Recevez chaque jour toute l'actualité du numérique

x

Que faire en cas de crise cyber ? L'Anssi répond

Chaque entité publique ou privée doit se préparer à l'éventualité d'une attaque informatique, estime l'Anssi qui publie un guide dédié à la gestion des crises cyber en collaboration avec le Club des directeurs de sécurité et de sûreté des entreprises. Il propose 18 fiches pratiques de la préparation à la construction d'une crise en passant par la communication et la simulation. 
Twitter Facebook Linkedin Flipboard Email
×

Que faire en cas de crise cyber ? L'Anssi répond
Que faire en cas de crise cyber ? L'Anssi répond

L'Agence nationale de la sécurité des systèmes d'information (Anssi) et le Club des directeurs de sécurité et de sûreté des entreprises (CDSE) publient ce lundi 6 décembre 2021 un guide sur "les crises d'origine cyber".

Il propose 18 fiches pratiques destinées à chacun des acteurs du niveau stratégique et opérationnel des organisations. Son objectif est de permettre "à l'entité de travailler de façon transverse en cas de crise cyber", explique Jean-Paul Bonnet, CSO de Safran et président de la Commission cyber du Club des directeurs de sécurité et de sûreté des entreprises. 

250% de signalements en plus
En préambule, Yves Verhoeven, le sous-directeur Stratégie de l'Anssi, rappelle que les cyberattaques augmentent fortement. "Sur l'année 2020, le nombre de crises cyber sur lesquelles le CERT-FR (Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques, ndlr) est intervenu a augmenté de près de 250%", détaille-t-il. Il ajoute qu'il y a "deux types d'organisations" : "celles qui ont déjà été victimes d'une cyberattaque et celles qui ne tarderont pas à l'être". D'où l'importance que chaque entité – publique ou privée, grande ou petite – se prépare à l'éventualité d'être frappée par une attaque informatique.

Ce guide propose une liste de bonnes pratiques et de recommandations pour bien se préparer et gérer une cyberattaque étape par étape. Il ne s'adresse pas qu'aux personnes en charge de la sécurité informatique mais également à l'ensemble d'une entité, en particulier celles impliquées dans "le processus décisionnel". 

L'Anssi et le CDSE entendent par "crise cyber" "la déstabilisation immédiate et majeure du fonctionnement courant d'une organisation (impossibilité de délivrer des services, pertes financières lourdes, perte d’intégrité majeure, etc.) en raison d’une ou de plusieurs actions malveillantes sur ses services et ses outils numériques (cyberattaques de type rançongiciel, déni de service, etc)".

En comparaison à d'autres scénarios de crise, elles ont la particularité d'avoir une double temporalité avec des impacts immédiats et une remédiation longue pouvant s’étendre sur plusieurs semaines, voire plusieurs mois, ainsi qu'une absence d'unicité de lieu de réalisation. Elles incluent également une incertitude sur le périmètre de la compromission et une complexité pour comprendre les objectifs de l'attaquant et attribuer l'origine de l'attaque

Connaître et maîtriser son système d'information
En premier lieu, les entités doivent construire une organisation de crise résiliente, permettant de limiter les impacts de la crise, de maintenir la confiance de l'écosystème, de prioriser et de conserver en mode dégradé les activités affectées. En pratique, elles doivent connaître et maîtriser leurs systèmes d'information afin d'être capables d'évaluer l'étendue des impacts de l'attaque sur le périmètre de l'organisation.

Le guide conseille donc de disposer notamment de la liste des applications et des services critiques, une cartographie des systèmes, une liste des interdépendances des SI, d'une politique de rétention des logs applicatifs et réseaux ainsi qu'une matrice des flux d'information. 

De plus, les organisations doivent être capable de maintenir leurs activités les plus critiques - éventuellement en mode dégradé - et de les relancer de façon maîtrisée afin de limiter les impacts de la crise. Pour cela, il est important d'avoir mis en place des méthodes et des moyens opérationnels adaptés aux scénarios de crise cyber. Un travail de pédagogie doit être fait par les équipes cyber et IT auprès des métiers afin qu'ils prennent en compte les impacts cyber et adaptent leurs pratiques, recommande le guide.

En outre, l'aspect "communication" doit être minutieusement pris en compte car une crise cyber peut affecter la réputation d'une entreprise. La communication doit être intégrée au dispositif de gestion de crise pour accompagner les équipes lorsqu’elles alertent et conseillent les parties prenantes (clients, fournisseurs, médias, autorités, etc.) dans les meilleurs délais et pour préserver la réputation et la confiance dans l’organisation.

L'entraînement doit être au coeur de la gestion de crise cyber, ajoute l'Anssi. C'est un "moyen efficace de sensibiliser les équipes aux enjeux cyber et d'apprendre à y faire face". A ce sujet, l'Anssi a déjà publié un guide en octobre 2020.

Activer son réseau de soutien
Une fois qu'une attaque intervient, l'entité doit activer son dispositif de crise puis le piloter à travers une cellule stratégique dont la composition doit être fixée en amont. L'activation des réseaux de soutien - tels que les assurances, les équipes de forensics, les CERT... - doit être effectuée par les entités victimes afin d'être épaulé dans la gestion de la crise. Il est également important de notifier l'incident aux autorités compétentes. En France, il s'agit de l'Anssi et de la Commission nationale de la sécurité des systèmes d'information (Anssi).

Une fois le coeur de la crise passée, les entités doivent modifier leurs pratiques afin qu'une attaque ne se reproduise pas. Un effort de pédagogie est nécessaire pour expliquer, à tous les niveaux, les changements parfois profonds qui seront effectués pour éviter une nouvelle compromission des systèmes et parvenir à une sortie de crise. 

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.