deepagopi2011 - Fotolia
L’entreprise cyber-résiliente : 6 conseils aux entreprises pour un entraînement optimal
Les événements le soulignent continuellement : les crises de sécurité informatique se produisent. La seule question qui se pose est : "quand est-ce que cela m'arrivera". Dans ce contexte, se préparer, pour assurer la résilience de son entreprise, apparaît indispensable.
2017 a marqué un tournant en matière de cyberattaques. On retient notamment les cybercatastrophes mondiales Wannacry et NotPetya qui ont affecté l’ensemble des continents, ou encore les attaques ciblées ayant touché Deloitte et Equifax. Toutes ces cyberattaques auront coûté des milliards aux entreprises, partout à travers le globe.
S’il fallait le rappeler, la question n’est plus assurément « est-ce que je vais être attaqué ? », mais « quand est-ce que je vais être attaqué ? », et par conséquent « comment m’y préparer ? » et « comment devenir une entreprise cyber résiliente ? ».
En outre, la Loi de Programmation Militaire (LPM) de 2013 exige de la part des Opérateurs d’Importance Vitale (OIV) d’avoir une procédure de gestion de crise qui peut être activée sur demande du Premier Ministre. Et la mise en application le 25 mai 2018 du Règlement Général sur la Protection des Données (RGPD) vient aussi renforcer le niveau d’exigence pour réagir en cas d’incidents de sécurité concernant des données à caractère personnel.
Une cybercrise est une crise à part entière qui peut avoir des impacts très importants et peut même conduire à la faillite de l’entreprise concernée. Savoir gérer une cybercrise devient vital et pour ce faire, le seul moyen c’est de s’entrainer.
De ce fait, les entreprises recourent de plus en plus aux exercices de simulation de cybercrises, qui leur permettent d’avoir un entraînement dans des conditions proches du réel et d’évaluer leur capacité à gérer la crise. Mais l’exercice d’apprentissage est complexe et doit être bien mené pour être réellement efficace. Voici 6 conseils clés pour un entraînement optimal.
Tester les critères de déclenchement de la crise et penser à l’après crise
Une cyberattaque ne se traduit pas systématiquement par un état de crise. Il est donc très important d’établir les critères permettant de savoir à quel moment l’on entre en crise et aussi à quel moment on en sort.
Déclencher un état de crise trop tard peut avoir des conséquences graves dans la manière de gérer la crise. Le retour à la normale est aussi une situation difficile à évaluer sans ces critères. La première chose à faire est donc de mettre en place des indicateurs qui permettent de savoir si l’on est dans le cas d’un simple incident de sécurité ou si l’on doit déclencher l’état de crise. Ces indicateurs établissent une échelle de gravité de la situation.
Lorsque la cellule de crise a atteint un certain niveau de maturité grâce à un entrainement régulier (au moins une fois par an), il faut axer le travail sur le retour à la normale avec des scénarios qui envisagent la situation post-crise, comme par exemple restaurer les données une fois que l’infection par un ransomware a été confinée puis éradiquée.
Savoir mobiliser sa cellule de crise
Pour gérer efficacement une cybercrise, il faut définir en amont la composition de la cellule de crise. Généralement, celle-ci comprend le DSI, le RSSI, un responsable des équipes Infrastructure, un ou des responsables métiers en fonction du périmètre touché, et un représentant de l’équipe Communication.
La présence d’un représentant de l’équipe Juridique peut s’avérer pertinente, notamment parce que certaines situations de cybercrise nécessitent un dépôt de plainte ou une déclaration aux autorités compétentes. Enfin, en cas de violation de données à caractère personnel, le DPO doit faire partie de cette cellule de crise.
La crise peut survenir à n’importe quel moment. Il est donc important de préparer en amont les modalités de mobilisation des membres de la cellule de crise. L’annuaire des membres, avec un remplaçant pour chaque rôle en cas d’absence, est un document essentiel qui doit être régulièrement vérifié et mis à jour.
Aujourd’hui, de plus en plus de solutions du marché proposent une fonctionnalité d’activation de la cellule de crise, par envoi de sms et /ou appels téléphoniques, et sont capables de prendre en compte la mobilisation des remplaçants en cas d’indisponibilité du contact principal.
Par ailleurs, il est rare que les personnes composant la cellule de crise soient sur le même territoire et qu’elles puissent se réunir toutes dans une salle le moment voulu. Les outils collaboratifs comme Skype, WebEx ou encore Office 365 deviennent indispensables pour faciliter les interactions. Il existe aussi sur le marché des solutions proposant des fonctionnalités de « salles de crise virtuelles ».
Il est possible d’ajouter à un exercice de crise classique un test de la chaîne d’alerte qui permet, sur une durée réduite d’une heure et demi environ, de proposer un scénario de « montée en puissance » de l’incident : les personnes impliquées doivent alors identifier le moment opportun de déclenchement de la crise, et convoquer effectivement la cellule de gestion de crise.
Exercer la cellule de crise avec des scénarios réalistes de cybercrise
Pour que l’exercice soit vraiment immersif, il faut travailler à partir de scénarios de cybercrises réalistes. Cela permet de se projeter, de voir comment une situation de stress peut affecter les réactions et les réflexes des membres de la cellule de crise.
Les participants à l’exercice reçoivent des « stimuli » de la part d’une cellule de coordination, externe à la cellule de crise : faux mails, faux tweets, faux articles de presse, simulation d’appels de journalistes, etc. La cellule de coordination gère également des réponses en temps réel aux questions de la cellule de crise, comme par exemple des demandes d’investigations techniques, etc.
Il y aura des observateurs dans la cellule de crise qui communiqueront avec celle de coordination pour adapter le scénario en temps réel : ralentir le rythme si la cellule de crise est en difficulté ou au contraire complexifier la simulation de crise.
Il est intéressant d’avoir un observateur externe à l’entreprise et un autre interne, ce qui permet de croiser les regards lors du bilan. Le bilan se fait en deux étapes : un premier bilan à chaud en sortie d’exercice, et une analyse à froid plus approfondie environ deux semaines après l’exercice.
Préparer des plans de réponse technique par type de scénario
Les stratégies de réponse aux cybercrises sont en général organisées autour de 4 étapes clés : la détection, le confinement, la remédiation et la reprise.
Pour gagner un temps qui peut s’avérer précieux en cas de cybercrise, il est recommandé de préparer en amont des plans de réponse par scénario dans le cadre de ces 4 étapes.
Disposer de 6 à 10 scénarios préparés à l’avance - par exemple, DDoS, infection par Ransomware, défacement de site Web, vol de données personnelles ou non, intrusion dans le SI, etc. - permet d’améliorer sa capacité à faire face à un large panel de situations.
Lors des exercices de cybercrise, il faut élaborer un scénario qui permette d’utiliser et de tester tour à tour ces plans de réponse.
Anticiper sa communication
La gestion de la communication doit faire partie intégrante de la gestion d’une cybercrise. Toute la difficulté dans une cellule de crise et, à plus forte raison dans le cas d’une cybercrise, c’est de s’assurer de la bonne compréhension entre les équipes Techniques et de Communication.
Il y a un besoin important de vulgariser un problème complexe et technique pour que le service Communication puisse communiquer correctement avec des éléments de langages intelligibles.
C’est d’autant plus vrai dans le cas de cybercrises impliquant une violation de données personnelles. Avec les obligations de communication liées au RGPD, il est nécessaire de faire preuve de transparence, voire de pédagogie dans ce contexte, pour être compris du grand public qui est directement concerné et particulièrement attentif à la communication de crise de l’entreprise.
L’idéal est d’ajouter aux plans de réponse techniques, des plans types de communication en fonction des différents scénarios de cybercrise : préparer des emails types aux collaborateurs ou aux clients, et des déclarations, notamment pour la presse.
Dans la gestion d’une cybercrise, la Communication doit être suffisamment préparée pour agir le plus possible en proactif, plutôt qu’en réactif. C’est ce qui permet d’avoir une communication de crise efficace.
Réaliser des entrainements adaptés à son niveau de maturité
Une cellule de crise doit s’entrainer régulièrement. Une fréquence annuelle est un bon rythme. Il faut définir un plan d’exercices sur plusieurs années dans une logique de complexité croissante. Une demi-journée d’entraînement est un bon format, intense, qui permet déjà de travailler en équipe les réflexes de gestion de cybercrise.
Pour être au plus proche de la réalité, certaines entreprises mènent des exercices sur des durées plus longues : sur une journée complète, voire sur plusieurs jours. Sur ces formats, il est possible de simuler réellement l’alternance de phases réunions décisionnelles de la cellule de crise et de phases de travail. La Communication pourra par exemple produire les grandes lignes de ses déclarations alors que dans un format court, elle ne pourra que signaler qu’elle communiquera tel ou tel élément sans réellement produire de livrable.
Les exercices courts sont intéressants dans la phase de découverte, lorsque la cellule de crise ne se connaît pas. Les membres découvrent alors les personnes avec lesquelles ils vont travailler et comment ils vont réagir en situation de stress.
Plus la cellule de crise devient mature, plus il faut affiner et complexifier le scénario, et plus il est possible d’allonger l’exercice. L’avantage d’un format plus long, c’est d’aller plus loin que de simples intentions, et permettre aux acteurs de mettre en place des premières actions. Cela permet notamment de produire les contenus qui pourront être utilisés en cas de crise réelle.
Entraîner une cellule de crise n’est pas une expertise qui s’improvise. Ces 6 conseils de base pourront, je l’espère, aider les entreprises à réaliser des exercices de simulation de cybercrise réellement efficaces, et à être prêtes à y faire face.