Pour gérer vos consentements :

Gestion de crise cyber : l'approche du Cigref en 7 chiffres

Publié par Clément Bohic le | Mis à jour le

Communication, remédiation, gestion des équipes... Voici quelques-unes des recommandations que le Cigref fournit en matière de gestion de crise cyber.

Une cyberattaque « de grand ampleur », c'est quoi au juste ? Le Cigref s'attache à en donner une définition dans un rapport qu'il a récemment publié. Le sujet : la gestion des crises cyber. Voici quelques-unes des recommandations qui s'y trouvent.

2

>>  Le nombre de textes de loi que le Cigref met en avant comme ayant « permis des avancées sur la prise en compte du risque cyber par les assureurs ». En l'occurrence :

- La LOPMI (loi d'orientation et de programmation du ministère de l'Intérieur)
L'article 5 conditionne la couverture assurantielle des pertes et dommages causés par une cyberattaque au dépôt d'une plainte par la victime dans un délai de 72 heures.

- La loi de finances pour 2023
Elle prévoit un dispositif de franchise d'impôt pour les provisions de certains captives de réassurance. Y figure par ailleurs un renvoi vers un arrêté qui ajoute, dans le Code des assurances, deux catégories dédiées aux risques cyber.

3

>>  Le nombre de « temporalités parallèles » que le Cigref distingue dans la gestion des crises cyber.

- Gestion des conséquences
Elle implique des mesures d'urgence (1-3 jours), des mesures de remédiation (1-3 semaines), une stabilisation de la situation (plusieurs mois) et un retour d'expérience (plusieurs mois).

- Investigations
Dans un premier temps, s'assurer que l'environnement informatique est sain. Puis chercher à connaître l'origine de l'attaque. Ce second temps se déroule à part de la gestion de crise, n'étant pas indispensable à la remédiation.

- Processus juridique, alimenté par les investigations

4

>> Les mesures d'endiguement que le Cigref recommande de mettre en place une fois le périmètre de l'incident qualifié.

- Isoler les systèmes impactés (et les plus vulnérables), préférentiellement à partir de la console EDR
- Faire intervenir une équipe de réponse aux incidents de sécurité
- Désactiver la plupart des comptes administrateurs
- Identifier et sécuriser la dernière sauvegarde saine

5

>> Les actions préventives à mettre en place avec la direction de la communication.

- Initier un dialogue entre l'IT et l'équipe com
- Élaborer une stratégie de réponse à la crise cyber (check-list des premières actions, cartographie des parties prenantes, identification des cibles...)
- Anticiper les scénarios de crise et prérédiger les éléments de communication
- Intégrer la fonction communication dans l'organisation de la crise cyber
- S'entraîner régulièrement et développer des réflexes communs entre l'IT, la com et les autres membres de la cellule de crise lors d'exercices de simulation

6

>> Les mesures de durcissement du SI à mettre en place une fois la reprise effective.

- Élévation du niveau de sécurité de l'Active Directory et limitation des comptes à privilèges
- Refonte des pratiques d'administration et utilisation du MFA
- Déploiement d'EDR sur tous les serveurs et les PC
- Cloisonnement des infrastructures centrales et locales
- Maîtrise des flux
- Nettoyage des réseaux mondiaux et restauration des serveurs

8

>> Les recommandations pour gérer les équipes de la DSI pendant la crise.

- Protéger les équipes SI pour qu'elles ne soient pas parasitées par des informations ou des sollicitations autres que celles du coordinateur de la cellule de crise
- Éviter qu'elles transmettent des informations sans passer par les personnes chargées de ces communications avec la cellule décisionnelle et les métiers
- Multiplier les signes de remerciement (saluer l'effort collectif)
- Privilégier le travail avec les internes, qui ont une connaissance plus profonde du SI
- Privilégier une cellule de crise réduite, avec uniquement les personnes-clés
- Séparer les équipes en fonction des objectifs (une pour la remédiation et reconstruction, une autre pour l'investigation)
- Gérer les aspects logistiques (ouverture des locaux à des horaires non conventionnels, repas du matin au soir...)
- Mobiliser le médecin du travail

9

>> Le nombre de thématiques que le Cigref distingue dans la communication de la DSI avec le COMEX.

- Données
Date des dernières sauvegardes saines, délai de mise à disposition des dernières sauvegardes, estimation de la perte de données.

- Impacts financiers
Investissements IT nécessaires pour restaurer et améliorer le SI, montant de la franchise de l'assurance cyber, CA non réalisé, renforts IT à prévoir.

- Impacts réputationnels (veille médias)

- Impacts RH
Nombre de salariés au chômage technique, capacité à gérer la paye.

- Impacts sur le SI (volume de systèmes indisponibles)

- Impacts sur les les métiers
Nombre d'utilisateurs/clients impactés, de processus métiers impactés ; volume de commandes perdues et d'arrêts de production.

- Nature et périmètre de la crise

- Plan d'actions
Pourcentage d'avancement des plans validés, nombre de personnes mobilisées, pourcentage de PC et serveurs réparés.

- Relations tutélaires (suivi des niveaux d'information et alertes)

10

>> Le nombre de profils de prestataires externes que le Cigref met en avant pour accompagner la DSI.

- Cabinet juridique spécialisé dans le droit cyber
- Cabinet spécialisé dans la communication de crise cyber
- Entreprise spécialisée dans la gestion de crise
- Organisme spécialisé dans la cybersécurité
- ANSSI, selon le secteur de l'organisation
- Assurance cyber, qui dispose elle-même de prestataires
- Coach pour le DSI
- FIR (force d'intervention rapide) associée à une prestation CSIRT
- CSE ou instances représentatives du personnel
- Organisme pour gérer la logistique et le soutien aux équipes mobilisées

Photo d'illustration © VicenSahn - Adobe Stock

La rédaction vous recommande