Cybersécurité - 23 Sep 2022

Exercice de gestion de crise cyber - Exercice et Retex

3 min de lecture

Dans nos précédents articles, nous avons vu les phases de Conception et de Préparation d’un exercice de gestion de crise cyber en suivant le guide de l’ANSSI et du CCA. Ici nous traitons du déroulement de l’exercice et du retour d’expérience à formaliser.

Dérouler son exercice de gestion de crise cyber

C’est le jour J : vous avez défini les contours de votre exercice, vu le casting, préparé les stimuli et le chronogramme, briefé les participants sur ce que l’on attend d’eux, préparé les documents support (main courante …). Maintenant nous déroulons l’exercice !

Appliquer ce qui est prévu

Les équipes démarrent par un rappel des objectifs et des règles de l’exercice ainsi qu’une mise en situation pour redonner le cadre de l’exercice.

Les animateurs s’appuient sur le chronogramme et le respectent (on a dit ce que l’on ferait, on fait ce que l’on a dit), tout en sachant s’adapter (voir ci-dessous).

Il est possible de concrétiser certains impacts (par exemple si le PC du DSI est compromis, on peut lui demander de ne pas l’utiliser pendant une partie de l’exercice !). Il en est de même pour certaines mesures de contournement ou de limitation de la propagation (s’isoler du réseau …).

 

Mais savoir s’adapter

Suivre le chronogramme du mieux possible : oui, pour autant il est nécessaire de s’adapter aux joueurs pour ne pas les perdre.

S’il faut décaler tel ou tel stimuli prévus à tel moment dans le chronogramme (le temps que l’utilisateur réponde au stimuli précédent) mais que c’est pour le bien de l’exercice alors il faut le faire. Si l’on doit trop modifier le chronogramme, une décision collégiale du groupe d’animateurs est requise pour s’assurer que tout le monde est aligné.

Conseil : le guide de l’ANSSI indique que généralement 70% des stimuli du chronogramme sont respectés et que 30% sont remaniés voir improvisés (généralement suite à des questions ou réactions de joueurs que l’on n’avait pas anticipé). Essayez de rester dans ces proportions !

 

Connaitre les principaux écueils pour les éviter

Quand bien même l’exercice est préparé, la manière dont chacun réagit le jour J n’est pas connue par avance.

Les écueils courants sont (le guide donne des recommandations) :

  • La cellule de crise décisionnelle devient une cellule de crise opérationnelle
  • Incompréhension entre décisionnels et opérationnels
  • Contradiction entre les décisions prises et l’objectif de l’exercice
  • Sur sollicitation d’équipes techniques au détriment des joueurs impliqués
  • Manque de compréhension et d’explication des problématiques cyber

A cela on pourra ajouter le manque d’implication de certains joueurs qui attendent d’être sollicités par les autres. A l’inverse certains sont omniprésents et « étouffent » les autres joueurs leur laissant peu de place.

 

Tirer les enseignements (REX)

Le retour d’expérience est un élément important de l’exercice car il permet d’en évaluer la pertinence, l’efficacité etc. et donnera des éléments factuels et structurants pour améliorer le suivant.

 

Organiser un retour d’expérience à chaud

En fin d’exercice un animateur fait un tour de table avec l’ensemble des participants (les joueurs puis les observateurs, pour ne pas influencer les joueurs) .

On y parle pas que du jour J mais aussi de la préparation, du scénario, de la qualité de la communication, de la logistique (salle …), du casting … il est important que chaque participant prenne la parole.

Eventuellement un petit questionnaire permet de formaliser les points clefs attendus durant le retour d’expérience.

 

Organiser un retour d’expérience à froid

Ce REX est plus formel et plus détaillé ; une ou plusieurs restitutions sont à prévoir (une restitution très générale/managériale, une autre plus détaillée pour les équipes opérationnelles). Bien entendu toutes ces réunions ont été planifiées bien en avance, avant même de réaliser l’exercice. Ce sont des jalons de notre projet « organiser un exercice de gestion de crise cyber ».

La main courante et le REX à chaud sont des éléments importants pour la création du REX à froid, tout comme les mails échangés durant l’exercice et le retour des observateurs.

Il faut un REX juste et équilibré, avec les points faibles mais aussi les points forts. Il doit être synthétique et se baser sur des éléments factuels.

Un plan d’action synthétisera les améliorations à apporter pour le prochaine exercice (de la conception à la tenue de l’exercice).

 

Conclusion

Cet article conclut cette courte série dont l’objectif est de vous donner envie de consulter le Guide de l’ANSSI : « Organiser un exercice de gestion de crise cyber ».

Bien organiser l’exercice, d’autant plus quand c’est le premier, demande pas mal de préparation et de temps.

Mieux vaut démarrer avec un exercice court et pragmatique pour mettre le pied à l’étrier, sensibiliser les parties prenantes et les faire adhérer à la démarche.

L’animation de l’exercice en lui même est un élément clef du succès de l’exercice à condition d’avoir un chronogramme bien pensé et des stimuli vraisemblables. Il faut donc :

  • passer/investir suffisamment de temps sur la préparation : 20 à 30 jours*homme pour un exercice court, (10 c’est pas assez, 50 ca fait trop)
  • répéter l’exercice entre animateurs avant de le dérouler réellement.
  • s’adapter aux réponses/réactions des participants sans frustration de part et d’autre

L’équipe Iwyco et ses partenaires peuvent vous accompagner dans la préparation et la tenue d’un tel exercice, ou plus en amont par la réalisation d’un « serious game » qui aura la vertu de sensibiliser certains décideurs au sujet et de débloquer du budget pour préparer plus sereinement un premier exercice.

Envie d’un prestataire qui délivre ?

Nos équipes sont à votre disposition pour échanger sur vos besoins et projets en cours pour étudier avec vous l’approche la plus efficace pouvant impliquer iwyco et/ou ses partenaires.

Nous contacter