Préparer la gestion des cyber-crises en 2018: 5 règles d’or pour vos exercices

Face à des crises d’ampleur inédite, plus longues, plus visibles, aux impacts décuplés, il est essentiel d’adapter nos modes d’entraînement. Voici les cinq règles d’or qui vous permettront d’entraîner aussi efficacement que possible vos responsables à gérer une cyber crise en 2018.


Rien ne sert de courir, il faut partir à point; si les attaques emblématiques de l’année 2017 nous prouvent quelque chose, c’est que cet adage s’applique plus que jamais à la gestion des crises cyber. Alors comment ce changement de paradigme se manifeste-t-il, et quel impact sur la meilleure manière de s’entraîner à gérer une crise cyber? L’organisation d’exercices de crise cyber est monnaie courante dans les entreprises; mais ceux-ci sont-ils réellement adaptés aux enjeux actuels?

source: http://bit.ly/2E71guO

Règle # 1 : D’une cinétique longue, tes scenarii tu rythmeras

Les retours d’expérience des entreprises visées par Wannacry et Not Petya sont formels; une fois l’alerte levée, chacun s’est jeté corps et âme dans la gestion d’une crise dont personne n’avait anticipé la longueur. Résultat? Des témoignages de rotation organisée en catastrophe, plusieurs vingtaines d’heures de travail sans discontinuer, des nuits de 4 heures… et à la fin, un épuisement notable. Une cellule de crise doit prendre l’habitude de s’interroger dès les premières heures de la crise sur sa durée, en évaluant l’incident sans trop d’optimisme. Anticiper une crise de longue durée implique notamment de définir un planning de rotation dès les premières heures de la crise et de faire du partage de l’information une priorité.

source: http://bit.ly/2DCh1gd

Règle # 2 : Une activation de ton PCA, tu inclueras

Hyperconnection – the resilience challenge – la thématique du FIC de cette année est éloquente. Si la résilience est mise à l’honneur dans cet événement international de cybersécurité, c’est parce que les dommages sur les activités peuvent être conséquents.

Une indisponibilité massive des postes de travail – due par exemple à un crypto locker – implique pour la cellule de crise d’intégrer de définir dans son plan d’action une stratégie de continuité et reprise d’activité.

source: http://bit.ly/2na6WMA

Règle # 3 Ta DirCom, aux côtés du RSSI siègera

Fuite de données, defacement, ransomware… Un jargon qui nous est familier mais qui n’en engendre pas moins des confusions pour les non-initiés. L’emballement  médiatique suscité par les récentes cyberattaques mondiales a en effet donné lieu à un traitement journalistique du sujet parfois approximatif et sensationnaliste. Chercher à vulgariser en urgence les B.A.BA des cyber menaces à son/sa responsable communication, tout en s’attelant à comprendre soi même les spécificités de l’attaque en cours est un exercice complexe pour un RSSI. Un effort continu de pédagogie auprès des équipes communication, en première ligne face aux journalistes, est en ce sens primordiale. Les exercices de crise peuvent être l’occasion d’initier ou approfondir la compréhension des sujets et méthodes de chacun.

source: http://bit.ly/2E7DrD6

Règle # 4 : Tes acolytes à l’international, tu inviteras

Internet n’a pas de frontière, les crises cyber non plus; de par leurs impacts et les équipes qu’elles mobilisent dans leur résolution, ce type de crises reste rarement confinées au territoire national. L’identification préalable d’interlocuteurs clés et l’intégration de la coordination entre les différentes régions dans les processus de gestion de crise, en prenant notamment en compte le décalage horaire, constituent deux éléments clefs d’une bonne préparation. Un bon moyen de tester la coordination entre équipes localisées dans différentes zones géographiques (help desks…) consiste par exemple à se baser sur un scenario simulant un incident majeur hors heures ouvrées.

Règle # 5 : De multiples cellules, à ton exercice tu conviras

La gestion de crise cyber n’est plus uniquement l’apanage des SOC et des RSSI; s’étant désormais affranchie des silos organisationnels, elle implique une multiplicité d’acteurs et exige une gestion pluridisciplinaire et transversale. Atteinte à la réputation, impacts clients, conséquences sur l’activité, pertes financières, risques juridiques… ses impacts vont au delà du système d’informations.

Cela a deux conséquences majeures, qu’il faut prendre en compte lorsque sont définis les participants aux exercices de crise cyber:

  • Les cellules doivent réunir des profils variés; avec l’entrée en vigueur de GDPR, difficile par exemple d’imaginer l’absence d’un juriste!
  • Cellule de crise IT, SOC, cellules de BU, cellule de crise groupe… il est primordial que ces acteurs décisionnels et opérationnels soient en capacité d’interagir efficacement.

Ainsi, simuler une cyber-crise doit permettre de clarifier et/ou d’affiner la répartition des rôles et responsabilités de chaque cellule, et de fluidifier les communications entre-elles. Les scenarii rédigés devront être probants, intégrer des impacts majeurs et une variété d’inputs pour réunir a minima une cellule décisionnelle et une cellule opérationnelle.

Claire JUIFF – Responsable Gestion de crise pour Devoteam

Cet article vous a plu? N’hésitez pas à partager 🙂

Pour toute question, proposition de collaboration ou besoin d’accompagnement, je suis joignable directement via Linkedin ou par mail, à claire.juiff@devoteam.com.

devoteam

Contact

Claire Juiff