Les exercices de cybercrises

Les plans de continuité d’activité traitent des risques dont les impacts peuvent être potentiellement très élevés mais dont la probabilité est faible. Pour concilier ces deux extrêmes, il faut mettre au point des plans, qui comportent des volets métiers et techniques. Pour le « business », il s’agit d’identifier les activités les plus critiques pour les maintenir, généralement dans un état dégradé. C’est l’objet du BIA. Le volet technique se concentre sur les aspects logistiques et les plans de continuité informatique.

Les sinistres liés aux problèmes de cybersécurité font partie de ces risques, du fait notamment des nombreux cas de ransomware (rançongiciel) qui touchent des entreprises de toute taille. Les impacts peuvent être très élevés pour l’entreprise (coûts financiers, image de marque…) et dans certains cas avoir des conséquences sur la sécurité des personnes (cas des hôpitaux ou des entreprises industriels sensibles par exemple). Les mesures de sécurité préventives sont bien entendu fondamentales. De nombreux référentiels fixent les bonnes pratiques organisationnels et techniques : NIST 800-53, guides de durcissement (CIS, ANSSI…), CSF. Nul n’étant à l’abri d’un incident majeur voire d’une crise, il est important de travailler le volet réponse et planifier régulièrement des exercices d’entrainement.

Cybercrises

Il n’y a pas de définition universelle pour qualifier une crise. Plusieurs caractéristiques et facteurs entrent en jeu :

  • L’évènement soudain qui cause des pertes et des dommages importants, entraînant une interruption d’une ou plusieurs activités critiques ou un arrêt de l’organisme.
  • L’incident majeur, qui s’il n’est pas traité à temps et de manière adaptée, peut avoir des impacts très élevés sur les activités.
  • La perception d’un événement qui peut menacer la sécurité des personnes.
  • La situation anormale qui menace les activités, la sécurité ou l’image de marque d’une entité.

Un cybercrise, par nature ne peut pas être traitée par des procédures préétablies. Elle engendre une situation instable qui requiert de mobiliser la direction et de nombreuses ressources internes et externes.

Image3.jpg

Les exercices d’entrainement

Plusieurs référentiels existent pour organiser un exercice d’entrainement, par exemple la norme ISO 22398. Quelques principes pour organiser un exercice de gestion des cybercrise sont rappelés ci-dessous :

  • Définir précisément les objectifs de l’exercice et les bénéfices attendus : former les collaborateurs, améliorer les processus de réponse, travailler la communication, tester les possibilités de restauration des données dans des situations dégradées…
  • Déterminer le format de l’exercice. L’exercice sur table est intéressant quand la maturité est faible. Ce format permet d’identifier de nombreux points d’améliorations. Il est assez facile à organiser, à condition de s’assurer de la disponibilité des parties prenantes. La simulation est à privilégier lorsque les bases sont solides et qu’on souhaite s’approcher le plus possible d’une situation de cybercrise réelle.
  • Choisir le thème qu’on va traiter. Actuellement, le choix se portera souvent sur un évènement de type ransomware mais d’autres choix sont bien entendu possibles : dénis de service, attaque ciblée et divulgation de données sensibles, vulnérabilité critique dans un logiciel pour un éditeur…
  • Préciser le scénario qui pourra comprendre des aspects techniques (tester par exemple l’accès à des logs, installer un outil d’investigation numérique, isoler une partie du système d’information…) et organisationnels (gestion des clients, communication vers les médias, information des collaborateurs, diffusion des directives pour mesurer le temps de réaction). Deux éléments fondamentaux en gestion de crise sont la remontée d’information et la traduction des décisions en actes opérationnels.
  • Faire un retour d’expérience, à chaud puis à froid pour identifier les forces et les faiblesses et définir un plan d’amélioration.

L’ANSSI a publié un guide très complet sur ce sujet. L’ENISA travaille aussi régulièrement sur l’organisation de cybercrises. Des plans nationaux, comme PIRANET sont régulièrement testés sous la responsabilité du SGDSN avec la participation d’entités publiques et d’entreprises privés des secteurs d’importance vitale.

La Banque Centrale Européenne publie TIBER-EU, un référentiel pour organiser les exercices Red Team pour les institutions financières.

PROSICA intervient régulièrement sur des accompagnements d’exercices de gestion des cybercrises et propose aussi une formation ciblée sur la réponse aux incidents de cybersécurité et la gestion des cybercrises.

Pour en savoir plus sur les 20 meilleures formations sur la sécurité des systèmes d’information, téléchargez gratuitement notre livre blanc ci-dessous :

IncidentResponse, ISO27035, RéponseIncidents, Cybercrises, Exercices, Incidents, Ransomware