Source : ANSSI (Agence nationale de la sécurité des systèmes d'information)
La résilience numérique assure le maintien des activités essentielles d'une organisation en cas de perturbation ou d'incident majeur sur les systèmes d'information. La gestion de crise cyber et l'entraînement constituent des éléments clés pour toutes les organisations.
Cette stratégie de résilience s'appuie sur une analyse des risques cyber et concerne autant les profils techniques (RSSI) que les dirigeants et gestionnaires de projets.
Une crise cyber se caractérise par plusieurs particularités importantes :
- Mise en péril des objectifs prioritaires de l'organisation
- Fulgurance des impacts et manque de temps pour réagir
- Technicité du sujet liée à la complexité des systèmes d'information et des modes opératoires des attaquants
- Évolutivité de l'événement, car les attaquants peuvent réagir aux actions de défense
- L'impact systémique potentiel nécessite de prendre en compte l'ensemble de l'écosystème (tiers, partenaires, fournisseurs, acteurs du même secteur)
- La sortie de crise peut être longue : la réponse technique, l'investigation numérique et le rétablissement peuvent prendre plusieurs mois
La gestion d'une crise cyber ne s'improvise pas. Il est nécessaire de :
- S'assurer de l'existence d'un plan de continuité d'activité (PCA) robuste aux cyberattaques et d'un plan de reprise d'activité (PRA)
- Préparer les capacités de réponse à incident, y compris en cas de perte des moyens informatiques et de communication nominaux
- Anticiper les menaces cyber et adapter le dispositif de crise à ces menaces
- Formaliser une stratégie de communication cyber
- S'entraîner pour pratiquer et s'améliorer
- Contractualiser le cas échéant des prestations de réponse à incident et souscrire une assurance cyber
Ce dispositif doit s'appuyer sur des mesures de gouvernance, de protection et de défense. L'absence de ce socle entraînerait une sollicitation trop fréquente du dispositif de crise, dont l'activation doit rester exceptionnelle.
Pour les crises majeures ayant un impact sur la continuité économique et sociale du pays, l'État a élaboré les plans VIGIPIRATE et PIRANET.
Face à un événement déstabilisateur, plusieurs éléments sont essentiels :
- Bien gérer les seuils d'escalade jusqu'au passage en crise
- Articuler le pilotage de la crise (métiers) et la réponse à incident (technique)
- Coordonner et soutenir l'action des équipes du dispositif de réponse
- Communiquer efficacement pour maintenir la confiance avec les acteurs internes et externes
- Impliquer les métiers dans la construction du plan de remédiation et de relance d'activité
- Tirer les leçons à chaque activation de la cellule de crise
- Chaque crise fait l'objet d'un retour sur expérience
- Une nouvelle analyse de la gouvernance est nécessaire pour restructurer les mesures de sécurité
- Des actions immédiates doivent être mises en place
- Une crise bien gérée est l'opportunité de durcir durablement les systèmes d'information et renforcer l'organisation face aux cyberattaques
L'ANSSI propose plusieurs guides pour accompagner les organisations :
-
« Crise cyber, les clés d'une gestion opérationnelle et stratégique »
Pour gérer les déséquilibres et les bouleversements soudains d'une crise cyber, prendre des décisions rapides malgré le stress et l'incertitude. -
« Anticiper et gérer sa communication de crise cyber »
Pour aider les communicants confrontés à la technicité et aux enjeux spécifiques d'une crise cyber, parfois éloignés de leur cœur de métier. -
« Organiser un exercice de gestion de crise cyber »
Co-réalisé avec le Club de la continuité d'activité (CCA), ce guide combine l'expertise en cybersécurité et en gestion de crise. L'ANSSI propose également un kit d'exercice dédié aux collectivités territoriales.
Les déséquilibres qu'implique une crise cyber forcent les organisations à s'adapter et à fonctionner de manière inhabituelle. Ces bouleversements nécessitent une préparation rigoureuse pour permettre une réponse efficace et limiter les impacts.