Communication, remédiation, gestion des équipes… Voici quelques-unes des recommandations que le Cigref fournit en matière de gestion de crise cyber.
Une cyberattaque « de grand ampleur », c’est quoi au juste ? Le Cigref s’attache à en donner une définition dans un rapport qu’il a récemment publié. Le sujet : la gestion des crises cyber. Voici quelques-unes des recommandations qui s’y trouvent.
2
>> Le nombre de textes de loi que le Cigref met en avant comme ayant « permis des avancées sur la prise en compte du risque cyber par les assureurs ». En l’occurrence :
– La LOPMI (loi d’orientation et de programmation du ministère de l’Intérieur)
L’article 5 conditionne la couverture assurantielle des pertes et dommages causés par une cyberattaque au dépôt d’une plainte par la victime dans un délai de 72 heures.
– La loi de finances pour 2023
Elle prévoit un dispositif de franchise d’impôt pour les provisions de certains captives de réassurance. Y figure par ailleurs un renvoi vers un arrêté qui ajoute, dans le Code des assurances, deux catégories dédiées aux risques cyber.
3
>> Le nombre de « temporalités parallèles » que le Cigref distingue dans la gestion des crises cyber.
– Gestion des conséquences
Elle implique des mesures d’urgence (1-3 jours), des mesures de remédiation (1-3 semaines), une stabilisation de la situation (plusieurs mois) et un retour d’expérience (plusieurs mois).
– Investigations
Dans un premier temps, s’assurer que l’environnement informatique est sain. Puis chercher à connaître l’origine de l’attaque. Ce second temps se déroule à part de la gestion de crise, n’étant pas indispensable à la remédiation.
– Processus juridique, alimenté par les investigations
4
>> Les mesures d’endiguement que le Cigref recommande de mettre en place une fois le périmètre de l’incident qualifié.
– Isoler les systèmes impactés (et les plus vulnérables), préférentiellement à partir de la console EDR
– Faire intervenir une équipe de réponse aux incidents de sécurité
– Désactiver la plupart des comptes administrateurs
– Identifier et sécuriser la dernière sauvegarde saine
5
>> Les actions préventives à mettre en place avec la direction de la communication.
– Initier un dialogue entre l’IT et l’équipe com
– Élaborer une stratégie de réponse à la crise cyber (check-list des premières actions, cartographie des parties prenantes, identification des cibles…)
– Anticiper les scénarios de crise et prérédiger les éléments de communication
– Intégrer la fonction communication dans l’organisation de la crise cyber
– S’entraîner régulièrement et développer des réflexes communs entre l’IT, la com et les autres membres de la cellule de crise lors d’exercices de simulation
6
>> Les mesures de durcissement du SI à mettre en place une fois la reprise effective.
– Élévation du niveau de sécurité de l’Active Directory et limitation des comptes à privilèges
– Refonte des pratiques d’administration et utilisation du MFA
– Déploiement d’EDR sur tous les serveurs et les PC
– Cloisonnement des infrastructures centrales et locales
– Maîtrise des flux
– Nettoyage des réseaux mondiaux et restauration des serveurs
8
>> Les recommandations pour gérer les équipes de la DSI pendant la crise.
– Protéger les équipes SI pour qu’elles ne soient pas parasitées par des informations ou des sollicitations autres que celles du coordinateur de la cellule de crise
– Éviter qu’elles transmettent des informations sans passer par les personnes chargées de ces communications avec la cellule décisionnelle et les métiers
– Multiplier les signes de remerciement (saluer l’effort collectif)
– Privilégier le travail avec les internes, qui ont une connaissance plus profonde du SI
– Privilégier une cellule de crise réduite, avec uniquement les personnes-clés
– Séparer les équipes en fonction des objectifs (une pour la remédiation et reconstruction, une autre pour l’investigation)
– Gérer les aspects logistiques (ouverture des locaux à des horaires non conventionnels, repas du matin au soir…)
– Mobiliser le médecin du travail
9
>> Le nombre de thématiques que le Cigref distingue dans la communication de la DSI avec le COMEX.
– Données
Date des dernières sauvegardes saines, délai de mise à disposition des dernières sauvegardes, estimation de la perte de données.
– Impacts financiers
Investissements IT nécessaires pour restaurer et améliorer le SI, montant de la franchise de l’assurance cyber, CA non réalisé, renforts IT à prévoir.
– Impacts réputationnels (veille médias)
– Impacts RH
Nombre de salariés au chômage technique, capacité à gérer la paye.
– Impacts sur le SI (volume de systèmes indisponibles)
– Impacts sur les les métiers
Nombre d’utilisateurs/clients impactés, de processus métiers impactés ; volume de commandes perdues et d’arrêts de production.
– Nature et périmètre de la crise
– Plan d’actions
Pourcentage d’avancement des plans validés, nombre de personnes mobilisées, pourcentage de PC et serveurs réparés.
– Relations tutélaires (suivi des niveaux d’information et alertes)
10
>> Le nombre de profils de prestataires externes que le Cigref met en avant pour accompagner la DSI.
– Cabinet juridique spécialisé dans le droit cyber
– Cabinet spécialisé dans la communication de crise cyber
– Entreprise spécialisée dans la gestion de crise
– Organisme spécialisé dans la cybersécurité
– ANSSI, selon le secteur de l’organisation
– Assurance cyber, qui dispose elle-même de prestataires
– Coach pour le DSI
– FIR (force d’intervention rapide) associée à une prestation CSIRT
– CSE ou instances représentatives du personnel
– Organisme pour gérer la logistique et le soutien aux équipes mobilisées