Gestion de crise

La gestion de crise : comment gérer une crise cyber efficacement ?

Comment appliquer la procédure traditionnelle de gestion de crise à une attaque cyber ? Quelles spécificités respecter ? Avec quels outils ?

C-RiskC-Risk

Publié le 9 août 2021 05:34 (Mise à jour le 1 décembre 2021 14:56)

Une crise cyber consiste en une attaque du système informatique capable de déstabiliser gravement l'organisation. Les processus de fonctionnement normaux de l'entreprise ne suffisent pas à juguler son impact. Elle constitue donc un challenge de taille, surtout en 2021, où la cybersécurité représente un grave enjeu pour les entreprises. Malgré sa gravité, une cybercrise peut être endiguée. Pour faire face à une situation de crise cyber, la prise de décisions doit être rapide, tout comme la mise en oeuvre de celles-ci. C’est le rôle de la gestion de crise, dont il convient de respecter strictement les procédures pour s’assurer de réduire l’impact des cyberattaques.

Qu’est-ce qu’une crise de cybersécurité ?


Pour comprendre ce qu’est la gestion d’une crise en cybersécurité, il convient de rappeler en premier lieu comment se définit une crise, une gestion de crise et une cyberattaque.

Comment définir une crise cyber, et donc une gestion de cybercrise ?

Le mot “crise” trouve son origine dans le latin “krisis”, qui désigne le moment où une maladie atteint un point critique, qui débouche soit sur la guérison, soit sur la mort. Par extension, on utilise aujourd'hui le mot “crise” pour désigner une période difficile traversée par un individu, un groupe, ou par une entreprise, comme c’est le cas lors d'une cyberattaque.

L’Institut national des hautes études de la sécurité et de la justice propose la définition suivante : « une crise cyber est une crise liée à une attaque cyber qui vise spécifiquement le patrimoine numérique, les infrastructures techniques ou le Système d’Informations d’une entreprise.»

Face à ces crises cyber, la gestion de crise relève de plusieurs démarches :

  • prévention des crises en amont de leurs survenues ;
  • application d’une procédure de résolution de crise après déclenchement et identification de la cyberattaque ;
  • mobilisation de techniques et de moyens pour la contrer ;
  • amélioration de la procédure de gestion de crise aux vues du retour d'expérience.

Les crises cyber sont par ailleurs assez spécifiques. Elles englobent une série de facteurs de gravité :

  • Une cybercrise relève quasiment toujours d’une thématique IT par nature assez technique ;
  • Elle est souvent repérée assez tard, alors que le hacker opère déjà depuis plusieurs mois ;
  • Ses impacts sont généralement de grande ampleur et impressionnent aussi bien en interne qu’en externe ;
  • Elle réclame une gestion transversale par des acteurs qui n’ont pas toujours l’habitude de collaborer ;
  • Elle empêche d'utiliser les outils traditionnels de communication, au cas où ils aient été piratés eux aussi ;
  • Les sorties de crise cyber sont rarement courtes.

Différents types de crises de cybersécurité

Avant de se lancer dans la conceptualisation d’une gestion de crise, il faut envisager la diversité des scénarios de crise éventuels pour votre entreprise. De nombreux risques de piratages informatiques planent sur les sociétés françaises. Ils sont répertoriés par le gouvernement sur sa page web dédiée aux risques cyber :

  • Le cybercrime consiste à obtenir de façon illégale des données personnelles pour les exploiter ou les revendre. Le hameçonnage, ou phishing, est un cybercrime, au même titre que les rançongiciels.
  • Les atteintes à l’image consistent principalement à remplacer les contenus officiels que votre société affiche en ligne par des revendications politiques, religieuses ou par des propos susceptibles de nuire à votre réputation.
  • Les attaques par espionnage ont un objectif soit politique, soit économique. Le hacker obtient dans ce cas un accès à votre système informatique. Il s’en sert sur le long terme pour exploiter vos données.
  • Le sabotage se résume à une panne organisée, comme par exemple lors d’une attaque par déni de service, les fameuses attaques DDoS. Il désorganise votre entreprise, ce qui peut avoir un impact considérable vis-à-vis de vos utilisateurs.

Qui doit s'atteler à la gestion des crises cyber ?

Les cyberattaques visent aussi bien les entreprises que les administrations publiques. Pour qu’une gestion de cybercrise soit efficace, il faut en outre qu’elle mobilise l’ensemble des salariés de votre société ou de votre organisation.

Une récente étude Cyber Insécurité : Gérer les menaces de l’intérieur » réalisée par The Economist Intelligence Unit s’est effectivement intéressée à la gestion des crises cyber par plus de 300 dirigeants, DSI (Directeurs des Services Informatiques) et RSSI (Responsables de la Sécurité des Systèmes d’Information).

85% des répondants à cette enquête estiment que les vulnérabilités humaines incarnent la première menace pour la cybersécurité de leur entreprise. Les failles technologiques auraient ainsi moins d'impact que les erreurs du personnel ou des partenaires. Dans le détail :

  • 48% des cyberattaques se perpétuent par le biais des clients de la société ;
  • 43% par les salariés ;
  • 38% par les employés temporaires.

Il est donc important que la gestion des crises cyber implique une formation de l'ensemble des collaborateurs pour être performante.

En quoi consiste le processus de crisis management ?

La gestion de crise comporte autant d’étapes en amont de l’événement déclencheur que d’étapes en aval :

1 / Planifier les différents scénarios de crise et les techniques pour baisser ou supprimer leurs impacts.

2 / Diffuser une culture du risque cyber en interne, doublée de mécanismes de veille destinés à détecter les signes avant-coureurs d’une cyberattaque ;

3 / Exercer les équipes à la gestion de crise, selon les risques jugés les plus probables dans la cartographie des risques ou encore mieux en fonction d’une quantification précise des risques cyber. Ces simulations permettent de s’approprier les procédures, les techniques, mais aussi d’identifier les éventuels ratés avant la survenue d’une crise potentielle.

4 / Reconnaître la survenue de la crise : un événement brutal et inattendu qui corrompt le fonctionnement normal de l'entreprise. L’événement est grave, et menace la stabilité de l’organisation.

5 / Définir l’incident déclencheur de la crise cyber, si possible avant qu’il n’ait de graves conséquences. Cette étape se résume à préciser la forme de la cyberattaque et à la confirmer.

6 / En temps de crise avérée, procéder à une phase dite de “remédiation”. Il s’agit, en situation d’urgence de mettre en place des actions immédiates permettant de limiter le risque et sa propagation à court termes. Il peut s'agir de mettre en veille les appareils, et de réaliser des copies de disque. Vous pouvez aussi porter plainte au plus vite auprès des autorités et déclarer l’éventuel vol de données personnelles à la CNIL (Commission nationale de l'informatique et des libertés).

7 / Mettre en place la cellule de crise face à cette faille de cybersécurité. Celle-ci va coordonner les actions des différentes équipes selon un plan de gestion de crise préétabli. Cette organisme au sein de l’organisation va tenir le rôle de gestionnaire de crise et évitera un chaos décisionnel le moment venu.

8 / Déployer les différentes équipes de gestion de crise :

  • la relation client, qui répond aux questions des consommateurs ou utilisateurs ;
  • la communication interne, qui communique avec les collaborateurs ;
  • Le plan de communication externe, chargée de la coordination globale de la communication de crise en cas de cyberattaque ;
  • L’équipe d’audit, qui qualifie la cyberattaque et analyse l’état du réseau informatique et donc l’ampleur des dégâts ;
  • Les développeurs, qui assurent la continuité des activités en déployant un SI alternatif.

9 / Assurer la gestion opérationnelle de la crise cyber au sein des différentes équipes. Dans le cadre d’une cybercrise, la lutte contre une cyberattaque comprend une phase d’endiguement de la cyberattaque, suivie d’un assainissement des systèmes hackés.

10 / Si la sortie de crise est avérée, arrêter les mesures exceptionnelles mises en place et recueillir les retours d’expérience.

11 / Préparer les crises suivantes en durcissant les mesures de prévention. La DSI doit réévaluer la capacité du système informatique à faire face à d’autres cyberattaques, dans un souci d’amélioration continue.

Reconnaître une cyberattaque pour lancer la gestion de crise

Gestion de crise : Comment anticiper une situation de crise ?


La préparation aux crises relève de trois volets : l’évaluation des risques, l’identification des scénarios de crise et les exercices de simulation.

Évaluer les cyberrisques qui menacent l'entreprise

Une procédure de gestion de crise efficace comprend nécessairement une phase de préparation à la crise. Il s’agit de prévoir les risques, pour mieux les prévenir. Les hackers ont effectivement pour compétence d’identifier les faiblesses de votre organisation, qu’elles soient cybersécuritaires, humaines ou organisationnelles. Prendre conscience des vulnérabilités de votre structure vous permet d’assurer une gestion de crise plus performante.

Cette identification de vos faiblesses structurelles passe généralement par des audits, aussi bien informatiques qu’organisationnels. Vous pouvez aussi mettre en œuvre une cartographie des risques, pour prioriser vos efforts en matière de cybersécurité et dresser des scénarios de cyberattaques potentiels.

Anticiper les scénarios d'attaques informatiques

En imaginant le déroulé d’une cyberattaque de votre système informatique, vous prévisualiser aussi les potentielles erreurs qui pourraient amplifier son impact. Établir des scénarios sert donc à contourner le risque de sur-accident.

Imaginez les réactions spontanées des équipes, en les incluant à l’exercice. Trouvez les solutions qui peuvent les aider à garder leur calme, et à prendre des décisions dénuées de toute improvisation. Pensez aux mesures d'urgence à privilégier : s’agit-il d’une mise en quarantaine du système ? d’une copie des disques durs ? Faut-il contacter un responsable en priorité ?

Les scénarios doivent être clairement rédigés et communiqués à l'ensemble des collaborateurs. Ils doivent rester faciles d’accès en cas d’urgence.

S'exercer au management de crise

Une bonne gestion de crise cyber ne peut se passer d'exercices de simulation de cyberattaque. Il peut s’agir de simuler une fausse attaque, de mobiliser la cellule de crise par surprise ou simplement d’imaginer les réactions en chaîne en cas de cybermalveillance avérée.

Accordez à cet exercice de simulation entre une heure et une journée, selon le nombre de filiales intégrées au processus. Vous pouvez aussi choisir de condenser l’exercice, sans respecter le temps de gestion de crise réel.

Dans l’idéal, il faut bien sûr que la simulation s’appuie sur un scénario de crise réaliste, qui concerne un risque probable et grave pour l'entreprise. Gardez néanmoins à l’esprit qu’il ne s’agit que d'une simulation. Le fonctionnement normal de l'entreprise ne doit pas vraiment être perturbé.

Anticiper le déroulement des crises

Les outils d’une bonne gestion de crise


Quelle que soit l’étape de la gestion de crise dans laquelle évolue l’organisation, celle-ci peut s’appuyer sur des outils utiles pour améliorer ou accélérer le processus de résolution de crise.

À chaque outil son rôle dans le crisis management

Comme décliné ci-dessus, la gestion de crise suit un processus précis, selon différentes étapes. À chacune d’elles correspond un outillage spécifique, qui peut améliorer le déroulement de la démarche :

  • La cyber-veille permet de rester informés en temps réel de la survenue d’événements susceptibles d'affecter le site internet ou le SI ;
  • L’audit des vulnérabilités fait partie du processus d’anticipation des crises cyber et relève de l'analyse des risques ;
  • La remontée d’incidents consiste en un formulaire qui permet de communiquer clairement les bonnes informations en cas de détection d'un risque. Elle évite une communication perturbée à cause du stress.
  • Le livre de bord, ou “main courante” de la crise permet de communiquer des informations factuelles, sans risquer de déformer la réalité oralement. Il constitue aussi un témoignage écrit du déroulé des opérations pour analyser a posteriori la gestion de crise réalisée ;
  • Le filtrage des appels aide à canaliser la communication vis-à-vis de l'extérieur, et notamment de la presse ;
  • L’alerte en masse, ou EMS pour Emergency Mass Notification System, permet d’alerter les acteurs qui doivent prendre des mesures de protection urgentes vis-à-vis de la cyberattaques : collaborateurs, fournisseurs ou clients ;
  • La politique de gestion de crise détaille chronologiquement les procédures à suivre par chaque équipe. Elle comprend en outre une “mallette de crise” qui compile différents fichiers utiles à la gestion de crise.
La cyberveille pour réduire l’impact des cybercrises

La mallette de crise

Le corpus documentaire de la mallette de crise varie grandement selon les entreprises. Il comprend cependant quelques documents particulièrement stratégiques pour bien résoudre la cybercrise :

  • La “matrice de déclenchement” comprend une série de critères qui permettent d’évaluer si l’incident en cours relève bien de la cyberattaque ;
  • La liste des moyens internes de lutte contre le cybercrime: pare-feux, antivirus, SI de secours, système d’alerte etc ;
  • Les coordonnées des acteurs publics à contacter : commissariat de police, gendarmerie, Procureur de la République du Tribunal de Grande Instance ;
  • Les “fiches réflexes” détaillent les procédures de résolution de crise à suivre étape par étape ;
  • L’arbre d’appels décline dans quel ordre contacter les membres de la cellule de crise.
La communication interne est prioritaire en cas de crise

Questions fréquentes sur la gestion de crise

La gestion d’une cybercrise s’appuie sur le déroulé traditionnel de toute gestion de crise. Dans les grandes lignes, il convient d’anticiper les risques pour être capable d’identifier un incident dû à un acte cybermalveillant. Il faut ensuite pouvoir mobiliser la cellule de crise et dérouler les démarches de rémédiation. La gestion de crise se clôture avec la remontée des retours d’expérience et la constitution d’une nouvelle politique de gestion de crise cyber.

Les crises cyber sont souvent difficiles à identifier. A l’exception d’une attaque par déni de service, dont les conséquences sont immédiatement tangibles, la DSI ne repère généralement une cybercrise qu’après sa survenue, quand elle a déjà de graves impacts pour la sécurité des données, par exemple.

Une cybercrise peut paralyser vos systèmes informatiques, ou consister en un vol de données sensibles. Elle peut vous exposer à un chantage, nuire à votre réputation, et par extension à votre valeur financière.