Simulation d'une cyberattaque

En comparaison à d’autres scénarios de crise pouvant nécessiter l’activation d’un PRA, les crises cyber ont des caractéristiques propres :

• Des impacts immédiats (arrêt de certaines activités, impossibilité de délivrer des services, …).
• Des incertitudes concernant le périmètre de la compromission.
• De la complexité pour décider ce qu’il est possible de redémarrer ou non en mode PRA, et dans quel ordre, cela étant lié :
  • Au vecteur de l’attaque : est-ce un vers, un ransomware commandé de l’extérieur, …
  • À une potentielle propagation à d’autres organisations en raison de l’interconnexion des SI.

Pourquoi des tests de crise cyber

L’ANSSI le dit en introduction de son guide sur l’organisation d’un exercice de gestion de crise d’origine cyber :

« Face à une menace informatique toujours croissante et en mutation, l’amélioration de la résilience numérique par l’entraînement à la gestion de crise cyber n’est plus seulement une opportunité, mais bien une nécessité pour toutes les organisations. » ¹

Le risque cyber fait partie du top 2 des risques auxquels font face les entreprises. Cependant, l’organisation d’un exercice de ce type reste une équation difficilement soluble, notamment dans le contexte des PME et des petits organismes qui ne disposent pas des moyens permettant de l’organiser simplement.

L’expérience démontre que certains éléments permettent de mieux gérer un crise cyber comme :

• Simuler et tester les compétences de la cellule de crise sur les aspects au travers d’exercices :
  • aspects décisionnels, tactiques et opérationnels
• Disposer d’une liste de contacts externalisée et d’organismes de tests de crise cyber
• Disposer d’une politique de rétention des journaux/logs applicatifs et réseaux