Dans le détail :
Il est donc important que la gestion des crises cyber implique une formation de l'ensemble des collaborateurs pour être performante.
La gestion de crise comporte autant d’étapes en amont de l’événement déclencheur que d’étapes en aval :
1 / Planifier les différents scénarios de crise et les techniques pour baisser ou supprimer leurs impacts.
2 / Diffuser une culture du risque cyber en interne, doublée de mécanismes de veille destinés à détecter les signes avant-coureurs d’une cyberattaque ;
3 / Exercer les équipes à la gestion de crise, selon les risques jugés les plus probables dans la cartographie des risques ou encore mieux en fonction d’une quantification des risques cyber. Ces simulations permettent de s’approprier les procédures, les techniques, mais aussi d’identifier les éventuels ratés avant la survenue d’une crise potentielle.
4 / Reconnaître la survenue de la crise : un événement brutal et inattendu qui corrompt le fonctionnement normal de l'entreprise. L’événement est grave, et menace la stabilité de l’organisation.
5 / Définir l’incident déclencheur de la crise cyber, si possible avant qu’il n’ait de graves conséquences. Cette étape se résume à préciser la forme de la cyberattaque et à la confirmer.
6 / En temps de crise avérée, procéder à une phase dite de “remédiation”. Il s’agit, en situation d’urgence de mettre en place des actions immédiates permettant de limiter le risque et sa propagation à court termes. Il peut s'agir de mettre en veille les appareils, et de réaliser des copies de disque. Vous pouvez aussi porter plainte au plus vite auprès des autorités et déclarer l’éventuel vol de données personnelles à la CNIL (Commission nationale de l'informatique et des libertés).
7 / Mettre en place la cellule de crise face à cette faille de cybersécurité. Celle-ci va coordonner les actions des différentes équipes selon un plan de gestion de crise préétabli. Cette organisme au sein de l’organisation va tenir le rôle de gestionnaire de crise et évitera un chaos décisionnel le moment venu.
8 / Déployer les différentes équipes de gestion de crise :
9 / Assurer la gestion opérationnelle de la crise cyber au sein des différentes équipes. Dans le cadre d’une cybercrise, la lutte contre une cyberattaque comprend une phase d’endiguement de la cyberattaque, suivie d’un assainissement des systèmes hackés.
10 / Si la sortie de crise est avérée, arrêter les mesures exceptionnelles mises en place et recueillir les retours d’expérience.
11 / Préparer les crises suivantes en durcissant les mesures de prévention. La DSI doit réévaluer la capacité du système informatique à faire face à d’autres cyberattaques, dans un souci d’amélioration continue.
La préparation aux crises relève de trois volets : l’évaluation des risques, l’identification des scénarios de crise et les exercices de simulation.
Une procédure de gestion de crise efficace comprend nécessairement une phase de préparation à la crise. Il s’agit de prévoir les risques, pour mieux les prévenir. Les hackers ont effectivement pour compétence d’identifier les faiblesses de votre organisation, qu’elles soient cybersécuritaires, humaines ou organisationnelles. Prendre conscience des vulnérabilités de votre structure vous permet d’assurer une gestion de crise plus performante.
Cette identification de vos faiblesses structurelles passe généralement par des audits, aussi bien informatiques qu’organisationnels. Vous pouvez aussi mettre en œuvre une cartographie des risques, pour prioriser vos efforts en matière de cybersécurité et dresser des scénarios de cyberattaques potentiels.
En imaginant le déroulé d’une cyberattaque de votre système informatique, vous prévisualiser aussi les potentielles erreurs qui pourraient amplifier son impact. Établir des scénarios sert donc à contourner le risque de sur-accident.
Imaginez les réactions spontanées des équipes, en les incluant à l’exercice. Trouvez les solutions qui peuvent les aider à garder leur calme, et à prendre des décisions dénuées de toute improvisation. Pensez aux mesures d'urgence à privilégier : s’agit-il d’une mise en quarantaine du système ? d’une copie des disques durs ? Faut-il contacter un responsable en priorité ?
Les scénarios doivent être clairement rédigés et communiqués à l'ensemble des collaborateurs. Ils doivent rester faciles d’accès en cas d’urgence.
Une bonne gestion de crise cyber ne peut se passer d'exercices de simulation de cyberattaque. Il peut s’agir de simuler une fausse attaque, de mobiliser la cellule de crise par surprise ou simplement d’imaginer les réactions en chaîne en cas de cybermalveillance avérée.
Accordez à cet exercice de simulation entre une heure et une journée, selon le nombre de filiales intégrées au processus. Vous pouvez aussi choisir de condenser l’exercice, sans respecter le temps de gestion de crise réel.
Dans l’idéal, il faut bien sûr que la simulation s’appuie sur un scénario de crise réaliste, qui concerne un risque probable et grave pour l'entreprise. Gardez néanmoins à l’esprit qu’il ne s’agit que d'une simulation. Le fonctionnement normal de l'entreprise ne doit pas vraiment être perturbé.
Quelle que soit l’étape de la gestion de crise dans laquelle évolue l’organisation, celle-ci peut s’appuyer sur des outils utiles pour améliorer ou accélérer le processus de résolution de crise.
Comme décliné ci-dessus, la gestion de crise suit un processus précis, selon différentes étapes. À chacune d’elles correspond un outillage spécifique, qui peut améliorer le déroulement de la démarche :
Le corpus documentaire de la mallette de crise varie grandement selon les entreprises. Il comprend cependant quelques documents particulièrement stratégiques pour bien résoudre la cybercrise :
La gestion d’une cybercrise s’appuie sur le déroulé traditionnel de toute gestion de crise. Dans les grandes lignes, il convient d’anticiper les risques pour être capable d’identifier un incident dû à un acte cybermalveillant. Il faut ensuite pouvoir mobiliser la cellule de crise et dérouler les démarches de rémédiation. La gestion de crise se clôture avec la remontée des retours d’expérience et la constitution d’une nouvelle politique de gestion de crise cyber.
Les crises cyber sont souvent difficiles à identifier. A l’exception d’une attaque par déni de service, dont les conséquences sont immédiatement tangibles, la DSI ne repère généralement une cybercrise qu’après sa survenue, quand elle a déjà de graves impacts pour la sécurité des données, par exemple.
Une cybercrise peut paralyser vos systèmes informatiques, ou consister en un vol de données sensibles. Elle peut vous exposer à un chantage, nuire à votre réputation, et par extension à votre valeur financière.
en lien avec la quantification des cyber risques