[PDF] Crise dorigine cyber les clés dune gestion opérationnelle et

View - Download Crise dorigine cyber les clés dune gestion opérationnelle et

Previous PDF

Next PDF

CRISE D'ORIGINE CYBER

COLLECTION

GESTION DE CRISE CYBER

LES CLÉS D'UNE GESTION

OPÉRATIONNELLE

ET STRATÉGIQUE

2 3

CRISE D'ORIGINE CYBER

LES CLÉS D'UNE GESTION

OPÉRATIONNELLE ET STRATÉGIQUE

GUIDE

COLLECTION

GESTION DE CRISE CYBER

4

SOMMAIRE

Éditorial ...............................................................................................................

Introduction

Présentation du guide........................................................................ À quoi sert-il ? ........................................................................

À qui s'adresse-t-il ?

......................8

Quel sont les prérequis pour l'utiliser ?

.................8

Comment l'utiliser ?

......................8 Les enjeux de la préparation à la gestion d'une crise d'origine cyber ....10

Qu'est-ce qu'une crise cyber ? ........................................................................

...................................10

Les spécificités de la crise cyber

..............................10 PARTIE 1 : SE PRÉPARER À AFFRONTER UNE CRISE CYBER .........13

Fiche 1 : connaître et maîtriser ses systèmes d'information........................................14

Fiche 2 : mettre en place un socle de capacités opérationnelles garantissant un niveau adapté de résilience numérique Fiche 3 : formaliser une stratégie de communication de crise cyber ..................20 Fiche 4 : adapter son organisation de crise au scénario cyber .................................22 Fiche 5 : préparer ses capacités de réponse à incident Fiche 6 : mettre en place des polices d'assurance adaptées .....................................28 Fiche 7 : s'entraîner pour pratiquer et s'améliorer

PARTIE 2 : RÉAGIR EFFICACEMENT EN ADOPTANT

DE BONNES PRATIQUES

.....................................33

Phase 1 :

alerter, mobiliser et endiguer ........................................................................

............36

Fiche 8 : activer son dispositif de crise cyber ........................................................................

37

Fiche 9 : piloter son dispositif de crise

................39 Fiche 10 : soutenir ses équipes de gestion de crise

Fiche 11 : activer ses réseaux de soutien

............43

Phase 2 :

maintenir la confiance et comprendre l'attaque .................................45

Fiche 12 : communiquer efficacement ........................................................................

...............46

Fiche 13 : conduire l'investigation numérique

Fiche 14 : mettre en place un mode de fonctionnement dégradé pour les métiers impactés

Phase 3 :

relancer les activités métiers et durcir les systèmes d'information 55

Fiche 15 : durcir et remédier ........................................................................

Fiche 16 : préparer et industrialiser la reconstruction 5

Phase 4 :

tirer les leçons de la crise et capitaliser ..........................................................61

Fiche 17 : organiser sa sortie de crise ........................................................................

...................62

Fiche 18 : tirer les leçons de la crise

.......................64

Annexe 1 - Boîte à outils de gestion de crise cyber .....................................................67

Annexe 2 - Objectifs de la gestion de crise cyber ........................................................68

Glossaire

Ressources utiles

6 C ommençons par une pointe de provocation. Je pourrais dire qu'il y a deux types d'organisations : celles qui ont déjà été victimes d'une cyberattaque et celles qui ne tarderont sans doute pas à l'être. Ces dernières années, de nombreuses organisations ont investi massivement dans la protection et la défense de leurs systèmes d'information et de leurs services numériques. Le risque cyber est ainsi de mieux en mieux considéré. C'est une excellente chose pour notre sécurité collective ! Mais pour assurer leur résilience, les organisations doivent se dire que ces efforts ne suffisent pas toujours... Et bel et bien se préparer à la possibilité d'une attaque. Aujourd'hui, le vol de données, la paralysie partielle ou totale des services numériques ont des impacts opérationnels, juridiques, financiers ou réputationnels critiques. On ne peut pas improviser des réponses en plein milieu d'une catastrophe ! La préparation, l'outillage et l'entraînement sont indispensables pour maintenir l'activité en cas d'attaque informatique. Et pas seulement au niveau des experts cyber, mais bien de façon transverse au sein de l'organisation en associant les directions métier, les dirigeants et les employés. Ce guide, fruit de l'expérience d'agents de l'Agence nationale de la sécurité des systèmes d'information (ANSSI) et des membres du Club des directeurs de sécurité et de sûreté des entreprises (CDSE), vous aidera à faire de la gestion de crise cyber un véritable pilier de votre stratégie de résilience. J'achève mon propos avec des remerciements pour Bouygues Construction, l'Hôpital Nord-Ouest de Villefranche-sur-Saône et CMA CGM. Victimes de cyberattaques, ces organisations nous ont partagé leur expérience pour illustrer les recommandations de cette publication et permettre à ses lecteurs d'appréhender concrètement la gestion de crise cyber. Merci de nous avoir offert ces précieux témoignages !

Guillaume Poupard

Directeur général de l'ANSSI

ÉDITORIAL

7 S e préparer et réagir efficacement... Cette approche présentée dans ce guide pourrait être l"un des leitmotivs du CDSE. Il est vrai que la menace cyber s'est intensifiée, avec des attaques plus nombreuses, plus sophistiquées, plus redoutables. Il est aussi vrai que la cybersécurité n'est pas toujours la priorité des organisations, alors qu'il est indispensable de toujours rester en alerte et d'y consacrer des moyens importants. Mais, dans cet océan de doutes et de vulnérabilités, il existe au moins une certitude : la diffusion de bonnes pratiques, relayées par les directeurs de la sécurité-sûreté et les experts de la sécurité des systèmes d'information des entreprises, permet d'anticiper la propagation d'un virus informatique avec plus de calme et de sérénité. Sur le plan de la souveraineté numérique française et européenne, les prestataires de services et les fournisseurs de solutions numériques prennent aujourd'hui conscience que l'heure est venue de passer à l'action. Ils savent désormais que le prix, les fonctionnalités et l'ergonomie de leurs solutions doivent être au niveau de leurs concurrents étrangers. On peut donc se réjouir que les champions nationaux du numérique, les PME et les startups françaises constituent désormais un grand " tous ensemble cyber », qui gagnera ses parts de marché seulement s'il est performant et compétitif. Face à l'adversité et à la croissance exponentielle de la menace cyber, il nous faut nous doter d'un bouclier protecteur et nous bâtir une sécurité numérique robuste. Les recommandations émises dans ce guide s'inscrivent dans une stratégie d'anticipation plus globale qui permettra la mise en place de cette protection. Pour se préparer et réagir efficacement, la lecture de ce guide est donc de salubrité publique !

Stéphane Volant

Président du CDSE

Présentation du guide

À quoi sert-il ?

Face au caractère déstabilisateur des crises d'origine cyber, ce guide a pour objectif de partager les bonnes pratiques et les recommandations utiles à toute organisation, pour d'une part, bien se préparer et d'autre part, gérer la crise étape par étape. Ces recommandations s'inspirent de retours d'expérience d'organisations, publiques comme privées, ayant été ciblées par une cyberattaque et qui ont partagé avec l'ANSSI les difficultés et succès de leur gestion de crise. La gestion d'une crise cyber implique nécessairement des préoccupa- tions techniques, incluant les volets cyber et technologique permettant le retour à un état de sécurité optimal, mais aussi des préoccupations plus stratégiques, incluant notamment le maintien de l'activité des métiers affectés par la crise. Pour permettre aux parties prenantes d'appréhender ces différentes préoccupations et de faciliter la prise de décision, ce guide propose des conseils pour chaque approche.

À qui s"adresse-t-il ?

Ces recommandations sont destinées à des fonctions spécifiques mais complémentaires dans le processus décisionnel de la gestion d'une crise cyber : dirigeants, responsables de la sécurité, gestionnaires des risques, responsables de la continuité d'activité ou de la gestion de crise, responsables du numérique, de la sécurité des systèmes d'infor- mation, directions métiers, fonctionnaires de sécurité et de défense, toute autre personne amenée à être mobilisée dans le cadre d'une gestion de crise cyber. 8

INTRODUCTION

Quels sont les prérequis pour l"utiliser ?

Ce guide s'appuie sur l'hypothèse que l'organisation s'est préalable- ment dotée d'un dispositif global de maîtrise du risque numérique incluant les volets de gouvernance, de protection et de défense de ses systèmes d'information - ou SI - (ségrégation des réseaux, solutions de cybersécurité, sauvegardes déconnectées, outils de détection et de protection, équipes techniques dédiées, etc.) lui permettant de disposer d'un socle de sécurité résistant et adapté aux risques cyber pesant sur ses activités. Il admet également qu'il existe au sein de l'organisation un dispositif général de gestion de crise et des outils dédiés à la gestion des impacts 1 (moyens d'alerte, salle de crise, dispositif opérationnel et décisionnel, outils de conduite, plan de continuité et de reprise d'acti- vité, etc.) contribuant à la résilience de l'organisation. Le Guide d'hygiène informatique et le guide Maîtrise du risque numérique proposés par l'ANSSI constituent des références pour la sécurisation des SI et leur résilience 2

Comment l"utiliser ?

Ce guide propose d'adapter des outils et des dispositifs de gestion de crise au scénario cyber. Les recommandations présentées peuvent être dissociées en fonction des volets impliqués (volets " stratégique » et " opérationnel cyber et IT »), dans la mesure où leurs objectifs de gestion de crise sont différents. Il se concentre sur des éléments jugés essentiels à la réponse de crise et n'a pas vocation à être exhaustif. 9

1. La famille des normes AFNOR autour de la résilience sociétale et plus particulièrement la norme ISO 22301:2019 sur le mana-

gement de la continuité d'activité et la norme ISO 22320:2018 sur le management des incidents constituent des références pour la

Les enjeux de la préparation à la gestion

d'une crise d'origine cyber

Qu"est-ce qu"une crise cyber ?

Une crise " d'origine cyber » se définit par la déstabilisation im médiate et majeure du fonctionnement courant d'une organisation (arrêt des activités, impossibilité de délivrer des services, pertes financières lourdes, perte d'intégrité majeure, etc.) en raison d'une ou de plu- sieurs actions malveillantes sur ses services et ses outils numériques 3 (cyber attaques de type rançongiciel, déni de service, etc.). C'est donc un évènement à fort impact, qui ne saurait être traité par les processus habituels et dans le cadre du fonctionnement normal de l'organisation. Par convention, on parlera par la suite de " crise cyber ». Les événements accidentels, c'est-à-dire ne résultant pas d'une acti- vité malveillante sur les SI, et les actions malveillantes n'entraînant pas l'interruption immédiate et majeure des services essentiels de l'organisation sont par conséquent exclus du périmètre de définition. Néanmoins, les recommandations du guide peuvent être utilisées comme bonnes pratiques pour faire face à ces situations. En comparaison à d'autres scénarios de crise, les crises cyber ont des caractéristiques propres qu'il est important d'appréhender : une double temporalité, avec des impacts immédiats et une re- médiation longue pouvant s'étendre sur plusieurs semaines, voire plusieurs mois ; une absence d'unicité de lieu de réalisation, qui sous-entend une potentielle propagation à d'autres organisations en raison de l'inter- connexion des SI ; 10

3. Auxquels sont associés les systèmes d'information de l'organisation et ceux de ses prestataires.

une menace s"adaptant aux mesures d"endiguement et de remé- diation ; une incertitude concernant le périmètre de la compromission ; une complexité pour comprendre les objectifs de l"attaquant et attribuer l"origine de l"attaque. L"acculturation des équipes décisionnelles aux questions cyber doit faciliter à la fois la bonne compréhension des implications concrètes de la crise cyber sur l"activité de l"entité et l"intégration du volet opération nel au dispositif de crise. ? Les premières alertes ont été remontées par les pays étrangers très tôt le matin. Lorsque nous avons perdu la supervision centrale, nous avons décidé de couper le SI à l'échelle mondiale

Une cellule de crise

ad hoc a été mobilisée et plusieurs centaines de personnes étaient impliquées directement dans la résolution de l'incident. ?

Bouygues Construction

? L'alerte a rapidement été donnée par l'astreinte informatique et nous a permis de nous rendre au datacenter pour couper les SI et stopper la propagation de l'attaque. Par la suite, les médecins ont dû reprendre un mode de gestion totalement papier pour assurer le suivi des patients. ? L'Hôpital Nord-Ouest - Villefranche-sur-Saône ? Dès les premières alertes remontées par nos équipes en Asie, nous avons déclenché notre plan de réponse à incident et créé une cellule de crise. La décision de couper le SI a rapidement été prise pour stopper la propagation, déterminer l'impact et démarrer les investigations. Les équipes cyber, IT et métiers se sont mobilisées pour rapidement redonner accès aux fonctions essentielles du groupe. ?

CMA CGM

11 13

PARTIE 1

Les déséquilibres qu'implique une crise cyber forcent les organisations à s'adapter et à fonctionner de manière inhabituelle. Ces bouleversements soudains et à l'échéance incertaine sont une source de stress et compliquent la prise de décision, alors même que des actions de remédiation doivent être décidées et exécutées rapidement pour limiter les impacts. Une gestion de crise nécessite donc une bonne préparation via la mise en place de processus et d'outils éprouvés. L'objectif est de gagner en fluidité et d'adopter des automatismes qui permettront de réagir efficacement sur le temps long et de redonner confiance aux équipes et à l'écosystème concernés directement ou indirectement par les conséquences de l'incident. Cette première partie a pour but d'aider les entités à construire une organisation de crise résiliente, permettant de limiter les impacts de la crise cyber, de maintenir la confiance de l'écosystème, de prioriser et de conserver en mode dégradé les activités critiques affectées. Plus concrètement, il propose des conseils pratiques pour adapter les dispositifs et les outils de gestion de crise (cellule de gestion de crise, moyens logistiques dédiés, plans de réaction et de continuité d'activité, etc.) aux spécificités des impacts de la crise cyber.

SE PRÉPARER

À AFFRONTER

UNE CRISE CYBER

14 L"enjeu premier de toute équipe de gestion de crise est de pouvoir évaluer l"étendue des impacts de l"évènement sur le périmètre de l"organisation. Dans le cadre d"une crise cyber, il est ainsi essentiel de pouvoir identi- fier et caractériser le périmètre de compromission, soit le chemin pris par l"attaquant pour s"introduire et se propager dans les SI, ainsi que l"impact d"une attaque sur les services numériques et la continuité des activités métiers de l"entité. Au minimum, il est conseillé de disposer des éléments suivants pour permettre aux équipes techniques (cyber et IT) de réaliser ces investigations 4 une liste des applications et des services critiques rendus par l"orga- nisation ; une cartographie des systèmes sur lesquels les services métiers cri- tiques reposent et sont reliés entre eux ; une cartographie des périphériques des SI ; une liste des interdépendances des SI entre les métiers et les partenaires extérieurs (partenaires, sous-traitants, infogérants, etc.) ; une cartographie des parties prenantes avec les points de contact (en particulier si une partie des SI est en sous-traitance) 5 une liste des moyens de supervision et de détection et leur périmètre ; une politique de rétention des journaux/logs applicatifs et réseaux ; une matrice des flux d"information ; les architectures des réseaux et des éléments fonctionnels, permettant de faire le lien entre les SI et les processus métiers.

FICHE 1

CONNAÎTRE ET MAÎTRISER

SES SYSTÈMES D'INFORMATION

4. L'utilisation du guide

Cartographie du système d'information

est préconisée pour cette action :

5. L'utilisation de l'atelier 3 de la méthode Ebios Risk Manager est préconisée pour cette action :

? Il est indispensable d'avoir une vision à jour des actifs numériques, dont ceux liés aux activités critiques ou hébergeant des données sensibles ou réglementées. Cela permet de prioriser les actions quand on ne peut pas tout sauver ou isoler. Il est aussi important de savoir quels collaborateurs gèrent quels systèmes, car ils sont souvent les seuls à pouvoir intervenir avec précision. Enfin, connaître ses clients et ses partenaires permet de communiquer avec eux en cas de panne ou de problème de sécurité. ?

CMA CGM

15 VOLET STRATÉGIQUEVOLET OPÉRATIONNEL CYBER ET IT

OBJECTIF 1

Cartographier ses applications

et ressources métiers critiquesCartographier ses SI

RECOMMANDATIONS

Une cartographie des services,

des applications et des activités critiques, ainsi que des données essentielles est à jour et sauvegardée hors-ligne pour d'identifier les actifs à protéger et à surveiller en priorité et/ou à relancer en cas de crise.

Le bilan d'impact sur l'activité

peut être utilisé pour faciliter l'identification des ressources critiques de l'organisation.

Une liste des services critiques et

des applications associées est au minimum disponible hors ligne.Une cartographie des principaux actifs technologiques et leurs dépendances est à jour et sauvegardée hors ligne pour faciliter les investigations numériques.

En cas d'externalisation de tout ou

partie des services numériques, une cartographie avec les interconnexions est à jour et disponible hors ligne.

Des contacts d'urgence des

prestataires sont disponiblesquotesdbs_dbs31.pdfusesText_37

[PDF] Commune de MÉZIRÉ Plan Local d Urbanisme. La population, l urbanisation et l habitat

[PDF] Guide pratique. Des conseils pour vous aider, des contacts pour vous accompagner

[PDF] TIREZ LE MAXIMUM DE VOTRE ERP. Retour sur les nouveautés principales des versions 9.4 à 10.2

[PDF] OPEN. Enseignements de la campagne 2011. Observatoire Permanent de l aml lioration ENergétique du logement ARTISANS & ENTREPRISES

[PDF] DIAGNOSTIC DES EMISSIONS DE GAZ A EFFET DE SERRE

[PDF] Modalités d accès. Références réglementaires

[PDF] L e ministre de la Culture et de la Communication a lancé le label «Maisons des Illustres» le 13 septembre 2011.

[PDF] Le Bilan de Compétences

[PDF] BULLETIN OFFICIEL DES ARMÉES. Édition Chronologique n 19 du 28 avril 2016. PARTIE PERMANENTE Administration Centrale. Texte 1

[PDF] ÉNONCÉ OPÉRATIONNEL 5.3 RÉDIGER LES GRILLES D ÉVALUATION DES APPRENTISSAGES EN ENTREPRISE.

[PDF] 23 e CAMION CROSS DE ST JUNIEN. 29 & 30 Août 2015

[PDF] Outil de gestion d'inventaire et d'incidents

[PDF] MANUEL D UTILISATION DE L ESPACE PERSONNE PUBLIQUE

[PDF] LES RESSOURCES DU RÉSEAU CERTA. Sciences de gestion

[PDF] Règles de gestion presse