Cybersécurité : comment s’organiser en cas de crise ?

"Il n’y a en réalité que deux catégories d’entreprises : celles qui ont été attaquées et celles qui l’ont été mais ne le savent pas encore".

Comme le remarque avec justesse Alain Bouillé, avec la croissance exponentielle des menaces, la gestion de crise cybersécurité prend une place primordiale au sein des organisations. Dans le contexte de pandémie mondiale que nous traversons, les organisations sont encore davantage susceptibles d’être victime de cyber-attaques. La question n’est plus de savoir si elles seront victimes d’un incident majeur de sécurité, mais plutôt quand cela arrivera et quels réflexes adopter dès à présent.  

Que ce soit au sein d’une entreprise privée ou d’un organisme public, à l’échelle nationale, voire mondiale, une crise peut survenir à tout moment et se propager à grande vitesse. Pour y répondre, chaque organisation doit adopter une démarche adaptée à son environnement, lui permettant de coordonner urgence et efficacité. D’ailleurs, selon la Loi de Programmation Militaire, les OIV ont l’obligation de mettre en place une procédure et des moyens dédiés à la gestion de crise cyber. 

Les 3 étapes pour une gestion de crise réussie 

La gestion d’un incident majeur de sécurité implique une organisation rigoureuse et anticipée avec des étapes bien définies. 

Lorsque l’incident majeur provoque une rupture dans le fonctionnement normal d’une organisation ou dans ses activités, celui-ci se trouve alors dans une situation de crise. Dans la mesure du possible, il ne faut pas attendre qu’un incident grave survienne pour y penser : la clé d’une gestion de crise réussie est l’anticipation. 

Étape 1 : Anticiper et se préparer

L’anticipation implique de mettre en place un dispositif de réponse aux incidents comprenant les parties prenantes (équipe sécurité, juridique, communication, etc.). Il est indispensable de disposer d’un processus de gestion de crise, même si celui-ci est sommaire. L’ensemble de ces processus de réponse à l’incident sont encadrés par le référentiel PRIS (Prestataires de Réponse à Incidents de Sécurité) de l’ANSSI.

Quelques mesures utiles peuvent être proposées, notamment :

• Mettre en place une matrice RACI : elle attribue des rôles et des responsabilités permettant de déterminer qui est concerné en cas d’incident majeur de sécurité, qui intervient, quel est le rôle de chacun et quelles actions doivent être mises en place dans une telle situation.
• Déployer une logistique spécifique : il s’agit de se munir des moyens nécessaires pour opérer la gestion de la crise sereinement : mise en place d’un lieu dédié avec des accès restreints (ex : War room, salle de réunion isolée) ou prise en compte des aspects "Ressources humaines" (notamment en cas de travail de nuit). 
• Déterminer le fonctionnement et le déroulement de la gestion de crise : la méthodologie choisie pour mener les différentes actions de remédiation, pour déterminer qui encadrera la gestion et s’il y a des étapes-clé à ne pas oublier. Par exemple, la consolidation et le partage des informations avec l’ensemble de l’équipe lors des points quotidiens. 
• Organiser un retour d’expérience : son objectif est d’établir un bilan sur la façon dont la crise a été gérée, organiser une réflexion sur des moyens à mettre en place pour améliorer cette gestion, fluidifier les points bloquants pour les crises à venir ou encore avertir les autres acteurs du marché dans une logique de coopération.

Envisager un processus préalable permet de gagner du temps au moment où la crise survient et d’orienter les mesures à prendre le cas échéant.

Étape 2 : Diagnostiquer, prendre des décisions et agir

Dès la connaissance d’un incident de sécurité, l’organisme doit parvenir à le qualifier : s’agit-il d’un incident « simple » ou est-on en rupture, donc face à une crise qui se profile ? Des données sont-elles affectées ? Quels sont les systèmes impactés ? Quelles sont les premières actions d’investigation et de confinement à effectuer ? Comment mettre fin et remédier à l’incident ?

De cette qualification de l’incident découle la mise en œuvre du plan d’actions établi et, si nécessaire, la constitution d’une cellule de crise chargée de confiner, stopper et remédier aux conséquences de l’incident grave tout en documentant les événements rencontrés lors de sa gestion. 

• Constituer une cellule de crise : toutes les parties prenantes y participent. Il s’agira des experts de la sécurité et l’IT qui vont investiguer sur l’incident, mais aussi de personnel du management, du service financier (dans le cas, par exemple, d’un ransomware), ainsi que de responsables métiers en fonction des services impactés par l’incident majeur. Côté technique, en cas de compromission du SI traditionnel, il est souvent indispensable de monter un SI parallèle. Par exemple, dans le cas d’une élévation de privilèges et de perte de confiance dans les outils de l’organisation.
• Documenter scrupuleusement la gestion de la crise : une crise peut bloquer et/ou compromettre le SI de l’organisation. Le journal de bord tenu dès le début de la crise consignera toutes les actions menées par les acteurs de la cellule. Chaque jour, cette dernière doit suivre un cycle de fonctionnement avec briefing matinal, réunion intermédiaire, débriefing le soir et rapport auprès de la direction. 

Le but ici est de restaurer et assainir le système afin que l’activité puisse se poursuivre. Par la suite, il faudra tirer les enseignements de cette crise pour trouver les causes de cette compromission et résoudre les éventuels dysfonctionnements du système. 

Étape 3 : Notifier et communiquer

Lorsqu’un incident majeur de sécurité survient, le RGPD prévoit que le responsable de traitement notifie à l’autorité de contrôle compétente au plus tard 72 heures après en avoir pris connaissance. Cette notification peut s’accompagner d’une obligation de communication aux personnes concernées lorsqu’il existe un risque élevé pour leurs droits et libertés.

Aussi, le responsable de traitement doit être en mesure d’analyser la situation et centraliser les informations indispensables à la notification, le plus rapidement possible. Cette notification doit s’accompagner de certaines informations obligatoires, telles que la nature de la violation de données à caractère personnel, les catégories de données affectées et de personnes concernées, une description des conséquences probables ou encore des mesures prises pour y remédier. 

L’obligation de notification des incidents de sécurité ne relève pas uniquement du RGPD. Elle s’applique également à certains secteurs d’activité ou organismes spécifiques. Ainsi par exemple, les opérateurs d’importance vitale (OIV) doivent notifier tout incident de sécurité à l’Agence nationale de la sécurité des systèmes d’Information (ANSSI). Les structures de santé, quant à elles, doivent signaler ces incidents aux Agences régionales de santé (ARS) dans les meilleurs délais. 

Devenue inévitable, la gestion de crise cyber est avant tout un enjeu de vitesse. Pour répondre à l’urgence de la crise et limiter ses impacts sur l’organisation, une bonne capacité de réaction est primordiale, mais l’anticipation reste la meilleure des défenses. Pour renforcer sa résilience face aux cyberattaques et revenir au plus vite à un état de fonctionnement nominal, il est nécessaire de se préparer au pire et de prendre toutes les mesures pour le contourner.

A découvrir également

7 étapes incontournables pour lancer votre plan de sensibilisation à la cybersécurité

Nos experts cybersécurité partagent leurs bonnes pratiques pour créer et lancer un plan de sensibilisation pertinent et efficace au sein de votre organisation.

En savoir plus