Réagir à une cyberattaque massive : Gérer les conséquences d’une crise d’origine cyber

9 février 2023 | ACTUALITÉS, Communiqués, Publications du Cigref

Le risque cyber est aujourd’hui considéré comme le risque le plus élevé par la plupart des organisations et entreprises. Le travail d’intelligence collective présenté dans ce rapport a donc pour objectif de mettre à disposition des lecteurs des éléments très concrets pour les aider à réagir en situation de crise cyber. En effet, les entreprises sont en général dotées de procédures de gestion de crise au regard de leurs activités spécifiques, mais une crise cyber n’est pas une crise comme les autres, par sa fulgurance, son impact et sa difficulté d’appréhension et de diagnostic.

Ce rapport traite de la gestion d’une crise cyber massive, engendrant des conséquences importantes sur l’activité de l’organisation et propose un guide pratique des réponses à apporter face à une cyberattaque. Ces conséquences peuvent être de différentes natures, opérationnelles, financières ou encore réputationnelles.

La gestion de crise cyber est constituée de différentes étapes qu’il convient de bien identifier pour ne pas s’enliser dans la crise. Dans un premier temps, l’organisation doit gérer au mieux les impacts de l’attaque pour éviter une propagation en limitant son périmètre. Puis, elle répare son système d’information avant de le stabiliser. En parallèle, des investigations sont lancées afin d’identifier les raisons de l’attaque et de s’assurer que l’environnement informatique est de nouveau sain. Enfin, il est important de prendre en compte dès le début de la cyberattaque le processus juridique, qui durera bien longtemps après la fin de la crise.

La gestion de crise est menée par deux cellules de crise : la cellule opérationnelle, qui dans le cas d’une crise cyber est essentiellement composée des membres de la DSI, et la cellule décisionnelle qui assure la continuité d’activité de l’organisation. Il convient d’identifier toutes les parties prenantes nécessaires pour gérer les aspects techniques et stratégiques de la crise. Le moment de la mobilisation de la cellule de crise est également clé pour réagir rapidement, ce moment est généralement défini dans les dispositions du PCA (plan de continuité d’activité) et dépend grandement des conséquences sur les directions métiers (soit toutes les directions utilisatrices du SI).

Au-delà des aspects techniques (diagnostic de l’attaque et réparation du SI), la communication est importante pour éviter une crise dans la crise. Il faut pouvoir communiquer en interne en ayant prévu au préalable un système de communication alternatif au SI de l’organisation. Ensuite, il faut communiquer en prenant en compte toutes les parties prenantes au sein de l’organisation, dans l’écosystème et éventuellement vers les médias.

Par ailleurs, une crise cyber entraîne souvent un processus juridique pour lequel la DSI doit se coordonner avec la direction juridique. En cas de fuite de données à caractère personnel, il faut immédiatement notifier la faille à la CNIL. De même, il est important de rapidement prévenir son assurance cyber. Puis, il faut également conserver les preuves de l’attaque afin d’apporter des éléments significatifs à la constitution de sa plainte.

L’appel à des prestataires externes est souvent nécessaire pour renforcer ses équipes et bénéficier d’expertises manquantes en interne. L’ANSSI peut être un allié sur plusieurs fronts lors de la gestion d’une crise cyber.

Plus la crise dure dans le temps, plus les équipes de la DSI seront sur-mobilisées. Il convient de faciliter la vie des équipes en gérant au mieux tous les aspects logistiques sans oublier d’accorder des temps de repos, même aux collaborateurs les plus indispensables et motivés. Lorsque la crise se termine, le processus juridique doit être suivi avec attention car il peut encore durer plusieurs mois. Enfin, c’est souvent le moment pour la DSI d’améliorer son niveau de sécurité.

Innovations technologiques – Enjeux et opportunités pour les systèmes d’information

Quelques jours après la tenue du CES de Las Vegas, événement phare de la tech mondiale, le Cigref publie le fruit des travaux du GT Cigref « Innovations technologiques et valeur pour les SI » piloté par Djilali KIES, Chief Information Officer chez TDF, et...

Guide de mise en œuvre de l’AI Act : Cartographie des obligations applicables aux organisations

La loi européenne sur l’Intelligence Artificielle, plus communément désignée comme AI Act, vise à créer un cadre global de confiance avec pour objectif le développement et le déploiement d’une IA respectueuse des valeurs européennes.  À partir du 2 février 2025,...

Guide de mise en œuvre de l’AI Act : Points clés – Introduction

La loi européenne sur l’Intelligence Artificielle, plus communément désignée comme AI Act, vise à créer un cadre global de confiance avec pour objectif le développement et le déploiement d’une IA respectueuse des valeurs européennes. Ce guide pratique s'adresse à...

Guide de mise en œuvre de l’AI Act : Points clés – Introduction

La loi européenne sur l’Intelligence Artificielle, plus communément désignée comme AI Act, vise à créer un cadre global de confiance avec pour objectif le développement et le déploiement d’une IA respectueuse des valeurs européennes. Ce guide pratique s'adresse à...

IT Job Profiles Nomenclature 2024 version

Since 1991, Cigref has maintained a nomenclature of existing job profiles in the digital departments of Cigref member companies. This tool does not represent what IS professions "should" or "will" be, but what they are today in these organizations. It therefore...