Le 11 avril dernier, le Cercle européen de la sécurité des systèmes d’information organisait à Paris un débat « Crise cyber : êtes-vous vraiment prêts ? », animé par Florence Puybareau. Les conseils à retenir.
La question n’était finalement pas tant de savoir si les entreprises étaient prêtes ou non à se défendre, mais si elles savaient comment gérer la crise. Quelle procédure à suivre en cas de grosse attaque ? Comment établir un diagnostic rapidement et à quel moment déclencher l’état de « crise » ? Comment communiquer en interne ? Au public ?
Afin de s’y préparer, certaines entreprises organisent des exercices de simulation de crise. En cas de feu, les cyber-pompiers sont-ils prêts ? Ces entraînements sont parfois extrêmement poussés comme l’ont expliqué deux représentants des groupes EDF et Renault, invités à partager leur retour d’expérience.
Développer une « cyber-résilience »
En effet, le 24 janvier dernier, EDF organisait un exercice se voulant le plus réaliste possible. Près de 150 joueurs ont participé. L’objectif était multiple. L’entraînement grandeur nature veillait à tester la capacité des participants à gérer les problèmes techniques (les coupures réseaux) et organisationnels (communiquer l’incident à l’ensemble des prestataires impactés par l’attaque), mais aussi à gérer la crise face à la presse. La simulation est allée loin : un faux plateau TV jouait par exemple, une émission en parallèle, dans les conditions du direct.
Le challenge consistait à la fois à gérer la crise et communiquer sur celle-ci : « C’est difficile de concilier les deux en un temps si restreint, explique Olivier Ligneul, directeur cybersécurité du Groupe EDF. Il faut créer toutes les règles à suivre le jour venu. Former tout le monde, faire des fiches réflexes, imaginer tous les scénarii… »
De ces exercices, les entreprises en tirent des leçons utiles. Comme de réaliser qu’au sein même d’une équipe IT, les employés manquent de connaissance au sujet des bons gestes à avoir en cas d’attaque. Le premier exercice cyber de Renault remonte à 2016. Pour Charles Bruneteau, Rssi IT du groupe Renault, « il y a une importante sensibilisation à faire pour tous les acteurs de l’IT ».
Sortir de l’état de sidération
En cas de crise grave, l’Agence nationale de sécurité des systèmes d’information (ANSSI) peut être appelée à la rescousse. Vincent Desroches, chef de division adjoint à l’ANSSI, est intervenu pour rappeler l’état de sidération observé parfois lors d’une crise.
Ce phénomène est connu dans d’autres domaines que la cybersécurité. Rappelons ici l’excellent travail du chirurgien et neurobiologiste Henri Laborit, spécialiste de l’agressologie – la science qui décrypte les comportements agressifs et le passage à l’acte. Dans son ouvrage Éloge de la fuite (éd. Folio, 1976), il raconte que les femmes et les hommes, face à une agression, n’ont que trois choix : combattre, ne rien faire ou fuir. Le danger, parfois difficile à évaluer, peut paralyser la victime.
Prendre conscience que cette réaction peut se produire permet d’anticiper la riposte, dans le cadre d’une cyberattaque. Et pour cela, l’un des leviers les plus importants est la confiance. Si on est préparé à tous les scénarii possibles, on évitera cet effet de sidération.
Survivre et se régénérer
Vincent Desroches a rappelé aussi l’importance, en cas de crise cyber, de garantir la continuité des activités de l’entreprise. Même avec un contexte numérique dégradé, les entreprises doivent être capables de poursuivre leur mission malgré la cyberattaque. Le chef de division adjoint de l’ANSSI poursuit : « Lorsque le système commence à tomber, tout va très vite. On est face à une organisation parfois dépassée. Il y a une double temporalité : il faut à la fois survivre et continuer mais aussi savoir se régénérer. » Rappelons-nous, lors de l’attaque qui visait TV5 Monde en avril 2015, les équipes ont dû continuer à travailler sans internet pendant près de six mois !
Enfin, Vincent Desroches souligne que l’une des inquiétudes, lors d’une première attaque, tient au fait qu’on ne sait pas si une deuxième peut survenir par la suite. Raison pour laquelle il faut vraiment réfléchir en parallèle à la communication, autant en interne comme en externe.
L’ANSSI observe que les attaques de grande ampleur peuvent venir de trois types d’acteurs. D’abord, des Etats, des agences de renseignement étrangères, des organisations mafieuses. Ensuite, des activistes, des cyberterroristes, qui veulent déstabiliser, influencer ou saboter. Enfin, des officines privées, qui peuvent s’avérer dangereuses car très spécialisées.
Autre question intéressante que les entreprises doivent se poser : « Quel est notre lien de dépendance avec nos fournisseurs ? S’ils tombent, quels impacts cela peut-il avoir sur notre entreprise ? Quel est leur niveau de sécurité ? Quel est le lien contractuel qui nous lie avec eux ? » Le chef de division de l’ANSSI conseille de réduire les liens de dépendance au maximum avec les prestataires, et fortifier les clauses contractuelles, si besoin.