Anticiper et gérer une crise Cyber

La résilience assure le maintien des activités essentielles de l’organisation en cas de perturbation ou d’incident majeur.

Publié le 20 Juillet 2022 Mis à jour le 29 Février 2024

Son volet numérique s’attache à adresser les incidents portant sur les systèmes d’information ou services numériques sur lesquels s’appuient les activités essentielles de l’organisation. La gestion de crise cyber et l’entraînement constituent des éléments clés pour la résilience de toutes les organisations La stratégie de résilience numérique s’appuie sur une analyse des risques cyber pesant sur l’organisation ou le système. Il ne s’agit pas uniquement d’un sujet qui s’adresse aux profils techniques, les Responsable de Sécurité des Système d’Informations (RSSI), les dirigeants et gestionnaires de projets sont tout autant concernés.

Qu’est-ce qu’une crise d’origine cyber ?

Une crise cyber se caractérise par certaines particularités qu’il est important d’appréhender pour être mieux préparé :

  • la mise en péril des objectifs prioritaires de l’organisation ;
  • la fulgurance des impacts et le manque de temps pour y répondre ;
  • la technicité du sujet, du fait de la complexité des systèmes d’informations et des modes opératoires utilisés par les attaquants ;
  • l’évolutivité de l’évènement, dans la mesure où les attaquants sont susceptibles de réagir aux actions entreprises par l'organisation ciblée.

L’impact potentiellement systémique d’une cyberattaque nécessite de prendre en compte l’écosystème d’une organisation dans sa démarche de résilience et de gestion de crise (tiers, partenaires, fournisseurs, voire même acteurs du même secteur d’activité).

La sortie de crise peut être longue, puisque la réponse technique, l’investigation numérique et le rétablissement du fonctionnement des systèmes d’informations sont des actions qui peuvent prendre plusieurs mois.

Anticiper et se préparer à affronter une crise cyber

La gestion d’une crise cyber ne s’improvise pas : il est nécessaire de se préparer, s’outiller, s’entrainer et de connaître les bonnes pratiques de gestion de crise. Pour ce faire, il convient de :

  • S’assurer de l’existence d’un plan de continuité d’activité (PCA) robuste aux cyberattaques et d’un plan de reprise d’activité (PRA) ;
  • Préparer les capacités de réponse à incident, y compris en cas de perte des moyens informatiques et de communication nominaux ;
  • Anticiper les menaces cyber et adapter le dispositif de crise à ces menaces ;
  • Formaliser une stratégie de communication cyber ;
  • S’entrainer pour pratiquer et s’améliorer ;
  • Contractualiser le cas échéant des prestations de réponse à incident et souscrire une assurance cyber.

Pour que ce dispositif soit robuste, il doit s’appuyer sur des mesures de gouvernance, de protection et de défense [Lien vers la page structurer ses mesures de sécurité] qu’il vient compléter. L’absence de ce socle entraînerait une sollicitation trop fréquente du dispositif de crise dont l’activation doit rester exceptionnelle.

Pour anticiper une crise majeure ayant un impact possible sur la continuité économique et sociale du pays, l’Etat a élaboré dans le cadre de sa politique de défense nationale les plans VIGIPIRATE et PIRANET : Plans gouvernementaux

Gérer une crise

Lorsqu’un évènement déstabilisateur survient, il est toujours difficile de piloter efficacement son dispositif de crise. Le bon sens, la réactivité, l’adaptabilité et l’endurance des équipes de gestion de crise face à une situation inédite en facilitent la gestion . Les aspects suivants sont des incontournables pour réduire les impacts négatifs de la crise cyber sur l’organisation :

  • Bien gérer les seuils d’escalade jusqu’au passage en crise ;
  • Articuler le pilotage de la crise (métiers) et la réponse à incident (technique) ;
  • Coordonner et soutenir l’action des équipes du dispositif de réponse ;
  • Communiquer efficacement pour maintenir la confiance avec les acteurs internes et externes;
  • Impliquer les métiers dans la construction du plan de remédiation et de relance d’activité ;
  • Tirer les leçons à chaque activation de la cellule de crise.

Il faut savoir que chaque crise fait l’objet d’un retour sur expérience qui demande par la suite une nouvelle analyse de sa gouvernance afin de structurer de nouveau ses mesures de sécurités. En effet, suite à une crise, il est nécessaire de mettre en place des actions immédiates.

Une crise bien gérée est également l’opportunité pour durcir durablement ses systèmes d’information et renforcer son organisation face aux cyberattaques.

crise d'origine cyber

Crise cyber, les clés d'une gestion opérationnelle et stratégique

Les déséquilibres qu’implique une crise cyber forcent les organisations à s’adapter et à fonctionner de manière inhabituelle. Ces bouleversements soudains et à l’échéance incertaine sont une source de stress et compliquent la prise de décision, alors même que des actions de remédiation doivent être décidées et exécutées rapidement pour limiter les impacts.

PDF
Crise d’origine cyber, les clés d’une gestion opérationnelle et stratégique
Anticiper et gérer sa communication de crise cyber - couverture

 

Anticiper et gérer sa communication de crise cyber

Face à une attaque, la technicité d’une crise cyber peut déstabiliser les plus aguerris des communicants, confrontés à des codes, des enjeux et à un écosystème parfois très éloignés de leur cœur de métier.

PDF
Anticiper et gérer sa communication de crise cyber
Organiser un exercice de gestion de crise cyber

 

Organiser un exercice de gestion de crise cyber

Co-réalisé avec le Club de la continuité d'activité (CCA), le guide « Organiser un exercice de gestion de crise cyber » est le fruit d’une expertise développée à l'ANSSI au fil des années et la combinaison d'expériences en cybersécurité et en gestion de crise. L’ANSSI a également développé un premier kit d’exercice dédié à l’entrainement des collectivités territoriales. 

PDF
Organiser un exercice de gestion de crise cyber - Guide - v1.0

Pour aller plus loin

Sur le même sujet :
Sécuriser son organisation