Le risque cyber est aujourd’hui considéré comme le risque le plus élevé par la plupart des organisations et entreprises. Le travail d’intelligence collective présenté dans ce rapport a donc pour objectif de mettre à disposition des lecteurs des éléments très concrets pour les aider à réagir en situation de crise cyber. En effet, les entreprises sont en général dotées de procédures de gestion de crise au regard de leurs activités spécifiques, mais une crise cyber n’est pas une crise comme les autres, par sa fulgurance, son impact et sa difficulté d’appréhension et de diagnostic.
Ce rapport traite de la gestion d’une crise cyber massive, engendrant des conséquences importantes sur l’activité de l’organisation et propose un guide pratique des réponses à apporter face à une cyberattaque. Ces conséquences peuvent être de différentes natures, opérationnelles, financières ou encore réputationnelles.
La gestion de crise cyber est constituée de différentes étapes qu’il convient de bien identifier pour ne pas s’enliser dans la crise. Dans un premier temps, l’organisation doit gérer au mieux les impacts de l’attaque pour éviter une propagation en limitant son périmètre. Puis, elle répare son système d’information avant de le stabiliser. En parallèle, des investigations sont lancées afin d’identifier les raisons de l’attaque et de s’assurer que l’environnement informatique est de nouveau sain. Enfin, il est important de prendre en compte dès le début de la cyberattaque le processus juridique, qui durera bien longtemps après la fin de la crise.
La gestion de crise est menée par deux cellules de crise : la cellule opérationnelle, qui dans le cas d’une crise cyber est essentiellement composée des membres de la DSI, et la cellule décisionnelle qui assure la continuité d’activité de l’organisation. Il convient d’identifier toutes les parties prenantes nécessaires pour gérer les aspects techniques et stratégiques de la crise. Le moment de la mobilisation de la cellule de crise est également clé pour réagir rapidement, ce moment est généralement défini dans les dispositions du PCA (plan de continuité d’activité) et dépend grandement des conséquences sur les directions métiers (soit toutes les directions utilisatrices du SI).
Au-delà des aspects techniques (diagnostic de l’attaque et réparation du SI), la communication est importante pour éviter une crise dans la crise. Il faut pouvoir communiquer en interne en ayant prévu au préalable un système de communication alternatif au SI de l’organisation. Ensuite, il faut communiquer en prenant en compte toutes les parties prenantes au sein de l’organisation, dans l’écosystème et éventuellement vers les médias.
Par ailleurs, une crise cyber entraîne souvent un processus juridique pour lequel la DSI doit se coordonner avec la direction juridique. En cas de fuite de données à caractère personnel, il faut immédiatement notifier la faille à la CNIL. De même, il est important de rapidement prévenir son assurance cyber. Puis, il faut également conserver les preuves de l’attaque afin d’apporter des éléments significatifs à la constitution de sa plainte.
L’appel à des prestataires externes est souvent nécessaire pour renforcer ses équipes et bénéficier d’expertises manquantes en interne. L’ANSSI peut être un allié sur plusieurs fronts lors de la gestion d’une crise cyber.
Plus la crise dure dans le temps, plus les équipes de la DSI seront sur-mobilisées. Il convient de faciliter la vie des équipes en gérant au mieux tous les aspects logistiques sans oublier d’accorder des temps de repos, même aux collaborateurs les plus indispensables et motivés. Lorsque la crise se termine, le processus juridique doit être suivi avec attention car il peut encore durer plusieurs mois. Enfin, c’est souvent le moment pour la DSI d’améliorer son niveau de sécurité.