Exercice de gestion de crise cyber - Conception
Dans notre précédent article, nous avons introduit le guide de l’ANSSI et du CCA sur l’exercice de gestion de crise cyber. Ici nous traitons de la partie « Conception », qui est la première (suivie de Préparation, Déroulement de l’exercice, Retour d’expérience).
Concevoir son exercice de gestion de crise cyber
La phase de conception reste assez macroscopique. Elle traite plus du « quoi » que du « comment » (qui sera abordé en phase de Préparation)
L’organisation d’un exercice de gestion de crise cyber doit être adressée comme un mini projet à dérouler en cycle en V. Il a des phases et des étapes, des porteurs et des contributeurs, des livrables en entrée et en sortie, un planning à respecter, des moyens à allouer etc.
La Conception est une phase de cadrage avec pour principal livrable le cahier des charges de l’exercice.
Constituer l’équipe projet
L’équipe projet devra notamment :
- Cadrer l’exercice et définir ses objectifs
- Rédiger le scénario et le chronogramme
- Animer l’exercice
- Réaliser le retour d’expérience.
Elle est donc composée des concepteurs de l’exercice qui seront souvent les coordinateurs pendant qu’on le déroule, et pas uniquement d’acteurs qui seront « actifs » dans la résolution de la crise.
L’équipe projet a un responsable, un porteur, qui est le chef de projet de l’organisation de l’exercice.
Définir les objectifs
Selon le niveau de maturité de l’organisation et/ou la possibilité de mobiliser (ou pas) certains intervenants, les objectifs pourront être de différentes natures :
- Sensibiliser les participants aux problématiques cyber (pour ceux habitués de la continuité d’activité « classique » par exemple)
- Former et entrainer le personnel (cela peut inclure des prestataires clefs comme un hébergeur/infogérant)
- Tester le dispositif de gestion de crise cyber (chaines d’alertes, outils utilisés …)
Déterminer le format de l’exercice
Deux principaux formats se distinguent :
- Exercice sur table de 2 à 3 heures (prévoir 6 semaines de préparation environ)
- Exercice de simulation d’une demie journée à 2 jours (prévoir 2 à 6 mois de préparation selon la complexité)
Conseil : Cela dépendra des moyens que l’on pourra allouer à l’exercice et de la maturité des équipes sur ce type d’exercice. Evitez la simulation sur deux jours si votre organisation n’a jamais organisé d’exercice cyber auparavant.
Définir la thématique
Il faut aussi choisir le thème avec le type d’attaque (ransomware, phishing, vol de données, déni de service, défiguration de site web…).et les impacts potentiels (atteinte à la réputation, impact RGPD/CNIL, impact juridique, pertes de production …).
Il est possible de choisir son thème selon la vraisemblance du type d’attaque, ou selon le type d’impact si l’on souhaite tester telle ou telle composante de la gestion de crise (juridique, …). Pour les exercices complexes vous pouvez combiner (ransomware avec extraction de données par exemple)
Conseil : pour éviter les objections d’une équipe qui dira que ses systèmes sont inattaquables, vous pouvez prendre en scénario une faille de type « 0-day » pour laquelle il n’y a pas encore de patch, ou une attaque indirecte via un prestataire par exemple.
Nommer son exercice
Comme pour un projet à qui l’on donnerai un nom, l’exercice aura son propre nom, éventuellement selon la thématique (RANSOM-01, RGPD-2022) …
Identifier les joueurs et les parties prenantes
Quatre catégories d’intervenants :
- Les experts : ils contribuent à la construction du scénario de l’exercice. Ils peuvent ensuite être animateurs ou observateurs.
- Les animateurs : ils déroulent le scénario durant l’exercice et activent les « stimuli » prévus au chronogramme. Il faut à minima un animateur + un personne gérant la main courante de l’exercice. Selon la complexité de l’exercice plusieurs animateurs peuvent intervenir en parallèle.
- Les observateurs : ils observent le fonctionnement du dispositif de gestion de crise et n’interviennent pas (contrairement aux animateurs) afin de noter les points positifs et les axes d’amélioration
- Les joueurs : ils sont ceux qui feront face à la gestion de crise sans connaissance préalable du scénario
Conseil : bien consulter les fiches du guide décrivant précisément ce que chaque persona/profil doit faire (et ne pas faire)
Conseil : quand une personne qui n’a jamais participé à un exercice est réfractaire, il est judicieux de la faire participer une première fois en observateur.
Rédiger le cahier des charges
A un moment il faut formaliser les différents choix et orientation pris durant la phase de conception.
Cela est fait dans la cahier des charges de l’exercice, qui reste un document assez synthétique mais structurant pour la suite.
Conseil : reprendre et adapter la fiche pratique « Rédiger un cahier des charges » du guide, qui est déclinée pour un exercice sur le thème des ransomwares.
Caler le calendrier
L’exercice est piloté en mode projet, il tient compte de la charge de travail nécessaire à sa préparation, aux disponibilités des participants et de la durée de l’exercice en lui-même.
Comme pour tout projet il y a quelques grands jalons:
- Une réunion de lancement avec le sponsor, les grands objectifs, un macro planning et le casting de l’équipe projet et la répartition des rôles et responsabilités.
- L’interview de différents experts pour affiner la thématique et préparer un exercice vraisemblable
- La rédaction du cahier des charges de l’exercice
- La rédaction du chronogramme (déroulé chronométré de l’exercice tel que l’on compte le dérouler)
- Des réunions de suivi de projet pour en vérifier l’avancement et les livrables
- Une réunion finale de planification de l’exercice
- Le briefing des « joueurs » participant à l’exercice, le briefing des coordinateurs et observateurs
- La date de l’exercice (+ une date supplémentaire en cas de report)
- Le REX à chaud puis le REX à froid (environ 2 à 4 semaines après l’exercice)
Conseil : être réaliste dans la planification (ne pas vouloir aller trop vite) et maintenir tant que possible les dates pour ne pas démobiliser les participants.
Prévoir la logistique
Une salle de cellule de crise, des outils à utiliser en mode dégradé (ordinateurs, moyens de communication …), des affichages pour suivre l’avancement de l’exercice et de la situation.
Si votre organisation dispose déjà de moyens spécifiques pour la gestion de crise, ré-utilisez les ou faites les amender si nécessaire pour tenir compte des spécificités d’une crise cyber.
Notre prochain article portera sur la phase de Préparation de l’exercice cyber (Comment le dérouler, chronogramme ….)