L’été est propice aux devoirs de vacances et à la sensibilisation pour l’Anssi autour de la gestion de crise. L’agence vient en effet de publier un outil d’autoévaluation à destination des entreprises pour apprécier leur maturité dans ce domaine. Cette démarche s’inscrit dans la publication plus ancienne de plusieurs guides (datant de 2021) détaillant les bonnes pratiques pour anticiper et se préparer à une cyberattaque.
L’outil a été réalisé en collaboration avec le Club des directeurs de sécurité des entreprises (CDSE). Il s’agit d’un questionnaire de près d’une soixantaine de questions sur différentes thématiques. Il s'agit de la gouvernance et des interactions entre équipes mobilisées, des processus et de l'outillage, de la communication de crise et des relations externes, de la détection et de la réponse à incidents, de la continuité d’activité et de la reconstruction. Le niveau de maturité est noté entre 0 et 3 avec une colonne « preuve » pour indiquer les actions réellement mises en place et une autre dédiée aux « commentaires » pour les idées d’amélioration.
Un panorama complet de la gestion de crise
Parmi les questions, on retrouve les différentes problématiques liées à la gestion de crise. Ainsi le sujet de la sensibilisation des dirigeants à cet exercice est posé, tout comme les aspects RH telle la mobilisation des équipes dans la durée. Les outils de communication sont abordés pour maintenir le lien entre la cellule de crise et les différents métiers (dont l’IT), ainsi que les collaborateurs. L'impact géopolitique fait également partie du diagnostic, tout comme le déclenchement des procédures auprès des cyberassurances ou la fréquence des exercices de crise.
Pour réaliser ce questionnaire, l’Anssi recommande la mise en place d’un atelier pour mobiliser les différents participants. Les équipes de l’agence et le groupe de travail « Gestion de crise et entraînement » au Campus Cyber vont mettre régulièrement à jour cet outil d’autoévaluation. Ce dernier doit servir à l’Anssi d’avoir une vision de la maturité des entreprises et d’adapter son accompagnement des entreprises.