RiskInsight

Le blog cybersécurité des consultants Wavestone

Repenser sa stratégie de préparation à la gestion de crise d’origine cyber

Se préparer à la gestion de crise est aujourd’hui une évidence pour la grande majorité des entreprises et organisations d’envergure. Conscientes du risque, ou poussées par les réglementations (la réglementation DORA en est un bon exemple), les exercices et simulations de crise sont devenus des rendez-vous annuels immanquables.  

Si la profondeur et la complexité de ces exercices varient, les capacités testées sont très souvent les mêmes. Elles se limitent presque exclusivement à savoir s’approprier des rôles, assimiler un fort flux d’information (de stimuli), et comprendre une situation à fort enjeux et haute intensité. Si ces exercices permettent de s’entrainer à la coordination et à l’évaluation d’impact, force est de constater qu’ils ne peuvent être considérés comme une fin en soi. Résoudre une crise ne se limite pas au fameux : « on isole, on coupe, on communique, on est sorti d’affaire ». Nous appelons ici à une évolution de paradigme dans la préparation à la gestion de crise d’origine cyber. 

Déplacer le curseur de la gestion de l’information à la faisabilité  

La plupart des exercices de crise proposés actuellement testent la capacité de gestion et de synthèse du flux d’information des joueurs. Ce n’est pourtant pas là que ce se concentre la qualité du pilotage d’une crise. D’aucun pourrait même dire qu’une cellule décisionnelle ne doit justement pas se trouver dans une situation où elle est sollicitée de manière erratique et incessante par ses parties prenantes. Une cellule décisionnelle doit être mise en situation de décider et pour cela doit respecter un rythme de travail sain, généralement asynchrone, en coopération avec d’autres instances plus opérationnelles. 

Ces exercices poussent trop souvent les joueurs, aspirés par la chronophage gestion de l’information, à prendre des partis opérationnels trompeurs. Ils prennent des hypothèses sur leur capacité à faire et les délais requis – le fameux « on isole, on coupe, on communique, on est sorti d’affaire ». Ces exercices donnent l’impression aux équipes décisionnelles qu’elles sont prêtes à faire face alors qu’elles ont limité leur préparation à la capacité de compréhension et de coordination des évènements. C’est une étape nécessaire, mais insuffisante.  

Le maître mot d’une stratégie de préparation en 2023 ? La faisabilité. Mais la faisabilité de l’ensemble des étapes d’une gestion de crise repose sur un spectre plus large que la seule gestion de l’information. Cette faisabilité doit être mesurable, spécifique et rendue possible par la documentation, l’équipage et la simulation et le séquençage de ces capacités. 

Se préparer sur l’ensemble du spectre : de la détection des menaces à la reconstruction  

Interroger et a fortiori s’entrainer à gérer une situation de crise suppose d’abord de prendre en compte la chronologie complète de la gestion de crise. Nous pouvons synthétiser cette chronologie en huit étapes majeures : 

  1. Détecter les menaces pertinentes et avoir la capacité de les investiguer  
  2. Mobiliser expert.es, décideurs.euses pour réagir 
  3. Survivre durant le premier pic en garantissant des capacités de continuité d’activité  
  4. Evaluer l’impact, ses ramifications et ses évolutions anticipables  
  5. Contenir la menace et comprendre l’impact d’une isolation  
  6. Coordonner ses forces et celles de son écosystème  
  7. Communiquer avec ses parties prenantes internes et externes  
  8. Restaurer et reconstruire de manière priorisée et sécurisée 

Préparer également les outils : je conçois, j’utilise  

Une stratégie de préparation pertinente doit englober chacune de ces huit étapes avec ce maître mot de faisabilité. Cela nécessite donc de répondre à cette question : serons-nous véritablement capables de mener ces actions quand nous devrons le faire ?  

La réponse à ce questionnement capacitaire s’appuie sur trois axes :  

  1. Assurer la formalisation de processus brefs, à jour et connus (ex : avoir une matrice des flux indiquant comment isoler, sous quels délais, les conséquences opérationnelles)  
  2. Assurer l’équipement, la formation et la mise en responsabilité des équipes ayant la charge de ces actions (ex : avoir un débat sur le processus de validation d’isolation – ou licence to kill, et permettre techniquement un red button sur des périmètres pertinents)  
  3. Entrainer spécifiquement les équipes concernées via des mises en situation, des simulations spécifiques de déploiement de ces capacités (ex : tester le processus de décision menant à l’utilisation de ce red button, puis tester techniquement le bon fonctionnement du red button)  

Ainsi, si certains se limitent exclusivement à ce dernier axe qu’est la simulation, il est essentiel de concevoir sa préparation avec plus de recul et de commencer par un véritable effort de mise en capacité. L’exercice doit être un jalon de vérification, d’ajustement et de promotion des capacités. Au pire, il peut être une date butoir pour préparer la capacité voire servir d’événement pour la construire en séance (ex : chronologie de reconstruction, identification des interdépendances techniques, …). 

Dépasser une logique opportuniste et entrainer le séquencement de ses capacités 

Actuellement, les principaux leviers de complexité sont l’augmentation de la durée, de l’intensité et du nombre d’acteurs mobilisés. Là aussi, nous appelons à un changement de paradigme.

D’abord, nous appelons à nourrir une culture de la préparation reposant sur les huit piliers détaillés plus haut. Autrement dit, d’outiller, de formaliser des capacités à faire et d’entrainer unitairement ces capacités tout au long de l’année – sans nécessairement les événementialiser dans un exercice en grande pompe (ex : atelier en ComEx sur les 10 premières actions à lancer en cas de cyber crash, tester l’isolation des sauvegardes ou la restauration de postes de travail).  

Par ailleurs, en cohérence et en conséquence d’une logique d’entrainement verticalisée (i.e. permettre puis simuler), il est important d’entrainer la capacité de séquencement rapide et efficace des différentes capacités, des différents piliers. Ainsi, il convient de proposer des exercices plus larges, communs aux équipes métiers, forensic, décisionnelles, pour orchestrer leurs différentes simulations dans un seul exercice. En entrainement, par exemple, tester la capacité de détection avec une Purple Team puis la capacité de mobilisation du dispositif de crise avec une mobilisation surprise via les outils alternatifs prévus. Un second exemple : travailler la capacité de coordination des nombreuses cellules de crise sur un temps long puis, celle d’ajuster un message de communication à l’ensemble de ses parties prenantes (interne et externe).  

S’inscrire dans la durée  

Pour être pertinente, cette approche doit être supportée par une réflexion stratégique, globale, pluriannuelle. Parce que plus ambitieuse, impliquant plus de parties prenantes (SOC, RPCA, Résilience, Infra, CISO, ComEx, Tiers, …), elle peut gagner sa légitimité par une évaluation empirique préalable des moyens : 

  1. Evaluez l’état actuel de votre niveau de préparation en adoptant une approche centrée sur la faisabilité des huit piliers.  
  2. Etablissez une cible de maturité à atteindre et une feuille de route dont vous saurez rendre compte dans le temps de manière empirique. 
  3. Partagez enfin à vos équipes dirigeantes une vision plus robuste de votre maturité en gestion de crise.  

Une telle approche, plus empirique, plus personnalisée permettra non seulement d’identifier des manques capacitaires mais surtout de s’entrainer véritablement aux actions qui seront indispensables au moment du pire.  

Article précédent Gardez le contrôle de vos développements externes
Article suivant RECONSTRUCTION D'ACTIVE DIRECTORY : COMMENT SE DONNER LES MOYENS D'Y PARVENIR ?

Sur le même thème

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Back to top