Cybercriminalité : Comment se préparer au pire ?

Préparation à une attaque cyber 

Le guide de l'ANSSI fournit une série de questions clés pour aider les entreprises à se préparer à une attaque cyber. Ces questions englobent des domaines tels que la gouvernance, la sensibilisation, la gestion des incidents et la réponse. Parmi les grandes questions abordées : 

• Comment identifier les actifs critiques et les données sensibles ? 

• Comment évaluer les risques et les vulnérabilités de votre environnement informatique ? 

• Comment mettre en place une stratégie de sécurité robuste incluant des mesures de prévention, de détection et de réponse ? 

• Comment former et sensibiliser les employés pour minimiser les erreurs humaines ? 

• Comment définir des procédures de gestion des incidents et de communication en cas d'attaque ? 

Ce document pédagogique a vocation à aider les entreprises, qui ne sont pas dotées de service dédié à la sécurité informatique, dans leur réflexion autour de la sécurisation de leur système d’informations. 

L'Importance d'un Plan de Continuité d'Activité (PCA) 

Un Plan de Continuité d'Activité (PCA) est un document essentiel pour garantir la résilience d'une organisation face à diverses perturbations. Un PCA bien conçu garantit que l'organisation est préparée à faire face à une variété de perturbations, y compris les cyberattaques, tout en minimisant les impacts sur ses activités essentielles. Voici une description détaillée des principaux éléments qu'un PCA devrait contenir : 

• Préciser la portée du PCA, en identifiant les activités, les services ou les processus critiques qu'il couvrira. 

• Analyser les menaces potentielles, y compris les cybermenaces, et évaluer leur impact sur l'organisation. 

• Définir les stratégies de continuité, en fonction des scénarios, en détaillant les leviers à activer pour assurer une reprise immédiate en mode dégradé ou non, ou une reprise progressive. 

• Détailler la réponse aux incidents 

• Décrire par typologie d’incident les procédures à suivre pour stopper la progression de l’attaque, puis pour rétablir un niveau de fonctionnement minimal. 

• Décrire l’organisation de la cellule de gestion de crise, en précisant les rôles et les responsabilités de chacun. 

• Définir les indicateurs à suivre en cas de crise et préparer les tableaux de bord de consolidation (cf. les travaux du CIGREF sur les reportings à destination du COMEX). 

• Énumérer les ressources essentielles à la poursuite des activités, quelles soient informatiques ou métier. S’assurer de pouvoir les joindre à tout moment. 

• Élaborer un plan de communication interne pour informer rapidement les employés sur la situation en cas d'incident. 

• Prévoir un plan de communication externe pour informer les clients, les fournisseurs, les partenaires et les autorités en cas de perturbation majeure.

Afin d’être prêt le jour J, il est nécessaire de planifier des tests réguliers du PCA pour s'assurer de sa viabilité, qu’il n’y ait pas de rupture dans la circulation de l’information, ou encore d’ambiguïté dans la répartition des différentes responsabilités. Bien entendu, ce PCA devra être mis à jour en fonction des changements d’organisation ou de technologie. 

Organisation d'une Cellule de Crise 

L'organisation d'une cellule de crise est cruciale pour une réponse efficace face à une cyberattaque. Plusieurs niveaux de responsabilité et d'acteurs sont impliqués pour assurer une coordination adéquate : 

• Comité Stratégique : ce comité est généralement présidé par la direction de l'entreprise. Il est chargé de prendre des décisions stratégiques qui peuvent avoir un impact sur la vie de l’entreprise durant la crise. 

• Comité Opérationnel : il joue un rôle clé dans la gestion opérationnelle de la crise et suit les décisions prises par le comité stratégique. Il peut comprendre le Responsable de la Sécurité des Systèmes d'Information (RSSI), le Directeur des Systèmes d'Information (DSI), ainsi que des représentants de divers départements tels que la communication, le juridique, les ressources humaines et les finances. Les experts techniques, y compris les professionnels de la sécurité informatique, sont également impliqués. 

• Équipes Techniques : sous la coordination du Comité Opérationnel, ces équipes sont mobilisées pour gérer les aspects techniques de la crise. Cela peut inclure la remédiation des vulnérabilités, la récupération des données et la restauration des systèmes. Ces équipes sont généralement constitués des experts de la DSI (réseau, sécurité, base de données, etc). 

La composition exacte de ces comités et équipes peut varier en fonction de la taille et de la structure de l'entreprise, ainsi que de la nature de l'incident. 

L'organisation de la cellule de crise doit permettre à l’information de circuler facilement et aux décisions d’être prises rapidement.  

L'Importance de la Communication en Cas de Crise 

En situation de crise cybernétique, la communication est un élément clé pour gérer les impacts et restaurer la confiance. Le CIGREF présente une check-list des actions à mener avec la Direction de la Communication, détaillant les actions à prendre avant et pendant la crise. 

Communiquer vers l'extérieur sur une cyberattaque subie revêt une importance cruciale pour plusieurs raisons : 

• Être en conformité avec la réglementation : comme vu précédemment, il existe des obligations légales et réglementaires de signaler les incidents de cybersécurité et de notifier les autorités compétentes. La communication externe est souvent une étape cruciale pour se conformer à ces exigences. 

• Transparence et confiance : la communication transparente démontre l'engagement de l'entreprise à maintenir la relation de confiance avec son écosystème dans une période de crise. Les parties prenantes externes, notamment les clients, les partenaires commerciaux et les autorités réglementaires, apprécient la transparence et sont plus enclins à maintenir leur confiance envers l'entreprise communicante. 

• Protection de son écosystème : la communication externe permet d'informer les membres de son écosystème des mesures de sécurité qu'ils doivent prendre. Par exemple, les clients peuvent être avertis de changer leurs mots de passe, de surveiller leurs comptes ou de prendre d'autres mesures pour se protéger. 

• Gestion de l'image de marque : la réaction de l'entreprise à une cyberattaque peut influencer sa réputation à long terme. En communiquant activement sur les mesures prises pour résoudre l'incident et protéger les données, l'entreprise montre son engagement envers la sécurité et la protection des données de son écosystème (fournisseurs et clients).  

• Réduction des Rumeurs : la communication proactive permet de contrôler le message, de fournir des informations précises et de réduire les risques de désinformation. 

En somme, la communication externe en cas de cyberattaque démontre la volonté de l'entreprise d'être transparente, proactive et responsable dans sa gestion des incidents. Cela contribue non seulement à minimiser les conséquences négatives de l'attaque, mais aussi à renforcer la confiance des parties prenantes et à maintenir la réputation de l'entreprise à long terme. 

Opérationnellement, le plan de communication doit se préparer en amont, afin de communiquer rapidement et avec pertinence au moment de la crise. 

Avant la Crise  

• Désigner des porte-paroles internes et externes autorisés à communiquer au nom de l'entreprise. Ils doivent être informés des procédures de communication et des messages clés. 

• Création de messages clés, ayant pour objectifs de rassurer, de réaffirmer la stratégie d’entreprise et l’organisation mise en place pour sortir de cette crise le plus rapidement possible et ceci sans perturber les relations clients-fournisseurs. Ces messages doivent être clairs, cohérents et adaptés à chaque population. 

• Préparer un répertoire à jour des contacts : au sein des organes de presse, ou à plus petite échelle à minima des principaux clients et fournisseurs. Cela permet une communication rapide en cas d'incident. 

Pendant la crise 

• Informer en priorité les employés sur l'incident, les actions en cours et les mesures à prendre. Cela évite les rumeurs internes et renforce la confiance. 

• Communiquer rapidement et honnêtement avec votre écosystème. Les informations doivent être exactes et rassurantes, sans entrer dans les détails techniques. 

• Assurer la cohérence des messages diffusés en interne et en externe pour éviter toute confusion. 

• Fournir des mises à jour régulières aux parties prenantes concernant l'évolution de la situation, les mesures prises et les progrès réalisés. 

La collaboration étroite entre la Direction de la communication, la cellule de crise et les experts techniques garantit une réponse coordonnée et transparente face à un incident de cybersécurité. La communication joue donc un rôle crucial dans la gestion des crises cyber. Une stratégie de communication bien définie contribue à maintenir la confiance et favorise un retour rapide des collaborateurs à leur activités normales.  

Conclusion

La cybersécurité est primordiale pour les entreprises. Face aux diverses menaces, une préparation proactive, basée sur les lignes directrices de l'ANSSI, s'avère cruciale. Un Plan de Continuité d'Activité solide et une communication efficace, soutenue par une cellule de crise organisée, sont essentiels pour contrer les attaques et en minimiser les conséquences. La coordination entre les équipes techniques, les responsables de la communication et les dirigeants garantit une réponse harmonisée. En adoptant cette approche stratégique, les entreprises peuvent sécuriser leur avenir dans un paysage numérique complexe.