Close

Gestion de crise: enjeux et challenges

Cet article fait suite aux interventions sur la gestion et la communication de crise de l’événement Cyberdéfense et Stratégie du 2 juillet 2019. 

On dit souvent qu’il existe aujourd’hui deux catégories d’entreprises, celles qui ont été attaquées et celles qui ne l’ont pas été. Ou plus précisément, celles qui ont été attaquées et celles qui ne le savent pas encore. De fait, la question pour une organisation n’est pas tant de savoir si elle sera attaquée, mais plutôt quand et comment, et avec quelles répercussions pour son fonctionnement, ses activités et son image, voire dans certains cas son existence même.

A titre d’exemple, on estime que l’entreprise Merck aurait à elle seule subi 310 millions de dollars de dommages[1] suite à l’attaque NotPetya de 2017 et a été contrainte dans les mois qui ont suivi l’attaque à un arrêt opérationnel de longue durée lié à des ruptures d’approvisionnement.

Dans ce contexte, et alors que le risque de cyber-attaques contre les entreprises ne cesse de croître, il est indispensable pour une organisation de se doter de capacités de gestion et de communication de crise permettant de faciliter la reprise de ses activités et d’assurer sa résilience.

Ces capacités doivent reposer sur une combinaison de mesures organisationnelles, d’outils technologiques et de méthodologies, à chaque étape de la gestion de crise.

 

1.    Prévention

Avant même qu’une crise ne survienne, certaines mesures ou dispositifs très simples permettent de renforcer au quotidien la résilience du système d’information (SI) d’une organisation et de contenir la propagation de cette crise le cas échéant, comme par exemple :

  • Appliquer les mesures basiques d’hygiène informatique : effectuer les correctifs de sécurité, cloisonner certains flux sur le SI, gérer les droits d’accès de façon rigoureuse, etc.
  • Renforcer la diversité et la flexibilité des systèmes informatiques, par exemple en y intégrant des équipements fonctionnant sous Mac OS ou Linux pour limiter le risque de propagation des malwares à l’ensemble du parc – ces derniers étant en grande majorité conçus contre des systèmes fonctionnant sous Windows ou ne ciblant qu’un seul OS.
  • Séparer les sauvegardes du reste du système pour éviter qu’elles ne soient compromises en cas d’incident, et afin qu’elle puissent donc être utilisées pour restaurer le SI le cas échéant.
  • Revoir et mettre à jour régulièrement les plans d’alerte et de continuité d’activité, et étendre le système de gestion de crise à la cybersécurité.

Ces précautions et bonnes pratiques ne sont cependant pas suffisantes pour éliminer le risque d’une attaque d’ampleur. Les organisations doivent donc également se préparer à faire face à une crise et, si besoin, à mettre en œuvre les moyens nécessaires et des dispositifs dédiés.

2.    Préparation et anticipation

Les récentes attaques (Wannacry, NotPetya…) ont rappelé que ni les équipes de l’entreprise touchée ni les autorités appelées pour y répondre ne sont suffisamment préparées pour faire face à des attaques de cette nature et de cette envergure.

D’autre part, la survenance d’une crise est trop souvent synonyme de panique, à la fois pour l’équipe dirigeante qui voit la crise se diffuser sans la comprendre ni pouvoir y remédier, et pour les équipes techniques qui se voient privées des outils leur permettant d’investiguer ou de reprendre la main sur les équipements affectés (outils d’administration, schémas réseaux…)

Pour réagir rapidement, efficacement et aussi sereinement que possible à une crise, les organisations peuvent se préparer en s’appuyant sur :

  • L’élaboration de process et d’une méthodologie de gestion de crise dédiés, et notamment d’une matrice de responsabilités RACI (responsible, accountable, consulted et informed). Celle-ci permet d’attribuer les rôles et responsabilités de chacun en cas de crise et donc de déterminer à l’avance quelles sont les actions à mener et par qui. De même, planifier et séquencer en amont les grandes étapes de la gestion de crise (ex. : points quotidiens avec l’ensemble des acteurs concernés, notification des instances et organisations devant être informées, rythme des actions de communication, etc.) permet de fluidifier la réponse à incident quand il survient.
  • En amont, l’entrainement des personnels et des équipes opérationnelles – par exemple via des simulations de crise ou des exercices de mise en situation – permet d’apprendre à mieux gérer les imprévus et à mieux appréhender les étapes à suivre en cas de crise majeure. Ce type d’exercices permet par ailleurs de sensibiliser la chaîne décisionnelle à la nécessité de disposer des ressources humaines, techniques, financières dédiées à la cybersécurité.
  • Le déploiement, en amont, d’un dispositif logistique adapté et activable dès que la crise survient. Il s’agit par exemple de pouvoir :
  • Mettre à disposition une salle ou un espace dédié (éventuellement isolé), à l’accès restreint.
  • Adapter les rythmes et horaires de travail des équipes de gestion de crise qui seront amenées à travailler de nuit, et prévoir par exemple un système de rotation des personnels pour leur permettre de travailler en continu ;
  • Prévoir de pouvoir monter un SI parallèle au SI compromis le cas échéant.
  • La création d’un réseau de partenaires et experts externes qui pourra être sollicité si l’organisation ne dispose pas en interne de toutes les compétences nécessaires, car la phase de remédiation suite à une attaque nécessite la mobilisation d’une multiplicité d’expertises et de compétences techniques différentes et complémentaires.

Ces dispositifs, process et méthodes préalablement définis doivent permettre aux équipes de l’organisation affectée de gérer rapidement et plus efficacement la crise et la réponse à incident.

3.    Réponse et réaction

L’essentiel pour une organisation victime d’une cyberattaque est d’assurer la continuité de ses activités. Dans l’immédiat – post-crise – et avant même de lancer le processus de reconstruction, elle doit d’abord trouver de nouveaux moyens de communication et de partage des informations. Les applications de messageries grand public, moins sécurisées que leurs équivalents professionnels mais qui ont l’avantage d’être utilisées par le plus grand nombre (WhatsApp par exemple), peuvent dans ce cas s’avérer utiles.

L’organisation victime doit ensuite très rapidement envisager la reconstruction de son système d’information et limiter les atteintes à sa réputation et à son image auprès de ses employés, clients et du grand public. La réponse à la crise passe ainsi par plusieurs étapes qui peuvent être menées en parallèle :

Diagnostique et investigation

Quand un incident survient et afin de pouvoir mettre en place un processus de gestion de crise dédié, l’organisation victime doit d’abord le qualifier, c’est-à-dire en déterminer la nature, l’ampleur, et identifier quels systèmes et équipements sont affectés.

Sur le plan technique, les équipes dédiées doivent investiguer sur la cause de l’attaque (malware, chemin d’entrée de l’APT, failles dans le système d’information, etc.), ce qui doit notamment permettre de :

  • Identifier le « patient zéro», à l’origine de la propagation au sein du système d’information de l’entreprise ;
  • Définir les éléments de remédiation dans le but de protéger et reconstruire tous les domaines du système d’information (serveurs, postes de travail, etc.).
  • Collecter des éléments de preuve permettant à l’entreprise de se ménager des possibilités d’action judiciaire et assurantielle.

Les équipes de l’entreprise affectée peuvent être accompagnées dans leurs efforts par des organisations spécialisées, comme les CERT (Computer Emergency Response Team) ou les agences nationales de protection des SI, à l’instar de l’Agence nationale de la sécurité des systèmes d’information (ANSSI).

 

Mise en place d’une structure de gestion de crise

Dans le même temps, une structure de gestion de crise impliquant une diversité d’acteurs représentant les différents métiers et fonctions de l’organisation doit être mise en place.

Cette dernière peut par exemple comprendre :

  • Un comité de crise au niveau de la direction générale, chargé de prendre les décisions stratégiques pour l’organisation ;
  • Une structure « business » chargée à la fois d’identifier des moyens de continuer à produire et faire fonctionner l’organisation sans système informatique, et d’autre part de décider de l’ordre et de la chronologie du redémarrage des différents réseaux de l’organisation ;
  • Une équipe de crise IT, chargée de l’investigation et de la définition d’un plan de reconstruction (des postes de travail, du réseau, de l’Active Directory, des serveurs applicatifs…) et le plan de défense du SI (dans un objectif de re-sécurisation du réseaux).

Les équipes chargées de la gestion de crise doivent, dès le début de leur intervention, documenter précisément leurs actions sous forme d’un journal présentant la chronologie des événements et des actions, si besoin en version papier si le SI est compromis. Doivent être consignés notamment : le signalement de l’incident, l’investigation, la collecte des preuves, les échanges avec les partenaires, prestataires et utilisateurs. Cette documentation permettra de centraliser les informations connues sur l’incident (avec un accès restreint si besoin), nécessaires à l’organisation in fine d’un retour d’expérience sur la gestion de la crise.

4.    Remédiation et reconstruction

La reconstruction du système d’information et le retour à la normal est un travail de longue haleine : on estime ainsi à 3 semaines en moyenne le temps de redémarrage. Reconstruire le SI pour revenir à la normale nécessite notamment de réinstaller tous les postes de travail compromis. Plusieurs solutions permettent d’accélérer le processus comme, par exemple :

  • Confier aux collaborateurs la réinstallation de leurs postes de travail, grâce à des clés USB, ce qui permet aussi de les impliquer dans la résolution de la crise ;
  • Le recours à des services cloud et de virtualisation, qui permettent de cloner certains systèmes.
  • Les fournisseurs et partenaires de l’entreprises affectée peuvent également représenter des relais d’accélération de reconstruction du système d’information, notamment parce qu’ils possèdent parfois des bases de données qui auraient été perdues sur le système affecté, etc.

5.    Communication

La communication de crise de l’entreprise constitue l’un des volets essentiels de la gestion de crise.

Elle se prépare en amont, notamment sur les réseaux sociaux, de plus en plus utilisés par les entreprises car les publications sur ces réseaux atteignent instantanément un public vaste et varié et permettent de construire et fidéliser sur le long terme un réseau de followers. Les réseaux sociaux permettent ensuite, en temps de crise, de communiquer aisément et rapidement pour informer le public et les employés de l’organisation touchée du déroulement et de la résolution de la crise.

Lorsqu’un incident survient, une communication de crise coordonnée et bien préparée permet d’éviter que ce dernier ne se transforme en crise médiatique s’il est mal géré et que la communication est défaillante ou inadaptée.

Pour gérer au mieux la communication de crise dans les premières heures et éviter une perte financière ou une atteinte à la réputation et à l’image de l’organisation, celle-ci peut s’inspirer d’un certain nombre de bonnes pratiques.

  • Le porte-parole occupe une place majeure lors d’une crise. Représentant de la société aux yeux du public et des médias, ce rôle doit être attribué au préalable, à un membre du personnel entraîné à ce type d’exercice. Un guide de questions-réponses permet de définir des éléments de réponse que le porte-parole peut aisément assimiler pour faire passer rapidement les bons messages en cas de crise.
  • Les objectifs de la communication doivent ensuite être fixés très rapidement: qui s’agit-il d’informer (le public, les employés, les investisseurs) et quel est l’objet de la communication (informer, rassurer…) ?
  • En fonction de ces objectifs, il convient ensuite d’identifier les bons canaux de communication (les réseaux sociaux par exemple) pour positionner l’entreprise concernée comme l’interlocuteur officiel et le détenteur d’informations fiables ;
  • Il est nécessaire de doser la réactivité et la régularité de la communication, c’est-à-dire ne pas se précipiter, ni trop attendre, ni communiquer trop peu ou trop souvent,
  • Surtout, l’importance de la communication interne ne doit pas être sous-estimée, car elle permet de rassurer les équipes et d’éviter la panique au sein d’une société déjà déstabilisée par la crise. Et ce d’autant que les employés de l’entreprise touchée peuvent, s’ils sont correctement informés par leur hiérarchie des mesures et des actions concrètes qu’elle mène, faire office de relais fiables.

La communication fait donc partie intégrante du dispositif de gestion de crise, et doit fait l’objet d’une stratégie dédiée

Conclusion : la sortie de crise

Le processus de gestion de crise et de retour à la normale doit s’accompagner d’efforts de long terme destinés à renforcer la cybersécurité et la résilience de la société car, même reconstruit, le SI pourra faire l’objet de nouvelles attaques. Une organisation se doit donc d’être proactive, pour identifier sans cesse de nouvelles solutions lui permettant protéger au mieux ses systèmes, ainsi que ses données et celles de ses clients.

Pour l’organisation affectée, l’organisation d’un retour d’expérience doit aussi permettre d’évaluer la façon dont la crise a été gérée et, à plus long terme, de réfléchir aux moyens d’améliorer les processus et méthodologies déployés.

[1] https://www.lemagit.fr/actualites/450429505/NotPetya-des-couts-dans-la-duree-pour-Merck