Aux Assises de la sécurité, Guillaume Poupard a exhorté les participants à anticiper les crises de cybersécurité en réalisant des exercices. « Ne soyez pas superstitieux », scandait-il en présentant par la même occasion un document de l’ANSSI sur comment organiser un exercice de gestion de crise cyber. Les RSSI ou DSI pourront aussi s’inspirer de l’expérience de Gilles Berthelot, RSSI groupe de la SNCF, qui a réalisé ce type d’exercice.
Coordonner dans un environnement d’incertitude
Tout d’abord, il y a les raisons de cet entraînement. « Nous avons l’habitude de gérer les pannes dans le domaine ferroviaire, mais gérer des crises cyber nécessite de nouveaux schéma de pensées », observe Gilles Berthelot en soulignant par exemple que « l’investigation cyber demande du temps et parallèlement les attaquants peuvent réagir par rebond ». Après la sensibilisation du Comex à cette incertitude, l’exercice de crise, nommé Cybex, a été réalisé en partenariat avec CGI Business Consulting et a mobilisé une soixantaine de personnes. « Il faut créer les scénarii, les stimuli, mobiliser les différents acteurs (CERT, SoC), faire l’animation, former aux différents rôles (tutelle, journalistes), fixer des slots d’entraînement. Au total, 4 mois ont été nécessaires pour l’organisation de cet exercice », rapporte Anthony Augereau, directeur consulting service, en charge de la gestion de la cybersécurité et de la confidentialité chez CGI Business Consulting.
Concrètement, cet entraînement s’est déroulé sur trois niveaux. Le premier mettait en avant une partie technique à travers une confrontation entre blue teams et red teams lors d’une cyberattaque par ransomware ou d’autres menaces. Le second niveau a porté sur la coordination au niveau de la DSI, « Il s’agit de détourer et qualifier les problèmes. Savoir si l’incident a bien une origine cyber, définir des mesures conservatoires, recueillir les éléments d’analyse et d’enquête », glisse Gilles Berthelot. La dernière phase est liée à l’OT et l’IT, pour confiner l’évènement. « L’enjeu majeur de cet exercice est d’ordonnancer les priorités, car vu de sa chapelle tout le monde est prioritaire », souligne le responsable.
Un sapin de noël posé à l’envers
Quels sont alors les enseignements d’un tel exercice ? A chaud, le RSSI use de la métaphore de Noël. « La gestion de crise peut être comparée à un sapin de noël avec une ossature que l’on enrichit et qui évolue en fonction de la situation, mais dans le domaine cyber, on peut considérer que « le sapin » est posé à l’envers et les processus habituels de gestion des incidents sont parfois inadaptés ». Certes, la SNCF est privilégiée car elle connait la gestion de crise et dispose d’experts en cellules de crise. Cependant, en cas de cyberattaque, « il y a besoin d’un traducteur cyber / métiers expliquant les impacts de la crise. Nos équipes sont habituées à gérer des pannes, mais pas la malveillance », précise Gilles Berthelot. Autre point à prendre en considération, « le forensic peut être long, il faut donc aussi être capable de gérer le temps et le stress », complète le RSSI.
Des leçons sont également tirées quelques temps plus tard. « Dans le retex à froid, nous avons mis à jour des fiches réflexes sur les actions à mener lors d’une crise cyber », évoque Gilles Berthelot. Il reconnait que « l’exercice est un temps fort avec son comex » et que l’opération doit être renouvelée dans le temps. « Notre plan d’entraînement comporte 3 niveaux. Pour la partie technique, nos experts ont des sessions de simulation 3 à 4 fois par an, la cellule de crise DSI deux fois par an et le Comex 1 fois par an », expose le responsable. La fréquence des exercices doit aboutir à travailler sur d’autres aspects. Il convient d'avoir « une approche à 360 degrés de la sécurité en intégrant toutes les composantes : la sécurité ferroviaire, la protection des personnels, la sécurité physique, la lutte contre la fraude, la cyber… », conclut Gilles Berthelot.