Comment mobiliser rapidement tout un écosystème de collaborateurs, de prestataires et de partenaires pour gérer une crise cyber ? Retour avec Jean-Philippe Cassard, directeur d’agence et manager de crise de cybersécurité chez Sopra Steria, sur la mise en place d’une gouvernance pragmatique et efficace.
90% des entreprises françaises ont été victimes de cyberattaques en 2020, selon une étude Forrester. Mais peut-être plus étonnant encore, 80% des entreprises françaises n’ont pas de plan de réponse aux incidents robustes, d’après une étude commandée par IBM et Ponamon Institute. Pour rappel, en 2018, 67% des entreprises françaises ont déclaré un cyber-incident avec un coût moyen de 97 771€, soit une augmentation de 125% par rapport à l’année 2017, révèle Hiscox. La croissance du nombre de cyberattaques est donc exponentielle, elle grandit d’année en année à une vitesse fulgurante. Des solutions existent pour aider les entreprises à anticiper les cyberattaques.
Collaborer : le principe fondamental de la gouvernance
La gestion de crise ne concerne pas seulement la direction générale et le pôle sécurité, elle mobilise et fait intervenir tout un maillage d’acteurs. “La gestion de crise cyber fonctionne dans un écosystème à la fois interne et externe à l’organisation qui subit la crise. La gouvernance de crise passe d’abord par l’organisation d’une cellule dédiée au sein de l’entreprise. Ensuite, il faut intégrer des parties prenantes issues d’écosystèmes externes. Il s’agit d’interagir avec les autorités, mais aussi de rassurer les partenaires et les clients”, confie Jean-Philippe Cassard, manager de crise cybersécurité chez Sopra Steria.
Au sein de l’entreprise, des compétences très diverses peuvent être mobilisées dans cette cellule de crise, et ce à tous les niveaux : DSI, RSSI, DPO, ressources humaines, communication, juridique, moyens généraux ou commercial par exemple.
Ces différents services devront également travailler de concert avec de nombreux acteurs externes comme les experts de réponse à incident et les CERT, les partenaires technologiques, les assurances, les institutions telles que l’ANSSI, les services enquêteurs et la CNIL. La communication, et en particulier la bonne gestion des cercles de confiance et des canaux de communication, est ainsi un élément clé de cette collaboration.
Entretenir la collaboration avec les tiers
Afin de protéger les intérêts de l’organisation en crise, la stratégie de communication se veut à la fois prudente et transparente, avec une symétrie entre l’interne et l’externe (médias, partenaires, public). “Nous recommandons de l’adapter aux différents cercles de confiance de procéder pour réguler le partage d’informations. Les caractéristiques de l’attaque doivent être intelligemment divulguées avec les acteurs tiers : les éditeurs qui fournissent des mesures de protection, les autorités qui fournissent du support et du contrôle et les partenaires, notamment les via les CERT”, détaille Jean-Philippe Cassard.
- Les CERT (Computer Emergency Response Teams) ont une fonction de veille pour identifier les menaces et les cyberattaques en cours. Même si l’organisation n’en dispose pas d’un qui lui soit propre, il est probable qu’elle soit contactée par eux. En cas de crise, ils partagent de l’information au sein des communautés de CERT (comme par exemple l’intercert-fr) et peuvent fournir des informations complémentaires et de l’assistance grâce au partage d’analyses des différents virus ou malwares.
- L’ANSSI peut apporter son soutien en cas de crise, surtout si l’organisation qui en victime est sensible mais elle ne se substitue pas à elle dans la prise de décisions relatives à la crise. Elle fournit des analyses et des renseignements cyber sur les attaques en cours aux autres acteurs, pour les aider à se protéger.
- La CNIL est une autorité de contrôle qui doit être notifiée si l’attaque touche des données à caractère personnel. Elle peut intervenir, dans un but de protection des personnes concernées, voire sanctionner dans le cas où une cyberattaque a été facilitée par un manque en matière de sécurité des données personnelles.
“En cas d’attaque grave, la cellule de crise opérationnelle gère la remédiation, c’est-à-dire les actions correctives qui permettent de mettre l’attaquant dehors et de nettoyer le SI (Système d’Information). Elle colmate ensuite les brèches utilisées par les attaquants pour s’introduire dans le SI”, explique le manager de crise cyber. Il faudra ici collaborer étroitement avec les équipes, fournisseurs et partenaires en charges des opérations informatiques.
Se pose enfin la question du redémarrage : si toute l’activité a été arrêtée, que doit-on redémarrer en premier ? “Ici, il n’y a pas de bonne réponse, que des choix de direction générale à prendre, et ils dépendent du type d’organisation attaquée”, conclut Jean-Philippe Cassard. Et encore une fois, il faudra communiquer de manière ciblée avec les tiers, en général les clients et les partenaires, impactés par l’arrêt et le planning de redémarrage.
Pragmatisme et gain de temps
Anticiper en amont permet aux entreprises d’améliorer en aval leur gestion de crise pour gagner un temps précieux et limiter les risques liés au stress de la situation. Cette préparation se cache parfois dans de petits détails, comme l’explique Jean-Philippe Cassard : “Être pragmatique, c’est prévoir des besoins concrets comme la ou les salles de crise, la gestion du ravitaillement et la gestion du temps de travail de ses collaborateurs, en effectuant des roulements et des temps de repos par exemple. Si nous avons tendance à oublier ces détails lors d’une première crise, vous y pensez dès la seconde !” .
L’anticipation de la crise passe également par la mise à disposition de moyens techniques alternatifs au SI de l’entreprise comme le déploiement d’un espace de collaboration et d’une communication sécurisés. En effet, que faire si les moyens de communications et de collaborations ne sont plus disponibles, ou ne sont plus de confiance ?
Une fois initiée, la gestion de crise est un processus qui s’inscrit dans le temps. La plupart des entreprises n’en ont pas conscience, mais la gestion d’une crise cyber dure plusieurs semaines, c’est un marathon qui impose un effort dans la durée.
Simuler pour mieux anticiper
Une formation adaptée doit être dispensée aux différentes équipes : CxO, managers, les équipes techniques de la DSI et les équipes de réponse à incident. Une fois le dispositif en place, il est fondamental de le tester à travers des simulations de crise.
Il y a différents niveaux d’exercices pour s’approprier et tester le dispositif de gestion de crise. “La première étape est de définir le plan : comment fonctionne la cellule de crise, qui sont les collaborateurs et les partenaires externes qui la composent et comment les contacter. Ensuite, il faut expliquer aux équipes et aux responsables comment agir en cas de crise. Enfin, grâce aux exercices, nous mettons les collaborateurs en situation, via un jeu de rôle par exemple. Il ne faut pas sous-estimer la valeur des simulations !”, confie Jean-Philippe Cassard.
A la fin de l’exercice vient le retour d’expérience vient l’heure du retour d’expérience à l’issue duquel des plans d’amélioration pourront être mis en place, que cela concerne le cadre de gestion de crise, la formation et la sensibilisation des collaborateurs, ou encore la préparation des capacités de réponse à incident.
Enfin, la sélection partenaires de confiance en amont, est importante afin de se préparer et de mobiliser leurs capacités rapidement en cas de crise.