Exercice de crise cyber, pourquoi et comment la mettre en place, découvrez dans le présent article comment bien faire, et pourquoi le faire.

Exercice de crise, exercice de cyber-crise ;  pourquoi et comment la mettre en place ? On parle de « cyber crise » lorsqu’un ou des incidents informatiques ont des conséquences suffisamment importantes pour déstabiliser toute l’organisation, jusqu’à engendrer parfois des dégâts irréversibles ou des pertes financières non négligeables.

Tout en bas de l’échelle des problèmes de cybersécurité, il y a les simples anomalies courantes, puis au-dessus se trouvent les incidents mineurs, les incidents majeurs. Et, tout en haut sont classés ce qu’on appelle ici « cyber crises », qui sont des crises provoquées par des incidents de cybersécurité.

Outre leurs impacts importants, l’autre trait caractéristique des crises est leur rareté. Ce sont en effet des évènements qui ne se surviennent que très rarement. Et pourtant, les organisations doivent s’attendre à tout moment à faire face à une crise, quelle que soit sa nature. Cela se traduit par l’organisation régulière d’entrainements ou exercices de gestion de crise.

Dans cet article, nous allons voir pourquoi et comment mettre en place un exercice de crise, exercice de cyber-crise, et pourquoi il faut souvent renouveler l’opération.

Qu’est-ce qu’un exercice de crise ?

Pour une organisation, les exercices de crise ou plus exactement les exercices de gestion de crise sont des événements proactifs, des simulations de scénarios, organisés pour renforcer la capacité des différentes parties prenantes à la gestion de crise. Il s’agit d’un enchaînement d’événements fictifs proposant une mise en situation de crise réaliste et avec de réels enjeux.

Participer à des exercices est une façon pour les dirigeants et chaque membre de l’équipe de gestion de crise de tester leurs capacités à prendre des décisions, à réagir face à des urgences et des situations stressantes et aussi exécuter les tâches et missions qui leur ont été attribuées dans le cadre de la gestion de crises.

Les exercices sont aussi utilisés pour identifier les améliorations possibles aux plans de gestion de crise et pour développer les compétences individuelles et collaboratives nécessaires. On peut même les considérer comme des espaces d’apprentissage et de partage des connaissances.

D’une importance capitale, ils interviennent également pour valider les procédures de remontée d’alerte jusqu’à la mobilisation des cellules de crise. Enfin, déjà sous-entendu plus haut, les exercices de crise peuvent impliquer la haute direction au niveau stratégique, mais aussi le personnel au niveau opérationnel et tactique de l’organisation.

Quelques notes importantes au sujet des exercices de gestion de crise

Quand vous organisez des exercices de crise, prenez bien en compte les points suivants :

Un exercice de gestion crise n’a pas pour objectif de surprendre ou de piéger les participants, du moins lors des premiers essais, mais plutôt à les former et à les accompagner dans un entraînement cadré reposant sur des objectifs définis. Cela suppose qu’avant de lancer l’exercice, vous devez communiquer à tous les participants les objectifs et les différents points que vous attendez d’eux.

Un exercice ne peut être considéré comme réussi s’il n’a pas impliqué l’ensemble des parties prenantes à la gestion de crise. Un exercice où des membres ont été absents est un exercice bancal.

Un exercice de crise reste avant tout un simple exercice, aussi important soit-il. Pour cette raison, il ne doit avoir un impact réel sur les activités de votre entreprise. Par exemple, si dans le scénario l’apparition d’un incident de cybersécurité cause l’arrêt des machines, vos machines ne doivent pas s’arrêter pour de vrai. Il faut simplement le simuler ou faire semblant qu’ils sont à l’arrêt.

Un exercice de gestion de crise cyber préconisé tous les deux ans au minimum par l’ANSSI

En France, l’ANSSI (Agence nationale de la sécurité des systèmes d’information) est l’autorité nationale en matière de sécurité et de défense des systèmes d’information. Elle a pour mission d’assurer un service de veille, de détection, d’alerte et de réaction aux attaques informatiques. Quant à sa mission auprès des entreprises et des citoyens, elle consiste à faire la promotion d’une culture de la cyber sécurité.

En octobre 2020, l’ANSSI a publié un document d’une bonne centaine de pages sur la manière d’organiser un exercice de gestion de crise cyber. Elle y explique aussi que l’organisation régulière d’exercices de gestion de crise cyber est indispensable. Au minimum, les entreprises doivent organiser un exercice tous les deux ans, explique l’ANSSI.

Rappel, origine du  mot Crise

Les crises, sont perçues différemment selon les compréhensions des uns et des autres, mais il y a toujours une dimension d’hétérogénéité, d’où les difficultés de toujours bien faire le contour (crise économique, crise virale, crise technique, crise climatique, ou encore crise de réputation).

Mais l’origine du mot crise, la plus reconnue vient du Grec, avec un peu de latin au passage, Krisis semble en être la base selon les experts, avec de multiples et nombreux sens : action de diviser, action de choisir, action de séparer et action de décider, ce qui se rapproche le plus de nous.

Sénèque, le philosophe eut aussi son mot à dire sur le sujet de la crise, et il savait ce dont il parlait, lui qui provoqua une crise et fut l’un des initiateurs « direct ou indirect » de la mort de Néron, en tous cas ce qui est évident c’est qu’il réussit à le séparer d’Agrippine sa mère, peu avant son assassinat.

Les étapes à suivre pour concevoir un exercice de crise cyber ?

Voici les principales étapes à réaliser pour la mise en place d’un exercice de gestion de crise :

• Constituer un groupe en charge de l’élaboration de l’exercice de crise.

Il y a d’un côté l’équipe de gestion de crise et de l’autre un groupe de personnes qui va entraîner l’équipe de gestion de crise à faire face aux différentes crises les plus probables. Ce groupe aura pour mission de cadrer l’exercice, de rédiger le scénario, d’animer l’exercice et de réaliser le retour d’expérience.

• Définir les objectifs de l’exercice.

La formulation claire des objectifs de l’exercice facilite sa préparation, son exécution et son évaluation. Parmi les objectifs les plus classiques, il y a notamment la sensibilisation des participants aux problématiques cyber, celui de donner à l’équipe de gestion de crise et des équipes informatiques et de cybersécurité le temps et l’occasion de travailler ensemble, de vérifier et s’assurer que les participants ont pris en compte les enjeux soulevés par la cyberattaque, celui de tester la coordination de toutes les parties prenantes pendant la gestion de crise, de tester le dispositif de gestion de crise cyber en vue de sa mise à jour ou de son amélioration (les outils de communication, la répartition des tâches, le bon fonctionnement des chaînes d’alerte et d’escalade…) et plus encore.

• Choisir le thème de l’exercice.

Le thème de l’exercice de gestion de crise correspond au type de cyberattaque qui va être simulé. La règle est la suivante : aucune menace ne doit être écartée ou laissée de côté. Néanmoins, la priorité doit toujours être accordée aux menaces et aux scénarios les plus probables.

• Définir le scénario de l’exercice de gestion de crise.

Le scénario est un document qui décrit en détail l’ensemble de la situation de crise, ses rebondissements, les missions de chaque participant et aussi la manière dont la crise sera résolue. Chose importante à noter, qu’il soit une pure invention ou basé sur des faits réels, un scénario doit avant tout être pertinent et réaliste.

• Dérouler l’exercice.

Quelques jours avant l’exercice, le groupe en charge de l’élaboration de l’exercice doit briefer tous les participants et s’assurer de leur implication. Dérouler l’exercice consiste tout simplement à suivre pas à pas le chronogramme du scénario préparé.

Le plus et le mieux, utiliser un outil de gestion des astreintes et  cellules de crise.

Faire toutes les préparations nécessaires pour bien gérer les crises, c’est bien, mais si en plus vous pouvez vous faire aider par un outil spécialisé c’est encore mieux, surtout pour ne rien oublier.

Le MEMOGuard V5, de Clever Technologies est fait pour cela, c’est sa spécialité et ils savent ce dont ils parlent, car ils pratiquent la gestion des cellules de crise depuis plus de 20 ans déjà.

Faites vous faire un test gratuit, cela ne vous engage à rien, et vous aurez le loisir en détail de voir toutes ses options et fonctionnalités, un simple appel suffit tel. 00.33.1.60.53.60.53

Conclusion sur les raisons de faire des exercices de cyber-crise

Les raisons sont toujours multiples et variés de faire de temps à autre un exercice de cyber-crise, cela permet entre autres  :

• D’évaluer l’intégration de la cyber dans le dispositif de crise,
• D’améliorer les interactions entre les différentes cellules,
• De tester les procédures de remontée des alertes.
• De tester la capacité du département SSI à se faire comprendre de sa hiérarchie directe…
• En bref, de relever les soucis pouvant en résulter.
• De faire face et de corriger, les soucis ayant été relevés, par l’exercice de crise.
• Avec un but dans le viseur, valider l’ensemble des procédures de gestion de crise initialement  prévues,  qui auront été testées tout au long de la session d’entraînement.

Gardez à l’esprit que l’exercice de gestion de crise, est un projet et qu’il doit être géré et traité comme n’importe quel projet, avec la finalité de voir ce qui peut être amélioré, pour tenter de toujours être prêt pour y faire face.

Car en s’entrainant, le personnel et les équipes impliquées dans la gestion de crise, améliorent et développent exercice après exercice, les méthodes, les réflexes qui leur permettent de mieux collaborer et travailler ensemble.

Auteur Antonio Rodriguez Mota Editeur de Clever Technologies

Pour en savoir plus :

• Gestion de crise, communiquer et bien communiquer
• Fonction du Directeur de la sécurité ou de la sureté, gestion de crises