Dans un contexte marqué par une explosion du nombre et de la virulence des cyberattaques. organiser un exercice de gestion de crise cyber parait tout sauf une mauvaise idée. Pour accompagner les entreprises dans sa réalisation, l'agence nationale de la sécurité des systèmes d'information (ANSSI) a publié un dernier guide sur le sujet, garni de recommandations et de bonnes pratiques. « Face à la menace, l’organisation d’exercices est fondamentale. J’en suis témoin ! En s’entraînant, les équipes impliquées dans la gestion de crise développent, exercice après exercice, des réflexes et des méthodes pour mieux travailler ensemble », explique d'entrée Guillaume Poupard, le directeur général de l'ANSSI. « Lorsqu’une attaque survient, elles sont alors prêtes à y faire face. D’autant que les crises cyber ont leurs spécificités. Il ne faut surtout pas attendre la catastrophe pour apprendre à en maîtriser les rouages ! »
Après un préambule sur la compréhension des enjeux cyber et le contexte dans lequel un tel exercice de gestion de crise peut être mené, l'agence aborde de façon aussi didactique que pragmatique les principaux points de sa mise en oeuvre. 4 étapes sont ainsi proposées (conception, préparation, déroulement et enseignements à tirer) articulées autour de différentes phases visant à guider au mieux, pas à pas, les entreprises pour réussir cet exercice. « Les étapes peuvent être consultées indépendamment les unes des autres en fonction de l’expérience de l’organisation et de ses besoins en matière d’exercices de gestion de crise », précise l'ANSSI. « Ce format permet également d’envisager une externalisation de tout ou partie de ces étapes, afin que chaque organisation, quelle que soit sa taille et son budget, puisse s’engager dans ce type d’exercice. »
Savoir identifier et positionner le curseur pour qualifier un événement cybersécurité est l'un des premiers points essentiels. (crédit : ANSSI)
Bien se préparer pour mieux anticiper
« Un exercice de gestion de crise consiste à simuler un scénario, c’est à dire un enchaînement d’événements fictifs proposant une mise en situation de crise réaliste mais non réelle. Il se déroule sur une durée limitée, dans un contexte imaginé pour l’occasion et repose sur l’organisation de gestion d’une crise en place au moment où il est joué », fait savoir l'ANSSI. « Pour favoriser l’adhésion et l’implication des joueurs, les événements fictifs simulés doivent s’inspirer d’événements plausibles ».
L'étape de conception consiste à la fois à cadrer l'exercice de gestion de crise et également à identifier les parties prenantes et les joueurs. Un groupe projet sera à ce titre chargé de la rédaction d'un scénario d'exercice couplé à un chronogramme, de son animation ainsi que la restitution du retour d'expérience qui en découle. Dans cette étape, déterminer le format de l'exercice s'avère essentiel et va dépendre de plusieurs paramètres (budget, ressources disponibles, niveau d'expérience...).Pour une première expérience, l'ANSSI recommande que l’organisation effectue exercice sur table planifié, tandis que les exercices impromptus seront plutôt réservés aux entreprises qui en ont déjà réalisé. Deux types d'exercices sont possibles : sur table (2 à 3 heures incluant briefing et debriefing nécessitant 6 semaines de préparation en amont), ou bien simulation (jusqu'à 2 jours incluant briefing et debriefing nécessitant jusqu'à 6 mois de préparation). Dans cette première étape, il est aussi question d'identifier les parties prenantes dont les profils peuvent varier (experts, animateurs, observateurs et joueurs). « Lorsqu’un acteur n’a jamais participé à un exercice et semble particulièrement réfractaire, une solution consiste à le faire d’abord participer comme observateur. Cela permet de dédramatiser les enjeux de l’exercice et de démontrer qu’il est possible de faire des erreurs », préconise l'ANSSI.
Un exercice de gestion de crise cyber préconisé tous les deux ans minimum
Concernant l'étape 2 (préparation), cette dernière s'attèlera à la définition du scénario de l'exercice de gestion de crise, la rédaction du chronogramme, la préparation des documents requis ainsi que la phase de briefing des participants visant - point essentiel - à s'assurer de leur adhésion. « La préparation d’un exercice importe autant que son déroulement. Il convient de définir un scénario crédible, de rédiger un chronogramme ayant le bon niveau de vraisemblance et d’intensité, c’est-à-dire qu’il ne génère ni l’ennui ni un sentiment de saturation et de préparer des stimuli adaptés aux joueurs », indique l'agence. Dans l'étape 3 (déroulement de l'exercice), deux phases sont à suivre : appliquer ce qui est prévu (mise en situation des joueurs, suivi du chronogramme et concrétisation des impacts) et s'adapter aux joueurs (suivre leur rythme et répondre à leurs réactions inattendues). A noter que des conseils pratiques sont énoncés afin de contourner les écueils les plus fréquents rencontrés dans les exercices de gestion de crise cyber (cellule de crise décisionnelle qui devient opérationnelle, incompréhension entre les niveaux décisionnel et opérationnel dans la mise en oeuvre des orientations, contradictions entre les décisions prises par la cellule de crise et les objectifs de l'exercice...). Tirer les enseignements de l'exercice constitue enfin la dernière étape du guide de l'ANSSI, s'articulant autour des phases suivantes : organisation d'un retour d'expérience à chaud, à froid, production d'un rapport écrit et restitution.
« Un exercice de gestion de crise cyber se construit comme un projet et crée un grand nombre d’opportunités à la fois pour les personnes qui le préparent, celles qui y participent et celles qui sont ensuite impliquées dans la mise en place des axes d’amélioration identifiés. L’organisation régulière d’exercices de gestion de crise cyber (un par an ou un tous les deux ans), accompagnée de formations plus théoriques, permet une montée en compétence et un gain d’efficacité dans la gestion des cas réels, à travers notamment la maîtrise de réflexes fondamentaux tels que la qualification de la situation, le partage d’informations aux bonnes personnes et l’établissement rapide d’un état des connaissances de l’évènement », conclut l'ANSSI.
Commentaire