Exercice de gestion de crise cyber - Préparation
Dans notre précédent article, nous avons vu la partie « Conception » (ce qu’on souhaite faire) d’un exercice de gestion de crise cyber en suivant le guide de l’ANSSI et du CCA. Ici nous traitons de la partie « Préparation » (comment on va le faire), qui est normalement la plus consommatrice en temps.
Préparer son exercice de gestion de crise cyber
En sortie de la phase de Conception nous avons pu formaliser le contexte, la durée, les objectifs, le thème, les participants etc de notre exercice de gestion de crise.
Il s’agit maintenant de mettre cela en musique et de préparer concrètement cet exercice, principalement via des stimuli et un chronogramme.
Définir le scénario
Le scénario prévoit un évènement vraisemblable conduisant à l’activation de la cellule de crise sur le thème que l’on a choisi (phishing, ransomware …).
Il couvre à minima les phases de réaction immédiate et d’investigation, et pas obligatoirement la phase de remédiation. (Celle-ci peut faire l’objet d’un autre exercice que l’on déroule quelques mois plus tard en continuité du premier)
Le scenario :
- a pour point de départ une attaque informatique,
- prévoit des conséquences et impacts métiers,
- contient des détails techniques sur l’attaque,
- tient compte de l’environnement de l’organisation (contraintes réglementaires, écosystème …).
La résolution technique de la situation est à envisager lorsque l’exercice est limité à une demi-journée ou moins.
Conseil : évitez un scénario catastrophe ou peu vraisemblable qui provoquerait un désengagement des participants. Pour cela, interviewez les experts, cela permettra également d’affiner le chronogramme et son réalisme.
Conseil : Pour un premier exercice, proposer une sortie de crise immédiatement en fin de scénario peut donner l’impression qu’une crise cyber se résout rapidement.
Prévoir et rédiger les stimuli
Les stimuli sont à préparer/rédiger avant l’exercice. Ce sont des éléments clefs de votre exercice de gestion de crise cyber.
Cela peut-être des emails, un script téléphonique à suivre avec un ou plusieurs des joueurs, une copie d’écran simulant un message lié à une intrusion, un fichier de log fictif, un message du hacker sur les réseaux sociaux indiquant qu’il a attaqué avec succès votre organisation …
Conseil : prévoir quelques stimuli complémentaires / de rechange pour s’adapter à la réaction des participants durant l’exercice car ceux-ci ne suivront peut-être pas le script parfait que vous aviez imaginé.
Conseil : sur un scénario basé sur un 0-Day, le CERT FR recense les vulnérabilités les plus récentes et les plus graves, ce qui peut être source d’inspiration.
Rédiger le chronogramme
Le chronogramme est un tableau qui décrit le déroulement chronologique de l’exercice en ligne à ligne. Il intègre les stimuli et les interactions entre les joueurs et les animateurs. Ces derniers doivent savoir s’adapter aux réactions des premiers.
Il est crucial d’interviewer les experts pour bâtir ce chronogramme pour qu’il soit vraisemblable, sous peine de démobiliser les joueurs durant l’exercice de gestion de crise cyber.
Le chronogramme définit le rythme et l’intensité de l’exercice. il ne se déroule pas en temps réel mais en temps accéléré car certaines phases peuvent prendre du temps (des investigations par exemple).
Même en temps accéléré il est possible de faire ressentir la longueur de certaines actions ; par exemple envoyer un stimuli toutes les 2 à 3 minutes en phase de détection de l’attaque (on découvre que tel ou tel site est lui aussi compromis), puis attendre 10 à 15 minutes pour avoir le résultat des investigations.
Sachez que cela va créer de la frustration et des incertitudes, qu’il faudra le gérer et que c’est normal. Quand un participant dit « appelez le SOC pour savoir comment les hackeurs sont rentrés, s’ils ont exfiltrer de la donnée », il ne faut pas s’attendre à avoir toute les réponses en quelques minutes dans l’exercice (ce qui correspondrait à quelques heures seulement « dans la vraie vie » où c’est bien souvent plus long).
Conseil: renvoyer des éléments inconnus que l’on complète au fur et à mesure du chronogramme renforce auprès des acteurs le sentiment d’incertitude inhérent à une attaque cyber.
Conseil : Le guide de l’ANSSI contient un mode d’emploi dédié à la rédaction du chronogramme avec différentes recommandations structurantes. Un exemple complet au format Excel est téléchargeable.
Option : Simuler les enjeux de communication et la pression médiatique
Les crises cyber peuvent avoir un impact sur votre image et votre réputation.
Certains exercices pourront simuler la pression médiatique (dans le chronogramme : appel de faux journalistes à des participants, faux articles de presse …). D’autres simuleront les communications internes vers l’extérieur et les parties prenantes.
Dans les deux cas l’équipe projet doit s’entourer des communicants de votre organisation ne participant pas à l’exercice pour intégrer ce(s) volet(s) au scénario.
Conseil : le guide de l’ANSSI contient un ensemble de questions types pour simuler ce type d’interaction + une fiche pratique sur le sujet.
Préparer les autres documents
L’exercice nécessite différents documents complémentaires au-delà du cahier des charges et du chronogramme, selon le public concerné.
Pour les animateurs :
- L’annuaire de l’exercice
- La main courante
- Certains stimuli (un message sur les réseaux sociaux, une copie d’écran de données exfiltrées …)
Pour les joueurs :
- L’annuaire
- Des dossiers de mise en situation (document qui plante le décor)
- Les conventions d’exercice (la règle du jeu)
- Diverses documentations utiles
Pour les observateurs :
- Fiche d’observation
- Accès à la main courante des animateurs (facultatif)
Conseil : consulter en détail les deux fiches pratiques du guide : « produire un dossier de mise en situation » et « observer un exercice »
Briefer les participants et les impliquer
Briefer tant les observateurs que les animateurs et les joueurs une à deux semaines avant l’exercice pour rappeler les objectifs de chacun et les rappeler à nouveau succinctement le jour J avant de démarrer l’exercice.
Le dernier article de cette série porte sur la réalisation de l’exercice et le retour d’expérience.