Recevez chaque jour toute l'actualité du numérique

x

Pour être prêt en cas d'attaque, l'Anssi recommande la simulation de "crises cyber"

Alors que le nombre de cyberattaques explose, l'Anssi publie un guide pour aider les organisations à simuler des "crises cyber". L'objectif est de se préparer au mieux pour le jour où une attaque informatique frappera vraiment.
Twitter Facebook Linkedin Flipboard Email
×

Pour être prêt en cas d'attaque, l'Anssi recommande la simulation de crises cyber
Pour être prêt en cas d'attaque, l'Anssi recommande la simulation de "crises cyber" © Romain V/Unsplash

"Entraînez-vous à la crise cyber", a déclaré Guillaume Poupard, directeur général de l'Agence nationale de la sécurité des systèmes d'information. Lors de la session d'ouverture des Assises de la sécurité à Monaco, il a présenté un nouveau guide qui vise à "aider tous ceux qui veulent organiser des exercices de gestion de cyber". Le but : être efficace le jour où une réelle cyberattaque frappe.

Développer les bons réflexes
Réalisé en partenariat avec le Club de la continuité de l'Activité qui rassemble des entreprises et des cabinets de conseils, le guide s'adresse aux acteurs publics et privés quel que soit leur taille et leur secteur d'activité. "Face à la menace, l’organisation d’exercices est fondamentale. En s’entraînant, les équipes développent des réflexes et des méthodes pour mieux travailler ensemble. Lorsqu’une attaque survient, elles sont alors prêtes à y faire face", poursuit Guillaume Poupard.

L'exercice de gestion de crise vise à simuler un scénario durant une durée limitée dans un contexte inspiré d'évènements plausibles. L'Anssi précise que l'exercice ne doit en aucun cas avoir un impact réel sur les activités de l'organisation. Par exemple, "dans le cadre d’un scénario mentionnant une cyberattaque qui cause un arrêt des machines, ces dernières ne doivent en aucun cas cesser réellement de fonctionner. Cet événement est simulé par l’appel d’un employé à sa hiérarchie, constatant que les machines sont arrêtées", indique le guide.

Il ne faut pas essayer de piéger les joueurs
L'Anssi recommande également de ne pas essayer de "surprendre ou piéger" les participants à l'exercice mais de "les accompagner dans un entrainement cadré reposant sur des objectifs définis". En d'autres termes, une simulation n'est pas réussie si elle a trompé les joueurs mais si elle leur a permis de tirer des leçons et "donné envie de réitérer l'expérience".

Le guide conseille de constituer un "programme d'exercice" pour optimiser les ressources et les moyens mis en œuvre. Il doit être élaboré en lien avec des procédures de gestion de crise et doit s'inscrire dans "une démarche d'apprentissage progressif" pluriannuelle avec des paliers à atteindre.

Pour être le plus réaliste possible, le scénario de l’exercice doit prévoir les déclarations légales nécessaires en fonction de la situation simulée et de la législation applicable. Par exemple, en cas d’indisponibilité ou d’exfiltration de données personnelles, il convient de simuler la déclaration à la Commission nationale de l’informatique et des libertés (Cnil).

Une liste d'écueils à éviter
Une fois ce programme défini, l'organisation va devoir concevoir son exercice en choisissant son cadre et en sélectionnant les parties prenantes et les joueurs. La préparation de l'exercice doit prendre en compte le scénario, la rédaction d'un chronogramme et le briefing des animateurs et des observateurs. Le jour de l'exercice, l'Anssi recommande d'appliquer ce qui est prévu tout en s'adaptant aux joueurs.

Parmi les écueils à éviter, l'Agence cite le fait que la cellule décisionnelle devienne une cellule de crise opérationnelle, les contradictions entre décisions prises par la cellule de crise et les objectifs de l’exercice et la sur-sollicitation des équipes techniques (simulées par la cellule d’animation) au détriment des joueurs impliqués dans l’exercice.

Un retour d'expérience indispensable
Enfin, la simulation doit comprendre un retour d'expérience. Le RETEX est indispensable à l'amélioration de l'exercice, souligne le guide. Il doit permettre d'identifier les points forts de l'organisation pour la gestion des crises cyber ainsi que les axes d’amélioration et établir un plan d’action concret pour pallier les manques et renforcer l’existant.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media