Comment gérer efficacement une crise cyber ?

Comment gérer efficacement une crise cyber ?

Hossam M.
Calendar picto
24/3/2022
Clock picto
6 min

Aujourd’hui, il n’est plus question de se demander si votre entreprise sera victime d’une attaque cyber, mais quand cette dernière aura lieu. De multiples fonctions et ensembles de compétences doivent être hautement coordonnés pour contenir et gérer les incidents de crise.

Qu'est-ce qu'une cybercrise ?

Une cybercrise est un incident plus grave susceptible de causer des pertes financières importantes ou de nuire à la réputation d'une marque. Les dirigeants de l'entreprise - PDG, directeur de l'exploitation, directeur financier, directeur des systèmes d'information et directeur des systèmes d'information - doivent être impliqués.

Comment définir une cybercrise, et par conséquent, la gestion d'une cybercrise ?

Le mot "crise" vient de la forme latinisée du mot grec "krisis", qui désigne le moment où une maladie atteint un point critique, qui conduit soit à la guérison, soit à la mort. Par extension, le mot "crise" est aujourd'hui utilisé pour désigner une période difficile vécue par un individu, un groupe, ou dans le cas d'une cyberattaque : une entreprise.

L'ANSSI (Agence Numérique de la sécurité des Systèmes d’Information) propose la définition suivante : "une crise cybernétique est une crise liée à une cyberattaque qui vise spécifiquement le patrimoine numérique, les infrastructures techniques ou les systèmes d'information d'une entreprise."

Lorsqu'il s'agit de faire face à ces cybercrises, la gestion de crise doit embrasser plusieurs approches :

  • la prévention des crises avant qu'elles ne se produisent ;
  • l'application d'une procédure de résolution de crise après que la cyberattaque ait été confirmée et identifiée ;
  • la mobilisation de techniques et de moyens pour la contrer ;
  • l'amélioration de la procédure de gestion de crise au regard du retour d'expérience.

Les cybercrises sont également assez spécifiques. Elles englobent une série de facteurs de risque :

  • Une cybercrise est presque toujours liée à une question informatique, par essence plutôt technique ;
  • Elle est souvent repérée assez tardivement, lorsque le pirate a déjà opéré depuis plusieurs mois ;
  • Ses répercussions sont généralement massives et il y a un impact psychologique, interne et externe à votre organisation, sur le moral de vos employés ainsi que sur la façon dont votre entreprise est considérée par les personnes extérieures ;
  • Elle nécessite un management transversal par des acteurs qui n'ont pas toujours l'habitude de collaborer entre eux ;
  • Elle empêche l'utilisation des outils de communication traditionnels, car ceux-ci peuvent également avoir été piratés ;
  • La sortie d'une crise cybernétique se fait rarement rapidement.

Quelles sont les différents types de crises de cybersécurité ?

Les risques de piratage informatique qui guettent les entreprises sont nombreux :

  • La cybercriminalité consiste à obtenir illégalement des données personnelles dans le but de les exploiter ou de les revendre. Recourir à des méthodes de phishing est un cybercrime, tout comme l'utilisation de ransomware.
  • L'atteinte à l'image de l’entreprise dont le but est de nuire à sa réputation 
  • Les attaques d'espionnage ayant un objectif politique ou économique. 
  • Les opérations de sabotage sont le résultat d'une défaillance organisée, comme c'est le cas par exemple lors des attaques DDoS

Qui doit être impliqué dans la gestion d'une cybercrise ?

Les cyberattaques visent aussi bien les entreprises privées que les administrations publiques. 

Une étude récente, "Cyber Insecurity : Managing Threats from Within" , s'est penchée sur la manière dont plus de 300 cadres, CIO (Chief Information Officer) et CISO (Chief Information Security Officer) gèrent les cybercrises.

  • 85% des personnes interrogées dans le cadre de cette enquête estiment que les vulnérabilités humaines constituent la menace numéro un pour la cybersécurité de leur entreprise. Les failles technologiques auraient alors moins d'impact que la négligence du personnel ou des partenaires. 

C'est pourquoi une gestion de cybercrise efficace doit mettre en place des mesures pour former chaque employé de l'entreprise.

Que doit comprendre le processus de gestion de cybercrise ?

La gestion de cyber crise comprend autant d'étapes en amont qu'en aval de l'événement déclencheur :

  1. Planifier les différents scénarios de crise et développer les moyens d'atténuer ou de prévenir les conséquences négatives.
  2. Diffuser en interne une culture du risque cybernétique et demander à une équipe de concevoir des mécanismes de surveillance pour détecter les signes avant-coureurs d'une cyberattaque en cours ;
  3. Former les équipes à la gestion de crise, en tenant compte de ce que votre stratégie de cartographie des risques a mis en évidence comme risques principaux. Ces exercices de gestion de crise permettent d'assimiler les procédures et méthodes, mais aussi d'identifier les défaillances potentielles avant le déclenchement d'une crise potentielle.
  4. Reconnaître l'apparition de la crise : un événement soudain et inattendu qui corrompt le fonctionnement normal de l'entreprise. L'événement est grave et menace la stabilité de l'organisation.
  5. Définir l'événement déclencheur de la cybercrise, si possible avant qu'il n'ait de graves conséquences. Cette étape se résume à préciser et confirmer le type de cyberattaque auquel vous avez affaire.
  6. Une fois la crise confirmée, passez à l'étape de la "remédiation". Dans une situation d'urgence, cela signifie prendre des mesures immédiates pour atténuer et contenir le risque dans une perspective à court terme. 
  7. Mobiliser une ou des cellule(s) de crise. Son but est de coordonner les actions des différentes équipes en fonction d'un plan de gestion de crise préétabli. 
  8. Activer les différentes rôles de gestion de crise 
  • la relation client, qui répond aux questions des consommateurs ou des usagers ;
  • la communication interne, qui communique avec les employés ;
  • la communication externe, chargée de la coordination générale de la communication de crise en cas de cyberattaque ;
  • l'équipe d'audit, qui identifie la cyberattaque et évalue l'état du réseau informatique et mesure donc l'étendue des dégâts ;
  • les développeurs, qui assurent la continuité des activités en démarrant un système de secours.
  1. Établir des procédures opérationnelles de gestion de crise cybernétique pour chacune des différentes équipes. Dans le cadre d'une cybercrise, si vous voulez mettre fin à une cyberattaque, votre infrastructure informatique doit d'abord passer par une phase de confinement, avant d'être restaurée.
  2.  Lorsque la crise est terminée, supprimer les mesures extraordinaires et commencer à collecter le retour d'expérience.

Être en mesure de revenir au travail papier/stylo en environnement dégradé est impossible sans une préparation forte en amont. En effet, comprendre les spécificités d’une cyberattaque est crucial et déterminants pour une résolution efficace de crise.