Définir les ambitions et cadrer la gouvernance

Le bilan cybersécurité et son benchmark ont permis de positionner le niveau de sécurité actuel de l’organisation, reste maintenant à définir la cible à atteindre et les moyens nécessaires pour le faire. S’engage alors un travail avec les équipes cybersécurité, de la DSI et évidemment du sponsor de niveau comité exécutif ! La cible peut prendre de nombreuses formes mais elle doit dans tous les cas répondre à des enjeux métiers clairs et concrets. « Disposer globalement d’un niveau de sécurité au-dessus de la moyenne pour éviter les attaques les plus fréquentes », « Protéger les données des clients grand-publics », « Assurer la reprise de la production des usines en moins de 4 jours en cas de cyberattaques », pour des structures plus mûres « Rationaliser les investissements cyber en dégageant 20% d’économie à niveau de risque égal » voici quelques exemples d’ambitions rencontrées sur le terrain. C’est au moment de cette définition de la cible que l’on peut adopter une approche basée sur les risques, par exemple avec des cibles différentes entre les métiers ou les entités ; une approche réglementaire en ayant des niveaux différents en fonction des contraintes métiers ou une approche globale.

Chaque cible fera l’objet d’indicateurs de performances ou de risques (KPI/KRI) pour concrétiser la manière dont l’avancement sera mesuré. Ces ambitions sont ensuite traduites en un positionnement concret sur un référentiel de cybersécurité, par thématique et par périmètre. Le plus simple consiste évidemment à reprendre les résultats du benchmark précédent mais l’utilisation d’un autre référentiel est possible. Attention, cependant il va être utilisé pendant toute la durée du programme pour suivre le progrès et piloter les différentes équipes et entités, prévoyez donc une durée de vie d’au moins 2 ans ! La définition du référentiel et des indicateurs est une étape clé pour réussir son programme, prévoyez d’y consacrer du temps, il ne s’agit pas de lancer immédiatement plein de projets techniques sans y mettre la cohérence nécessaire.

Pour le pilotage de ce programme, le RSSI devra savoir s’entourer. Les filières SSI ont rarement l’expérience de porter de telle transformation et des enjeux budgétaires de ce niveau. Une bonne pratique consiste à identifier au sein de l’organisation un directeur de programme expérimenté, habitué aux rouages de l’organisation et à créer un binôme avec le RSSI. Les compétences des deux profils se compléteront naturellement, d’un coté avec l’expertise sécurité, de l’autre avec l’expertise de pilotage d’ampleur. Le choix du binôme est aussi un facteur clé de succès important, n’hésitez pas à y consacrer du temps !

Construire les budgets sur des axes clairs et savoir engager les dépenses

Après avoir reçu l’accord de principe, il faut maintenant structurer clairement l’engagement budgétaire à prévoir. A nouveau, l’enjeu majeur dans la relation avec le comité exécutif sera de faire une proposition claire et précise. Les acronymes, code projets et autres termes abscons sont à bannir. La structure d’une stratégie simple « Protéger l’environnement de travail numérique », « Chiffrer et éviter les fuites des données critiques », « Détecter les attaques sur nos actifs clés » sont quelques exemples de termes utilisés avec succès. La structuration d’un programme autour de 4 ou 5 axes, regroupant une trentaine de projets est un maximum à avoir en tête. Au-delà le reporting et le suivi deviendront trop complexes.

A noter qu’il faudra se rompre à l’exercice budgétaire évidemment sur les actions de construction (« build ») mais aussi sur les coûts additionnels de fonctionnement (« run ») sans cela, la belle remédiation ne tiendra pas longtemps… L’identification également des éléments RH (nombre de recrutements/mobilités, formations à prévoir, évolution salariale, évolution des relations hiérarchiques dans les entités ou les filiales…) sont des éléments clés à cranter dans le programme pour s’assurer de sa pérennité dans le temps. C’est clairement le bon moment pour créer une vrai filière cyber dans l’organisation et la faire piloter par un « Chief operating officer » comme toute filière majeure.

La préparation de ces différents éléments budgétaires devra également prendre en compte la difficulté observées depuis maintenant plusieurs années à pouvoir engager les budgets obtenus. Le marché est en manque criant d’expertise cyber et beaucoup de projets doivent être décalés dans le temps. Il est bon de prendre une marge de manœuvre dans le cadrage des plannings pour intégrer cette situation qui va perdurer. La temporalité d’un programme classique « année 1 cadrage, année 2 réalisation, année 3 contrôle » doit être revue pour plutôt fonctionner par vague de projets de plus petite taille et enclenchée au fil de l’eau. En résumé, il vaut mieux avoir 5 vagues de 5 projets qui aboutissent plutôt que de lancer 25 cadrages simultanément !

A noter également que ces budgets et les priorités vont devoir être revus annuellement, la menace cyber étant très dynamique, il est important de garder des lignes budgétaires souples pour s’adapter à une évolution de la menace inédite comme nous en avons connu ces dernières années.

Montrer le progrès au comité exécutif !

Une fois le programme lancé, l’enjeu sera de montrer au comité exécutif l’avancement et les effets sur les niveaux de risques. Un reporting clair, utilisant des termes simples et lié au référentiel utilisé, ajoutant une vision sur l’avancement des projets et la progression du niveau de risque, doit être prévu de manière trimestrielle voir semestrielle. Pour cranter directement le passage en mode régulier de ce reporting, il pourra être intéressant d’ajouter des indicateurs opérationnels liés au niveau de sécurité. L’enjeu étant à terme de garder un échange au moins semestriel avec le comité exécutif pour maintenir le niveau d’attention sur le sujet cyber. Ces échanges dans la durée peuvent s’articulier avec deux rendez-vous annuels, un autour des risques (évolution de la menace et des risques pesant sur l’organisation), l’autre sur les investissements (effets de projets, enjeux budgétaires et RH de l’année suivante).

Finalement, les structures les plus avancées et celles dont le cœur de métier reposent sur le numérique, peuvent envisager d’utiliser leurs investissements en cybersécurité comme des différenciateurs métiers ! Aujourd’hui les exigences cybersécurité des clients, grand public comme professionnels, augmentent rapidement et il est possible, voire souhaitable, de valoriser les investissements réalisés pour montrer que le sujet de la cybersécurité est une priorité de l’organisation ! Et pour certaines structures, la cybersécurité pourra même devenir un centre de profits, ce qui changera clairement les discussions avec le comité exécutif.

Cet article Créer une relation de confiance avec son comité exécutif : étape 3, concrétiser la transformation ! est apparu en premier sur RiskInsight.

Pour transformer, il faut savoir d’où l’on part…

Avant toute transformation, il est important de définir le point de départ et de partager les constats avec le comité exécutif. L’utilisation de standards internationaux pour s’évaluer est évidemment la base, l’ISO 27001/2 et le NIST CSF sont les deux références internationales : l’une plutôt européenne, l’autre plus anglo-saxonne.

Mais ce qui comptera le plus aux yeux des dirigeants, c’est un benchmark basé sur la posture de leurs concurrents et du marché dans lequel il se situe. A ce titre, nous avons développé chez Wavestone, un outillage spécifique et construit une base de comparaison qui regroupe actuellement plus de 50 grandes organisations, majoritairement internationales et basées en Europe. La qualité de cette base est essentielle pour convaincre les dirigeants, qui lors des debriefings demanderont, avec précision et souvent beaucoup de prise de recul, ce qui est fait ailleurs.

Premier élément clé d’une évaluation : poser les bonnes questions et obtenir des réponses utiles ! Dans une grande organisation, il est complexe d’évaluer finement le niveau de conformité aux règles de sécurité. L’utilisation d’une simple notation, sur une échelle classique de maturité – de 1 à 4 par exemple – atteint rapidement sa limite. Ce que nous avons choisi de faire et qui a fait ses preuves sur le terrain, c’est de répondre aux questions en exprimant un pourcentage de périmètre couvert. Par exemple,  il est possible d’avoir 80% des postes de travail avec un anti-virus simple et 20% avec un outillage moderne type EDR. La même approche est réplicable sur les questions plus organisationnelles, 50% des utilisateurs sensibilisés par l’envoi d’emails, 30% par le suivi d’un webinar et 20% par des séances en présentiel.

Dans l’inconscient collectif, cette phase d’interrogations paraît souvent longue et très consommatrice d’énergie. Elle peut en effet l’être si l’on souhaite un fort niveau de détail, la collecte de preuves ou des vérifications techniques : cela peut être utile lorsque l’organisation a déjà un fort niveau de maturité. Mais au début d’une démarche, une approche plus simple et efficace, typiquement sur une période courte d’un mois avec une charge d’une vingtaine de jours peut être suffisante pour se donner une vision concrète de la situation et suffisamment d’arguments pour obtenir des décisions et lancer le changement.

Durant la phase de préparation, il sera également important d’identifier en amont les attentes du comité exécutif. Echanger avec les membres les plus concernés autour de leurs attentes, recueillir leur avis sur la bonne manière d’aborder le sujet et les priorités de l’organisation sera essentiel pour garantir la pertinence des phases de questionnement et de restitution. Rien de pire que de faire un hors sujet le jour de la restitution !

… Et partager la réalité de la situation

Après la phase de collecte, viendra ensuite l’heure de l’analyse des résultats. Notre retour d’expérience montre qu’il est efficace de combiner plusieurs vues pour donner du sens et obtenir de l’engagement. Les classiques rosaces de conformité à l’ISO ou au NIST sont évidemment des incontournables mais s’avèrent souvent peu efficaces : trop d’axes, trop d’éléments mélangés qui donnent finalement toujours des notes moyennes.

Comme évoqué dans le billet précédent, deux indicateurs feront mouche au début de l’échange : le budget dédié à la cybersécurité et les effectifs mobilisés sur la cybersécurité. L’indicateur de budget est toujours délicat à manipuler (forte variation annuelle et méthode de comptabilisation non homogène), nous préférons souvent utiliser celui des effectifs plus stables et plus fiables). Ensuite, il est selon nous efficace de dérouler l’analyse sur 3 axes :

• Le 1^er, c’est la résistance de l’organisation aux dernières attaques connues. Elément clairement le plus efficace en debriefing avec le comité exécutif, il permet aussi d’attirer l’attention au début de la restitution. Pour réaliser cette vue, nous utilisons les retours opérationnels du CERT-W pour savoir quelles sont les dernières méthodes d’attaques des cybercriminels et nous réalisons une analyse des mesures qui sont concernées.
• Le 2^ème, c’est la posture face au marché, en croisant le niveau de conformité par rapport aux référentiels internationaux (type : « je vise 75% de conformité à l’ISO ») avec l’écart à la moyenne du marché pour l’organisation concernée (« sur la sécurité du poste de travail, je suis 3 points en dessous du marché. Sur la sécurité physique, je suis 2 points au-dessus »). Croiser ces deux axes permet d’identifier les zones prioritaires (celles où vous êtes en dessous des standards internationaux mais aussi en dessous du marché) de celles où il ne faut pas s’acharner (tout le marché est en dessous des référentiels internationaux, mais vous êtes au-dessus de la moyenne du marché).
• Le 3^ème, c’est une vue orientée « acteurs » de la transformation, organisée par les grandes entités qui seront en charge de la transformation (par exemple : au sein de la DSI, le réseau, les postes de travail, les serveurs, au sein de la direction des risques…). Cette vue est très utile pour conclure l’échange car elle met dans l’action et permet de montrer qui va devoir le plus s’investir.

Bien sûr, ces différentes vues peuvent être segmentées en fonction des pays ou des grandes unités organisationnelles pour refléter d’éventuelles disparités ou attentes de la direction.

Dans cette phase de restitution, notre retour d’expérience montre que les comités exécutifs sont de plus en plus sensibles aux sujets liés à la cybersécurité et vont poser des questions très précises et concrètes. Il faut donc s’armer de preuves et d’éléments factuels concernant l’organisation. Avoir à disposition des résultats d’audits récents, de chiffres concrets sur la durée requise pour réussir une intrusion voire même des vidéos de démonstration d’attaques peut faire basculer un comité exécutif qui prendra conscience du risque.

Entamer dès maintenant l’étape 3: la transformation de l’organisation

Décrire la situation, les difficultés et les axes de progression ne doit pas être une fin en soi. Il faut préparer des premiers arguments sur la conduite du changement. Qui doit porter la transformation ? Quelles sont les volumes financiers à prévoir ? Quel planning envisager ? Quel reporting effectuer ? Et surtout quel sponsor dans le comité exécutif pour suivre ce sujet ! Sans être une partie formelle de la restitution, amener ces éléments à la fin de l’échange permet de préparer l’étape suivante et de collecter des premières orientations.

Ces questions sont évidemment très dépendantes de l’organisation mais nous voyons des tendances se dessiner. Aujourd’hui, c’est majoritairement le RSSI au sein de la DSI qui porte la transformation, souvent épaulé par un directeur de programme expérimenté connaissant bien la structure. Concernant les budgets, pour des programmes de remédiation majeurs, les sommes oscillent dans le secteur financier entre 200 et 800 millions d’euros, et dans l’industrie entre 50 et 100 millions. Ces sommes sont engagées usuellement sur des programmes de 2 ou 3 ans et sont suivies par le comité exécutif à l’échelle trimestrielle au lancement puis un rythme semestriel peut être pérenniser.

Pour conclure la session, le plus important reste de définir la prochaine étape. Même si toutes ces restitutions n’amènent pas le lancement de programme d’investissement immédiatement, il peut être utile d’évoquer que la revue des risques prend en compte ces résultats ou proposer la réalisation d’un benchmark à nouveau l’année suivante.

Cet article Créer une relation de confiance avec son comité exécutif : étape 2, concrétiser la posture de l’organisation et expliciter les axes d’actions est apparu en premier sur RiskInsight.

Après avoir réalisé plusieurs dizaines d’interventions auprès de comité exécutif, de comités d’audit ou de conseil d’administration, je souhaitais partager avec vous les étapes essentielles pour faire progresser la relation dans la durée. La première phase de ce voyage devra permettre de créer un premier contact et à sensibiliser le comité exécutif aux enjeux de cybersécurité. Première étape, la sensibilisation ! L’objectif pour ces séances est souvent d’arriver à attirer l’attention pour pouvoir déclencher une réflexion plus approfondie dans l’organisation. Nous verrons plus tard les étapes suivantes : présenter un bilan, obtenir un budget, suivre la progression du niveau de sécurité…

Un pré-requis essentiel, savoir d’où l’on part et avec qui l’on va échanger !

Cela peut apparaitre comme un poncif, mais cet élément est certainement le plus important avant d’aller rencontrer un comité exécutif ou un conseil d’administration. Grâce à sa large couverture médiatique, le sujet de la cybersécurité est souvent déjà présent dans l’esprit des exécutifs. Mais leur degré de connaissance du numérique et leur niveau d’appétence pour le sujet peuvent changer complètement la manière d’aborder le sujet. Faudra-t-il être très didactique (en allant jusqu’à réexpliquer le principe de données, d’applications, si si) ou alors faudra-t-il tout de suite aborder des points complexes comme les dernières attaques observées et leurs méthodologies ? Vous seriez surpris de voir la diversité des niveaux entre les entreprises, mais aussi au sein d’un même COMEX. Et il est nécessaire d’intéresser chacun des acteurs, au prix d’avoir des commentaires peu amènes pendant l’intervention.

Il s’agit donc de bien préparer cette première réunion en échangeant avec d’autres membres du COMEX, leurs adjoints ou avec des personnes familières de cette enceinte pour déterminer le ton à adopter et le niveau du discours à tenir. Evidemment, les règles de fonctionnement devront aussi être connues : est-il courant que les questions soient posées au fil de l’eau ? Peut-on interpeller un membre ? Doit-on évoquer dès le début les sujets relatifs à l’entreprise ? Prévoyez de déminer le terrain en amont ! Et même s’il n’y a pas de recette parfaite, je vous livre ci-dessous les éléments que j’utilise le plus souvent pour faire de ces rencontres des moments utiles et efficaces.

Pour commencer, attirer l’attention en dévoilant les coulisses d’une attaque

Les sujets s’enchaînent rapidement durant les COMEX, les directeurs réfléchissent très très vite, il faut donc très rapidement être dans le concret et donner de la matière à réflexion, du vécu. L’élément que je trouve le plus efficace consiste à présenter une attaque récente, parue dans la presse ou ayant touché le secteur, et en décrypter les enjeux et les coulisses : quelle temporalité ? quelle motivation pour les attaquants ? quelles faiblesses dans l’entreprise ? quelle réaction en interne ? publique ? avec les autorités ? Cela aura pour effet de projeter mentalement les directeurs concernés dans leur rôle s’ils vivaient la même chose. Nous avons la chance chez Wavestone de gérer fréquemment des grandes crises cyber et nous utilisons ces éléments, à la fois sous forme de benchmark mais aussi en les anonymisant ou en accord avec les victimes, pour donner un sens très concret à nos retours d’expérience.

Enchaîner avec une généralisation sur la cybercriminalité

Une attaque, c’est bien mais ça n’explique pas tout ! Il s’agit après avoir zoomé sur un cas de le généraliser en expliquant quels sont les ressorts du fonctionnement de la cybercriminalité. Nous analysons alors les motivations des groupes criminels, leurs organisations, mais aussi et peut être surtout comment ils gagent de l’argent !

Expliquer concrètement où en est l’entreprise

C’est le bon moment pour présenter la posture IT de l’entreprise et son organisation actuelle en terme de sécurité. Il s’agit alors de la présenter simplement, avec des images claires et parlantes : êtes-vous plutôt dans un modèle « château fort » à l’ancienne ? Ou avez-vous déjà ouvert vos portes suite à la transformation numérique et avez-vous adopter un modèle porche de l’aéroport ou la sécurité est renforcée plus on va vers des systèmes critiques ? Cela permettra de concrétiser la situation.

Après cette phase de mobilisation et d’explication, vient naturellement la phase d’interrogation par les membres du comité exécutif. « Mais alors nous, nous en sommes ou face à ce risque de cyberattaque ? ». Face à cette question, soit vous avez la chance d’avoir un bilan de maturité fin et vous pouvez tout de suite le présenter, soit vous pouvez amener des premiers éléments qualitatifs voire quantitatifs partiels et expliquer qu’aujourd’hui vous avez besoin d’avoir plus de visibilité. Les éléments qui parlent sont les derniers rapports d’audits, les derniers incidents, des éléments budgétaires.

 

S’il est difficile au début de la démarche de parler budget et de se comparer car les données manquent, il est possible d’utiliser un indicateur simple et efficace, celui de vos effectifs dédiés à la cybersécurité. Nous disposons d’une base de données sur ce point et nous pouvons rapidement montrer à un COMEX où il en est rien que par sa mobilisation sur le plan RH. C’est simple et efficace pour les convaincre !

Ne pas repartir bredouille

Le risque majeur de cette sensibilisation, c’est que tout se passe bien mais que rien ne bouge ! En effet, vous pouvez avoir un message positif, « merci et rendez-vous dans un an pour une mise à jour », vous serez content mais vous n’aurez pas débloqué pour autant la situation. Il faut alors bien préparer l’étape d’après en indiquant dès cette présentation les principaux points de faiblesses ou de force ressenti et de quelle manière vous souhaiteriez les évaluer de manière plus précise.

En effet la deuxième étape est souvent la réalisation d’un bilan de maturité dédié pour bien savoir comment se positionner ! Si à ce moment, la réunion s’est déroulé, le COMEX intrigué et intéressé par le sujet voudra en savoir plus et donnera un accord de principe. Attention cela ne sera peut-être pas directement un budget, il vous renverra certainement vers le DSI ou le directeur des risques pour l’obtenir, mais vous aurez avec leur accord un levier formidable pour passer à l’étape d’après ! Rendez-vous au prochain épisode.

Cet article Créer une relation de confiance avec son comité exécutif : première étape, la sensibilisation ! est apparu en premier sur RiskInsight.

Pour ma part, je pense avoir participé à une bonne dizaine de simulations au cours de l’année dernière… mais attention : on ne parle pas toujours de la même chose ! Du simple test de processus sur table à l’entraînement du SOC/CERT jusqu’à l’exercice d’ampleur impliquant des dizaines de cellules de crise et des mois de préparation, les moyens alloués sont très disparates.

Cet article se focalise sur cette dernière catégorie : les exercices les plus ambitieux, les blockbusters du genre, l’Armageddon de la fausse attaque Cyber !  Regardons de plus près comment réussir un tel exercice… et le rendre fun et mémorable !

C’est quoi un exercice de crise type ?

S’il fallait donner quelques chiffres sur les plus grands exercices « type » organisés en France, je dirais : une journée d’exercice, 150 joueurs mobilisés, 10-12 cellules de crise sur plusieurs pays, 30 complices, 20 observateurs… et plus de 300 stimuli envoyés ! Clairement, réussir un tel événement nécessite à la fois un grand niveau de préparation et une équipe d’animation très solide le jour J pour la mise en scène finale.

Un enjeu clé : il n’y aura qu’une seule prise ! Il devient ainsi indispensable que TOUS les acteurs se prennent au jeu, que personne ne s’ennuie ou n’ait le sentiment d’être inutile, et enfin que le scénario embarque tous les participants. Imaginez la scène : personne n’a envie de mobiliser plusieurs heures des membres du COMEX pour entendre des « pas très crédible » ou « ça ne pourrait pas nous arriver dans la vraie vie » pendant le débriefing. Des mois de travail gâchés ! Préparation et animation sont donc les maîtres-mots d’un exercice.

Six mois pour se préparer

1/ Choisir le scénario d’attaque

Les premiers mois de travail sont toujours consacrés au scénario d’attaque. Ransomware, fraude ciblée, attaque de fournisseurs… le choix des armes est vaste ! Sur des exercices ambitieux, il n’est d’ailleurs pas rare de cumuler plusieurs attaques sur une seule et même crise : écran de fumée lancé par les attaquants, identification d’un second groupe pendant les investigations… on peut être créatif ! Quel que soit le scénario choisi, la clé est d’être le plus précis possible :

• Quelles sont les motivations des attaquants ?
• Quel chemin d’attaque ont-ils emprunté ?
• Quand a eu lieu la première intrusion ?

L’exercice sera long… et il vaut mieux être préparé lorsque 150 joueurs se mettent à investiguer sur une attaque pendant plusieurs heures ! Spear-phishing, waterholing, compromission de code, élévation de privilèges… bien sûr les vulnérabilités utilisées par l’attaquant fictif ne sont pas réelles, mais elles doivent être plausibles et « validées » par des complices techniques tout au long de la préparation. De même pour les impacts métier, ils convient de les revoir avec les spécialistes métier : montant de fraude à partir duquel la situation devient critique, activités critiques à cibler en priorité, clients les plus sensibles… Le choix et l’implication des complices sont essentiels, et je vous recommande vivement de les intégrer le jour J dans la cellule d’animation. Ils peuvent vous être d’une aide précieuse, et cela leur fera plaisir !

2/ Construire le script de l’exercice

Place ensuite à la construction du script, qui consiste à définir minute par minute les informations qui seront communiquées aux joueurs. Le calibrage du rythme de l’exercice est un point complexe : doit-on envoyer un nouveau stimuli toutes les 2 minutes ? Toutes les 10 minutes ? La tentation de vouloir imposer un rythme infernal est grande pour « maîtriser » le scénario mais attention à laisser suffisamment d’espace de réflexion aux cellules. Si le scénario est bien construit, il n’y aura pas de place pour l’ennui… il ne faut jamais sous-estimer la capacité des joueurs à se créer leurs propres problèmes pendant l’exercice !

Le démarrage de l’exercice est un autre point complexe : doit-on débuter directement sur une situation de crise (par exemple, activation d’un Ransomware) ou sur une simple alerte qui permettra de tester le processus de mobilisation générale ? Sur le terrain, c’est presque toujours cette deuxième option qui est choisie. Elle permet de mobiliser les équipes techniques (CERT, SOC, IT…) sur toute la durée de l’exercice, dès l’alerte, et d’inclure les cellules décisionnelles plutôt en seconde partie d’exercice. Essayez de réserver l’agenda des membres du COMEX une journée entière… vous comprendrez rapidement que c’est la meilleure solution !

3/ Préparer les stimuli

L’attaque est maintenant scénarisée, le script est prêt… il ne reste plus qu’à produire ces fameux stimuli qui seront envoyés aux joueurs tout au long de l’exercice. Rapports techniques, faux tweets, messages de clients inquiets… il s’agit d’anticiper et de produire tout ce qui peut être utile pour les joueurs.

Pour captiver, n’hésitez pas à recourir à la vidéo. En effet, rien de plus marquant qu’un faux reportage BFM relayant l’attaque en cours (logo, plateau… plus c’est réel et mieux ce sera). Et pour encore plus de réalisme, pensez à inclure dans les vidéos des personnes « connues » dans l’entreprise (message du PDG, interview d’un patron d’usine…). Idem côté technique : la durée des exercices ne permet souvent pas aux joueurs d’effectuer eux-mêmes les investigations techniques, mais ils vont en demander beaucoup aux animateurs. Rapport d’analyse de malware, extraits de journaux applicatifs, liste d’adresses IP… tout doit être prêt au maximum pour éviter la panique !

Comme indiqué en introduction, les exercices les plus ambitieux peuvent nécessiter la création de 300 stimuli pour tenir la journée et rester crédibles… cela représente beaucoup de travail !

Jour J : tout le monde en scène !

Le jour J : 5h du matin, RDV avec toute l’équipe d’animation et les observateurs pour les derniers réglages et le café. Quelques heures plus tard, les observateurs se dispatchent dans leurs cellules de crise et commencent le briefing des joueurs.

Démarrer sur de bonnes bases

Attention : pour beaucoup de joueurs, cela risque d’être leur premier exercice. Le briefing est essentiel pour éviter par exemple que…

1. Les joueurs appellent la police (la vraie…) en plein milieu de l’exercice
2. Les joueurs contactent une mailing list de 400 personnes sans préciser que c’est un exercice
3. De vrais clients soient appelés pour être rassurés
4. Un site de production soit neutralisé « par prévention »…

Oui, oui… ce sont des histoires vécues ! Pour éviter de telles situations, il est indispensable de marteler les règles du jeu lors du briefing : les joueurs doivent évidemment communiquer entre eux… mais pour contacter les parties prenantes extérieures, ils doivent passer par la cellule d’animation. Les animateurs et complices regroupés dans la cellule se retrouvent ainsi au fil de la journée dans la peau d’un client, d’un expert technique, d’un DG ou d’un régulateur… au gré des sollicitations des joueurs. Plutôt unique comme expérience !

S’appuyer sur une cellule d’animation efficace

La suite des événements dépend de l’efficacité de la cellule d’animation. Un exercice réussi comporte son lot d’improvisation le jour J. Il faut savoir réajuster les stimuli en fonction des réactions des joueurs, réagir en direct lorsqu’ils vous appellent, accélérer ou temporiser le rythme de l’exercice en fonction des informations transmises par les observateurs… bref, la partition n’est jamais figée et la cellule d’animation va être mise à rude épreuve le jour de l’exercice. Responsable des animateurs, PMO, responsable technique, responsable métier, gestion de la cellule appels… les plus grands exercices de crise disposent de cellules d’animation particulièrement professionnalisées. Imaginez : 150 joueurs qui envoient chacun un mail ou une question toutes les 5 minutes… cela représente tout de même une trentaine de réponses par minute…

Pour ma part, je préfère ne prendre aucun risque le jour J et recréer des équipes qui ont l’habitude de fonctionner ensemble et se connaissent par cœur… C’est la meilleure manière de gagner les précieuses secondes qui éviteront à la cellule d’animation de partir elle-même en crise !

Cet article Organiser un exercice de crise cyber dans une grande entreprise est apparu en premier sur RiskInsight.