Cybersécurité

Cybersécurité : comment s’organiser en cas de crise ?

10 octobre 2018

Cybersécurité : comment s’organiser en cas de crise ?

« Il n’y a en réalité que deux catégories d’entreprises : celles qui ont été attaquées et celles qui l’ont été mais ne le savent pas encore ». Comme le remarque avec justesse Alain Bouillé, la gestion de crise cybersécurité prend une place primordiale au sein des organisations. En effet, la croissance exponentielle des menaces implique de s’organiser pour y faire face dans les meilleures conditions.

La question n’est plus, pour les organisations, de savoir si elles seront victimes d’un incident majeur de sécurité, mais plutôt de savoir quand cela arrivera et quels réflexes adopter.  

Les organisations connaissent la nécessité grandissante, et parfois l’obligation, de protéger leur patrimoine informationnel des menaces cybersécurité. Plus encore, il importe de déployer les moyens de prévention et de défense à la mesure de ces enjeux : lutte contre l’espionnage industriel, protection des informations sensibles, etc.

Que ce soit au sein d’une entreprise privée ou d’un organisme public, à l’échelle nationale, voire mondiale, une crise peut survenir à tout moment et se propager à grande vitesse. Pour y répondre, chaque organisation doit adopter une démarche adaptée à son environnement, lui permettant de coordonner urgence et efficacité.

Cas pratique : la fuite de données du magazine L’Express

Exemple représentatif de la réalité de ces enjeux : la crise qu’a connue l’hebdomadaire L’Express début 2018 affectant les données de près de 700 000 lecteurs. Le magazine avait laissé un serveur non protégé contenant une base de données à caractère personnel de ses lecteurs, pendant plusieurs semaines. Cette base contenait notamment leurs noms, prénoms, adresses et professions. Bien qu’alerté de cette fuite à plusieurs reprises, le magazine n’est pas intervenu immédiatement, ce qui a permis à des personnes malveillantes de chercher à obtenir une rançon.

Quels éléments ont fait défaut ici ? Tout d’abord, la base de données des lecteurs, actif stratégique du magazine, se trouvait insuffisamment sécurisé. Ce défaut n’est pas seulement technique : l’absence de réponse de l’hebdomadaire suggère également une défaillance organisationnelle.

Ces insuffisances ont été amplifiées l’incapacité apparente de l’organisation à se mobiliser rapidement pour résoudre le problème, maintenant ainsi la compromission des actifs impactés. Enfin, à la suite de la médiatisation de l’événement, la situation du magazine est vite passée de l’incident à l’état de crise, du fait des difficultés de ce dernier à maîtriser l’exposition publique de son défaut de sécurité.

Ces défaillances ont empêché l’organisation de procéder à une véritable gestion de l’incident et à maintenir une résilience adéquate à la situation de crise.

Les 3 étapes pour une gestion de crise réussie

La gestion d’un incident majeur de sécurité implique une organisation rigoureuse et anticipée avec des étapes bien définies.

Lorsque l’incident majeur provoque une rupture dans le fonctionnement normal d’un organisme ou dans ses activités, celui-ci se trouve alors dans une situation de crise. Dans la mesure du possible, il ne faut pas attendre qu’un incident grave survienne pour y penser : la clé d’une gestion de crise réussie est l’anticipation.

Étape 1 : Anticiper et se préparer

L’anticipation implique de mettre en place un dispositif de réponse aux incidents comprenant les parties prenantes (équipe sécurité, juridique, communication, etc.). Il est indispensable de disposer d’un processus de gestion de crise, même si celui-ci est sommaire.

Quelques mesures utiles peuvent être proposées, notamment :

  • Mettre en place une matrice RACI : elle attribue des rôles et des responsabilités permettant de déterminer qui est concerné en cas d’incident majeur de sécurité, qui intervient, quel est le rôle de chacun et quelles actions doivent être mises en place dans une telle situation.
  • Déployer une logistique spécifique : il s’agit de se munir des moyens nécessaires pour opérer la gestion de la crise sereinement. Cela peut se matérialiser par la mise en place d’un lieu dédié avec des accès restreints (ex : War room, salle de réunion isolée), par la prise en compte des aspects « Ressources humaines » (notamment en cas de travail de nuit pour que les membres de l’équipe de réponse puissent travailler dans les locaux de nuit, faire des pauses, déjeuner, boire du café, etc.).
  • Déterminer le fonctionnement et le déroulement de la gestion de crise : la méthodologie choisie pour mener les différentes actions de remédiation, pour déterminer qui encadrera la gestion et s’il y a des étapes-clé à ne pas oublier. Par exemple, il est utile d’organiser de points quotidiens en début et en fin de journée pour consolider les informations avec l’ensemble de l’équipe, de journaliser les actions de chacun, d’anticiper les instances internes à informer, prévoir si des entités publiques doivent être notifiées (cf. infra), etc.
  • Organiser un retour d’expérience : son objectif est d’établir un bilan sur la façon dont la crise a été gérée, organiser une réflexion sur des moyens à mettre en place pour améliorer cette gestion, fluidifier les points bloquants pour les crises à venir ou encore avertir les autres acteurs du marché dans une logique de coopération.

Envisager un processus préalable permet de gagner du temps au moment où la crise survient et d’orienter les mesures à prendre le cas échéant.

Étape 2 : Diagnostiquer, prendre des décisions et agir

Dès la connaissance d’un incident de sécurité, l’organisme doit parvenir à le qualifier : s’agit-il d’un incident « simple » ou est-on en rupture, donc face à une crise qui se profile ? Plus encore, des données sont-elles affectées ? Quels sont les systèmes impactés ? Quelles sont les premières actions d’investigation et de confinement à effectuer ? Comment mettre fin et remédier à l’incident ?

De cette qualification de l’incident découle la mise en œuvre du plan d’actions établi et, si nécessaire, la constitution d’une cellule de crise chargée de confiner, stopper et remédier aux conséquences de l’incident grave tout en documentant les événements rencontrés lors de sa gestion.

  • Constituer une cellule de crise : toutes les parties prenantes y participent. Il s’agira des experts de la sécurité et l’IT, bien sûr, mais aussi de personnel du management, du service financier (dans le cas, par exemple, d’un ransomware), ainsi que de responsables métiers en fonction des services impactés par l’incident majeur.

Concrètement, cela implique de mettre à disposition des locaux, en prévoyant des vivres pour que l’équipe puisse travailler sans interruption, etc. Côté technique, en cas de compromission du SI traditionnel, il est souvent indispensable de monter un SI parallèle. Par exemple, dans le cas d’une élévation de privilèges, les attaquants maîtrisent l’ensemble du système : les ordinateurs, les boîtes mails ne sont plus des outils dignes de confiance ; les mesures de sécurité traditionnelles sont inopérantes car les attaquants ont pu en prendre la main.

  • Documenter scrupuleusement la gestion de la crise : une crise peut bloquer et/ou compromettre le SI de l’organisation. Le journal de bord que l’on fera dès le début de la crise sera préférentiellement sous format papier afin d’y consigner toutes les actions menées par les acteurs de la cellule. Chaque jour, cette dernière doit suivre un cycle de fonctionnement avec briefing matinal, réunion intermédiaire, débriefing le soir et rapport auprès de la direction.

Le but ici est de restaurer et assainir le système afin que l’activité puisse se poursuivre. Par la suite, il faudra tirer les enseignements de cette crise pour trouver les causes de cette compromission et résoudre les éventuels dysfonctionnements du système.

Il est essentiel de collecter les preuves et, dans la mesure du possible, documenter toutes les étapes entreprises. Ce travail permettra de prouver que tous les moyens envisageables ont été mis en œuvre pour remédier à la crise mais également alimenter les informations renseignées à l’occasion d’une éventuelle plainte. La collecte complète va permettre à l’organisation d’effectuer l’étape suivante : la communication et la notification.

Étape 3 : Notifier et communiquer

Lorsqu’un incident majeur de sécurité survient, le RGPD prévoit que le responsable de traitement notifie à l’autorité de contrôle compétente au plus tard 72 heures après en avoir pris connaissance. Cette notification peut s’accompagner d’une obligation de communication aux personnes concernées lorsqu’il existe un risque élevé pour leurs droits et libertés.

Aussi, le responsable de traitement doit être en mesure d’analyser la situation et centraliser les informations indispensables à la notification, le plus rapidement possible.

Dans l’exemple de la fuite de données de L’Express, si le RGPD avait été applicable en janvier 2018, le magazine aurait dû procéder à ladite notification de la violation, dans les délais indiqués, auprès de la Commission nationale de l’informatique et des libertés (CNIL). Cette notification se serait accompagnée de certaines informations obligatoires, telles que la nature de la violation de données à caractère personnel, les catégories de données affectées et de personnes concernées, une description des conséquences probables ou encore des mesures prises pour y remédier.

L’obligation de notification des incidents de sécurité ne relève pas uniquement du RGPD. Elle s’applique également à certains secteurs d’activité ou organismes spécifiques. Ainsi par exemple, les opérateurs d’importance vitale (OIV) doivent notifier tout incident de sécurité à l’Agence nationale de la sécurité des systèmes d’Information (ANSSI). Les structures de santé, quant à elles, doivent signaler ces incidents aux Agences régionales de santé (ARS) dans les meilleurs délais.

La gestion de crise est inévitable pour une organisation résiliente

Une crise n’est jamais sans conséquence. Que celle-ci porte atteinte aux intérêts de l’organisation ou à des personnes dont les informations sont impactées, les répercussions sont quasi systématiques. Pour une gestion de crise réussie, il est nécessaire qu’elle ait été anticipée et qu’un dispositif adéquat ait été mis en place pour remédier au problème efficacement.

La gestion de crise est inévitable mais jamais aisée. Il s’agit du processus permettant à un organisme de revenir au plus vite à un état de fonctionnement et de mettre en place les mesures évitant que ce genre de situation ne se reproduise. Il est donc nécessaire de se pencher sur la gestion des incidents majeurs de cybersécurité et de se faire accompagner dans cette démarche.

Leave a comment

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *