Skip to content

Instantly share code, notes, and snippets.

@stephdl

stephdl/Gestion_de_Crise_d'Origine_Cyber.md

Created February 12, 2026 07:56
Show Gist options

  • Select an option

    Learn more about clone URLs
  • Save stephdl/0fd618ab6be5f4c56c319b1c32505e33 to your computer and use it in GitHub Desktop.

Select an option

Learn more about clone URLs
Save stephdl/0fd618ab6be5f4c56c319b1c32505e33 to your computer and use it in GitHub Desktop.
Download ZIP
Guide ANSSI - Gestion de Crise d'Origine Cyber
Raw
Gestion_de_Crise_d'Origine_Cyber.md

Résumé : Guide ANSSI - Gestion de Crise d'Origine Cyber

https://messervices.cyber.gouv.fr/guides/crise-cyber-les-cles-dune-gestion-operationnelle-et-strategique

Informations générales

Source : ANSSI (Agence nationale de la sécurité des systèmes d'information) & CDSE (Club des directeurs de sécurité et de sûreté des entreprises)
Collection : Gestion de crise cyber
Titre complet : Les clés d'une gestion opérationnelle et stratégique

Introduction et présentation du guide

Public cible

  • Dirigeants
  • Responsables de la sécurité
  • Gestionnaires des risques
  • Responsables de la continuité d'activité
  • Responsables du numérique et de la SSI
  • Directions métiers
  • Fonctionnaires de sécurité et de défense

Objectifs du guide

  • Partager les bonnes pratiques pour se préparer à une crise cyber
  • Gérer la crise étape par étape
  • S'inspire de retours d'expérience d'organisations publiques et privées

Définition d'une crise cyber

Une crise "d'origine cyber" se caractérise par :

  • La déstabilisation immédiate et majeure du fonctionnement d'une organisation
  • L'arrêt des activités ou l'impossibilité de délivrer des services
  • Des pertes financières lourdes
  • Résulte d'actions malveillantes (rançongiciels, déni de service, etc.)

Spécificités des crises cyber

  • Double temporalité : impacts immédiats + remédiation longue (semaines/mois)
  • Absence d'unicité de lieu : propagation potentielle à d'autres organisations
  • Menace adaptative : l'attaquant s'adapte aux mesures d'endiguement
  • Incertitude sur le périmètre de compromission
  • Complexité pour comprendre les objectifs de l'attaquant

PARTIE 1 : SE PRÉPARER À AFFRONTER UNE CRISE CYBER

Fiche 1 : Connaître et maîtriser ses SI

Éléments essentiels à disposer :

  • Liste des applications et services critiques
  • Cartographie des systèmes critiques et leurs interconnexions
  • Cartographie des périphériques des SI
  • Liste des interdépendances avec partenaires et sous-traitants
  • Cartographie des parties prenantes avec points de contact
  • Liste des moyens de supervision et de détection
  • Politique de rétention des journaux/logs
  • Matrice des flux d'information
  • Architectures réseaux et éléments fonctionnels

Fiche 2 : Mettre en place un socle de résilience numérique

Plan de Continuité d'Activité (PCA) :

  • Intégrer l'analyse des risques numériques et cyber
  • Prendre en compte une perte totale ou très dégradée des services numériques
  • Définir des solutions de continuité sans outils numériques
  • Définir le temps d'arrêt maximal tolérable et le temps de récupération
  • Intégrer la perte d'une solution nuagique ou d'un prestataire

Plan de Reprise d'Activité (PRA) :

  • Planifier les actions prioritaires pour relancer les services
  • Prévoir la reconstruction de l'Active Directory, serveurs, postes, DNS, PKI
  • Formaliser et tester les procédures de basculement sur réseau de secours
  • Formaliser et tester les processus de restauration

Outils de conduite de crise résilients :

  • Procédures de gestion stockées hors ligne
  • Annuaire de crise accessible hors ligne
  • Outils numériques déconnectés pour la cellule de crise
  • Moyens de communication alternatifs testés

Fiche 3 : Formaliser une stratégie de communication

Préparation :

  • Établir une liste des parties prenantes à alerter (stockée hors ligne)
  • Identifier les contacts d'urgence dans les contrats
  • Disposer d'un fichier presse hors ligne
  • Formaliser une stratégie et un plan de communication cyber
  • Préparer des messages types selon les scénarios
  • Former les équipes à la communication de crise cyber
  • Identifier les canaux de communication utilisables en crise

Fiche 4 : Adapter son organisation de crise

Organisation proposée :

  • Volet stratégique : Cellule de crise décisionnelle/stratégique

    • Directeur de crise
    • Management de l'information
    • Appui à la conduite
    • Représentants métiers, communication, RH, finance, juridique, cyber, IT

  • Volet opérationnel : Cellule de crise opérationnelle cyber et IT

    • Responsable cyber/IT
    • Équipes : Investigation, Durcissement/Remédiation, Reconstruction, Anticipation
    • Support et management de l'information

Éléments clés :

  • Définir des critères d'activation et de désactivation
  • Formaliser une chaîne d'alerte (mode "alerte" et mode "crise")
  • Créer un référentiel de management des crises cyber
  • Former les membres identifiés à leurs rôles
  • Définir des objectifs et critères de sortie de crise

Fiche 5 : Préparer ses capacités de réponse à incident

Expertises à identifier :

  • Volet stratégique : gestion de crise, communication de crise, gestion de projet
  • Volet opérationnel : réponse à incidents, supervision, remédiation technique, infrastructure, annuaires/accès, restauration/recouvrement de données, solutions nuagiques, réseaux, administration

Capacités techniques :

  • Mettre en place des outils de détection et de réponse à incident
  • Formaliser et tester des mémos techniques (confinement, éradication)
  • Préparer des listes d'actions pour les équipes techniques

Fiche 6 : Mettre en place des polices d'assurance adaptées

Recommandations :

  • Identifier les couvertures et polices existantes
  • Définir un seuil d'activation
  • Cartographier les risques cyber pour identifier les besoins
  • Identifier les besoins en cas de crise (expertise, couverture des frais)
  • Formaliser une fiche de bonnes pratiques (contacts, conservation des justificatifs)

Fiche 7 : S'entraîner pour pratiquer

Plan d'entraînement :

  • Définir une stratégie d'entraînement sur plusieurs années
  • Organiser régulièrement des exercices testant des scénarios cyber
  • Varier les périmètres d'impacts et les menaces
  • Tester l'articulation entre volets opérationnel et stratégique
  • Adapter la complexité technique à la maturité de l'organisation
  • Réaliser des retours d'expérience et suivre les plans d'action

PARTIE 2 : RÉAGIR EFFICACEMENT

Les 4 phases de gestion de crise cyber

  1. Alerter, mobiliser et endiguer
  2. Maintenir la confiance et comprendre l'attaque
  3. Relancer les activités et durcir les systèmes
  4. Tirer les leçons et capitaliser

Phase 1 : Alerter, mobiliser et endiguer

Fiche 8 : Activer son dispositif

  • S'appuyer sur les critères préétablis de déclenchement
  • Déclencher l'état de crise (activation par le haut ou par le bas)
  • Mobiliser les équipes identifiées
  • Établir un contact permanent entre cellules stratégique et opérationnelle
  • Ouvrir une main courante
  • Mettre en place un premier "rythme de bataille"

Fiche 9 : Piloter le dispositif

  • Adopter une posture de prise de décision en incertitude
  • Circonscrire les effets de l'attaque (isolement, déconnexion)
  • Valider les mesures d'endiguement impactant la continuité
  • Identifier rapidement les systèmes critiques via la cartographie
  • Évaluer la criticité des données compromises
  • Activer le dispositif de communication
  • Éviter le paiement de la rançon (entretient le système frauduleux, ne garantit pas la récupération)

Fiche 10 : Soutenir ses équipes

  • Organiser le roulement et suivre le temps de travail
  • Assurer un support RH adapté
  • Mettre en place la logistique (restauration, logement, transport, accès 24/7)
  • Cartographier les actions menées
  • Adapter les éléments de langage
  • Mobiliser l'équipe juridique
  • Organiser le travail sous forme d'équipes-projet

Fiche 11 : Activer ses réseaux de soutien

  • Activer l'assurance cyber selon les critères préétablis
  • Centraliser les besoins en ressources et experts
  • Déclarer l'incident auprès des autorités compétentes :
    • Dépôt de plainte
    • Notification CNIL (en cas de violation de données personnelles)
    • Déclaration à l'ANSSI
    • Conserver les preuves de compromission

Phase 2 : Maintenir la confiance et comprendre l'attaque

Fiche 12 : Communiquer efficacement

  • Construire deux plans : communication interne et externe
  • Mettre en place un rythme de communication adapté
  • Mobiliser des relais de communication
  • Identifier des porte-paroles formés aux enjeux cyber
  • Utiliser des canaux alternatifs si nécessaire
  • Communiquer régulièrement pour éviter les rumeurs
  • Centraliser les sollicitations presse (point de contact unique)
  • Mettre en place une cellule de veille médiatique
  • Vulgariser les éléments techniques pour les non-experts

Fiche 13 : Conduire l'investigation numérique

  • Établir une stratégie d'investigation priorisant les systèmes sensibles
  • Se concentrer sur :
    • L'identification du périmètre de compromission
    • Les vecteurs potentiels d'infection
    • Les fonctions malveillantes
  • Partager des résultats intermédiaires vulgarisés
  • Documenter les actions de l'attaquant de manière synthétique
  • Organiser les investigations (collecte des journaux, coordination des prestataires)
  • Ajuster le délai de rétention des journaux
  • Accepter que certaines questions restent sans réponse

Fiche 14 : Mettre en place un mode dégradé

  • Déployer les solutions de contournement préparées (nuagique, prestataire, papier)
  • Communiquer sur les règles d'utilisation des services temporaires
  • Étudier l'utilisation de sauvegardes saines
  • Envisager les outils de déchiffrement libres (sans rançon)
  • Recommander des mesures de contournement sécurisées
  • Partager les dates prévisionnelles de remise en service

Phase 3 : Relancer les activités et durcir les systèmes

Fiche 15 : Durcir et remédier

  • Élaborer un plan de durcissement et de remédiation itératif
  • Planifier les actions pour valider les objectifs définis
  • Neutraliser les vecteurs d'infection et de propagation
  • Mettre en place des mesures de durcissement globales
  • Créer une bulle sécurisée (cœur de confiance)
  • Prioriser les services à réintégrer
  • Mettre en place une surveillance renforcée
  • Accompagner les nouvelles pratiques de sécurité
  • Formaliser un processus de validation avant remise en production

Fiche 16 : Préparer et industrialiser la reconstruction

  • Prioriser les applications/systèmes à reconstruire (P0-P1-P2-P3)
  • Renforcer le support en ressources (travail posté 24h/24 si nécessaire)
  • Définir une stratégie de reconstruction basée sur des sauvegardes saines
  • Prendre en compte le risque de restauration partielle
  • Mobiliser les métiers pour les tests utilisateurs
  • Suivre et partager les étapes du processus
  • Coordonner durcissement/remédiation et reconstruction
  • Communiquer lors de la réouverture des services

Phase 4 : Tirer les leçons et capitaliser

Fiche 17 : Organiser la sortie de crise

  • Réévaluer les conditions de sortie de crise :
    • Connaissances sur l'attaque
    • Rétablissement des services
    • Remise en production des systèmes affectés
  • Formaliser un plan d'action post-crise
  • Communiquer la sortie de crise aux équipes
  • Réaliser les obligations réglementaires de déclaration
  • Faire un point RH (régularisations, repos)
  • Remercier les équipes
  • Maintenir la surveillance des SI
  • Évaluer les solutions de contournement (maintien ou suppression)

Fiche 18 : Tirer les leçons de la crise

  • Organiser un RETEX (Retour d'Expérience) en deux temps :
    • "À chaud" : entretiens ou ateliers de collecte
    • "À froid" : synthèse, recommandations et plan d'action

Thèmes du RETEX :

  • Gouvernance et processus de gestion de crise
  • Communication de crise
  • Processus de prise de décision et suivi des actions
  • Capacités techniques et opérationnelles
  • Interactions entre équipes et avec parties prenantes externes

Délai : Maximum 30 jours entre fin de crise et fin du RETEX

Valorisation :

  • Construire un rapport avec actions d'amélioration
  • Restitution à plusieurs niveaux (synthèse direction, document détaillé équipes)
  • Suivre les axes d'amélioration via un plan d'action

Annexes

Annexe 1 : Boîte à outils

Outils généraux :

  • Salle de crise physique ou virtuelle
  • Annuaire de crise accessible en black-out
  • Outil de suivi des actions
  • Outil de main courante
  • Outils de communication résilients (mails génériques, tchat, visio, téléphones)
  • Fiches-rôle
  • Fiches réflexes
  • Contrats d'assurance
  • Critères de déclenchement

Outils spécifiques :

  • PCA et PRA cyber
  • Cartographies des systèmes et services critiques
  • Liste des experts/prestataires
  • Plan de communication
  • Liste des parties prenantes
  • Registre des risques et dérogations
  • Ordinateur hors réseau

Glossaire (sélection)

  • Active Directory : annuaire de service Windows pour la gestion centralisée des identités et accès
  • Bilan d'impact sur l'activité : évaluation des conséquences d'une interruption d'activité

Témoignages d'organisations

Le guide s'appuie sur les retours d'expérience de :

  • Bouygues Construction
  • Hôpital Nord-Ouest - Villefranche-sur-Saône
  • CMA CGM

Ces organisations partagent leurs difficultés et succès pour illustrer concrètement la gestion de crise cyber.

Principes clés à retenir

  1. La préparation est essentielle : dispositifs, procédures et entraînements réguliers
  2. Organisation à deux volets : stratégique (décisionnel) et opérationnel (cyber/IT)
  3. Communication cruciale : interne et externe, transparente et régulière
  4. Gestion sur la durée : plusieurs semaines voire mois de remédiation
  5. Ne pas payer la rançon : entretient le système frauduleux sans garantie
  6. Capitalisation indispensable : RETEX pour améliorer la résilience
  7. Soutien des équipes : RH, logistique, rotation pour tenir dans la durée
  8. Mobilisation de l'écosystème : experts, assureurs, autorités (ANSSI, CNIL)

Date de référence du document : Non spécifiée dans le PDF
Auteurs : ANSSI & CDSE
Nombre de pages : 74 pages

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment