Cybersécurité : les conseils de l’ANSSI pour anticiper une crise majeure

Un guide méthodologique permet d’accompagner les entreprises pour mettre en place un exercice de crise cyber, afin de se prémunir face à ce type d’attaque à fort impact.

Comment mettre en place un exercice de gestion de crise cyber au sein de son organisation ? © Gorodenkoff - stock.adobe.com

Sommaire

Un exercice indispensable pour les entreprises

Alors que les menaces informatiques se multiplient, les organisations (entreprises, institutions, associations…) doivent se tenir prêtes pour faire face aux crises d’origine cyber, c’est-à-dire « lorsqu’une ou plusieurs action(s) malveillante(s) sur le système d’information génère(nt) une déstabilisation majeure de l’entité, provoquant des impacts multiformes et importants, jusqu’à engendrer parfois des dégâts irréversibles ».

Dans ce contexte, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) et le Club de la continuité d’activité (CCA) ont co-réalisé le guide « Organiser un exercice de gestion de crise cyber ». Il s’adresse à toutes les organisations, privées comme publiques, de toutes tailles et de tous secteurs d’activité, qui souhaitent s’entraîner à la gestion de crise cyber. L’objectif : faciliter la mise en place de ce type d’exercice de gestion de crise d’origine cyber de manière réaliste et qu’il soit formateur pour les équipes mobilisées, afin d’appliquer les bonnes pratiques en interne comme en externe.

Face à la menace, l’organisation d’exercices est fondamentale. En s’entraînant, les équipes développent des réflexes et des méthodes pour mieux travailler ensemble. Lorsqu’une attaque survient, elles sont alors prêtes à y faire face. D’autant que les crises cyber ont leurs spécificités. Il ne faut surtout pas attendre la catastrophe pour apprendre à en maîtriser les rouages ! », explique Guillaume Poupard, directeur général de l’ANSSI.

Les caractéristiques d’une crise cyber

Si les crises d’origine cyber présentent de multiples spécificités et peuvent générer de graves conséquences (RH, financier, juridique, réputation, technique…) sur de nombreux postes au sein de l’organisation qui en est victime , l’ANSSI et le CCA ont identifié 8 facteurs qui permettent de mieux les identifier :

Fulgurance et ubiquité des impacts,
Incertitude, potentiellement durable, liée au domaine,
Évolutivité,
Technicité du sujet,
Propagation potentiellement mondiale,
Élasticité du temps de crise,
Sortie de crise longue (plusieurs mois),
Complexité des attributions (origine).

Une crise d’origine cyber est un événement rare et à fort impact. © ANSSI / CCA

4 étapes pour bien préparer et organiser un exercice de crise cyber

Mettre en place un exercice de gestion de crise d’origine cyber consiste à « simuler un scénario, c’est-à-dire un enchaînement d’événements fictifs proposant une mise en situation de crise réaliste mais non réelle ». Cette séquence se déroule sur une durée limitée et repose sur l’organisation de gestion d’une crise lorsque celle-ci est détectée. L’exercice doit paraître plausible pour favoriser l’adhésion des participants. Pour plus d’efficacité, il doit également s’inscrire dans le cadre d’une réflexion globale sur la résilience en matière de cybersécurité.

Un exercice ne vise pas à surprendre ou à piéger les participants, mais à les accompagner dans un entraînement cadré reposant sur des objectifs définis, communiqués et partagés en amont. On considère comme réussi un exercice qui a impliqué l’ensemble des participants concernés, qui leur a permis d’en tirer des leçons et qui leur a donné envie de réitérer l’expérience.

Pour réussir son entraînement, voici les 4 étapes à suivre :

Concevoir son exercice : pour définir un cadre, les objectifs, le format, le thème, le périmètre, les moyens à disposition, la date et les parties prenantes (experts, animateurs, observateurs, joueurs) en vue de produire un cahier des charges,
Préparer son exercice : pour déterminer un scénario crédible, rédiger un chronogramme* « ayant un bon niveau de vraisemblance et d’intensité » et briefer les participants,
Dérouler son exercice : pour suivre le chronogramme préparé lors de l’étape précédente tout en s’adaptant aux réactions des joueurs,
Tirer les enseignements de son exercice : pour organiser un RETEX à chaud mais aussi à froid, afin d’en tirer les leçons et identifier les axes d’améliorations, produire un rapport écrit et prévoir une restitution.

*Chronogramme : il s’agit d’un tableau qui décrit sur chaque ligne le déroulement chronologique de l’exercice, du début jusqu’à la fin, ainsi que l’ensemble des interactions possibles entre les joueurs et la cellule d’animation.

Extrait de la fiche pratique n°6 sur le mode d’emploi pour rédiger un chronogramme. © ANSSI / CCA

L’ANSSI précise que ces différentes étapes sont indépendantes les unes des autres selon l’expérience et les besoins des organisations. Elle ajoute : « ce format permet également d’envisager une externalisation de tout ou d’une partie de ces étapes, afin que chaque organisation, quelle que soit sa taille et son budget, puisse s’engager dans ce type d’exercice ». À noter qu’un exemple d’exercice portant sur une cyberattaque de type rançongiciel et désigné sous le nom de RANSOM20 est présenté en « fil rouge » à chaque étape du guide.