Aujourd’hui, les incidents de sécurité concernent toutes les organisations. Leur nombre et leur fréquence ne cessent d’augmenter. On constate une vraie prise de conscience de ce phénomène de la part des entreprises qui se préparent de plus en plus à faire face à des situations de crise. Bien qu’il soit impossible d’anticiper tous les éléments de réponse, voici quelques points fondamentaux issus de notre retour d’expérience pour se préparer à y faire face :
Mettre en place deux niveaux de qualification de l’évènement
De manière générale, on constate que l’équipe informatique hésite à alerter sur un évènement de sécurité ou sur un dysfonctionnement du système avant que ne soit finalisée l’analyse de la situation rencontrée. Cela pourrait impliquer en effet de devoir répondre de la situation auprès de sa hiérarchie, voire de perdre en crédibilité s’il s’agissait d’une fausse alerte. Malheureusement, les premiers signes d’une crise cyber ne sont pas toujours évidents à détecter ; ils se manifestent souvent par des signaux faibles, difficiles à interpréter et qu’il ne faut cependant pas négliger. Une remontée d’informations tardive peut générer un déploiement tardif du dispositif de traitement de la crise et par conséquence, des impacts plus importants.
Une des solutions à cette problématique consisterait à mettre en place deux niveaux de qualification de l’évènement rencontré.
Un premier niveau de qualification de l’alerte (appréciation, désignation) serait assuré par des personnes de proximité et faisant partie de l’équipe de gestion de crises. Ces personnes doivent être connues et facilement accessibles par tous les employés. De cette manière, l’importance de l’alerte et les impacts potentiels pourront être qualifiés simplement et rapidement avec la personne qui a alerté, sans mobiliser inutilement d’autres acteurs. Si les résultats de cette première qualification montrent que l’alerte doit effectivement être traitée en tant que crise, ces personnes de proximité pourront remonter rapidement l’information aux autres membres de la cellule pour la confirmation et le traitement de la crise.
Qualifier objectivement une crise
Une cellule de crise ne peut pas être activée pour un simple incident car elle demande la mobilisation de ressources importantes pour une entreprise (réunion des dirigeants, activation des astreintes, déblocage de moyens financiers, etc.). Il est donc impératif d’identifier objectivement des critères de qualification de crise car sa nature et sa magnitude varient d’une entreprise à l’autre.
Une des façons d’identifier ces critères est de lier la définition d’une crise (et donc les critères de qualification) à l’impact négatif qu’un évènement redoutable peut avoir sur le fonctionnement d’une entreprise ou sur la réalisation de ses objectifs stratégiques.
Une entreprise pourra mettre en place un modèle d’évaluation de la criticité de l’évènement. Si le niveau dépasse un seuil préalablement défini, la situation de crise est déclenchée. La matrice d’impact utilisée dans ce cadre s’appuie sur différents critères dont certains relèvent du domaine financier, juridique, opérationnel ou encore de la valeur de marque de la société. Sur chacun des domaines, une note est calculée. Par exemple, sur le volet financier, la note peut aller de 1 pour une perte en chiffre d’affaires estimée à moins de 2,5 % du CA total, à 4 pour une perte en chiffre d’affaires de 50 % et plus. Une note globale est ensuite produite. Cette méthode, s’appuyant sur des éléments objectifs, permet de qualifier correctement une situation à laquelle l’entreprise a fait face et ainsi déclencher rapidement une réponse adaptée par la mise en œuvre des processus préalablement définis.
Créer une cellule de crise efficace
Une cellule de crise est le cœur d’un dispositif de communication en cas de situations hors normes. La gestion d’une crise cyber ne peut être confiée uniquement au service sécurité des systèmes d’information, car elle impacte également les métiers et les opérations. Il est donc nécessaire de mettre en place une équipe pluridisciplinaire, comprenant :
- Une équipe décisionnelle et stratégique, qui réunit les membres permanents de la cellule. Cette équipe doit être identifiée en amont. Elle est en charge de prendre les décisions ad hoc et d’assurer le suivi et le pilotage de la gestion de crise. Cette équipe doit intégrer les membres de la Direction Générale et des différentes directions métiers (communication, finance, IT, RH…). Afin de prendre des décisions rapidement et efficacement, un responsable de cellule de crise (faisant généralement partie de la Direction Générale) doit être désigné
- Une équipe opérationnelle qui réunit des ressources opérationnelles métiers, des ressources informatiques, des partenaires externes si nécessaire… Cette équipe est responsable de l’analyse de la situation de crise, de la proposition d’un plan d’actions adapté à la situation et de l’exécution et du suivi des tâches.
La coordination et la communication entre les deux équipes est le point clé : un coordinateur doit être responsable de faire remonter les informations et de partager les décisions. Il est également crucial pour les membres de la cellule de crise d’adopter une approche non hiérarchique. En effet, ce contexte étant un peu particulier, l’enjeu des membres réunis dans cette configuration est d’apporter des réponses claires et rassurantes face à cette situation et ainsi de restaurer et renforcer la confiance.
Sensibiliser et entrainer les dirigeants
Enfin, une bonne gestion de crises repose sur la capacité du top management à protéger l’image de l’entreprise et à donner le bon niveau de visibilité aux employés et aux clients sur les actions menées. Aussi, il est important que les instances dirigeantes soient sensibilisées à la problématique de la cyber sécurité afin de tenir le bon niveau de discours.
Il existe des simulations d’attaques très réalistes (à l’instar de ce qui est fait dans le X-Force Command Cyber Tactical Operations Center d’IBM) qui permettent de sensibiliser les membres du COMEX aux enjeux de la cybersécurité, mais aussi de leur apprendre à faire face à ce type de situation.
Par Clementine Bouvier - Senior Consultant at IBM Security et Suvansh Lal - Senior Managing Consultant at IBM Security