Skip to content

Bienvenue dans la gestion de crise cyber

Cyberguerre, cyberespionnage, cybermenace, plus un seul jour ne se passe sans attaque informatique d’ampleur (contre les intérêts stratégiques des nations ou même des grandes organisations). Les conflits géopolitiques entre les Etats ne cessent d’accroître. Pour défendre leurs intérêts, les grandes puissances n’hésitent pas à utiliser des technologies de pointe pour mener des attaques de plus en plus sophistiquées (APT) contre des pays adverses. Parfois, pour montrer leur supériorité, certains Etats poussent même leur cyber armée à mener des guerres numériques ou des opérations de renseignement sans limite afin de déstabiliser ses pays adverses, ce qui peut engendrer des conséquences grave sur les nations ou organisations cibles :

  • Perte en vies humaines (cas Russo-Ukrainien)
  • Sabotage économique
  • Destruction de données
  • Atteinte à la réputation
  • Perturbations des activités

En raison de leur nature, ces attaques menées par des puissances économiques ou des groupes d'attaquants peuvent être difficiles à détecter voire impossible à attribuer aux responsables spécifiques, ce qui rend sa prévention et sa gestion particulièrement complexe. C'est pourquoi il est important pour les Nations et Organisations de se préparer à d'éventuelles attaques (en passant par la mise en place des mesures de sécurité informatique solides), tout en préparant leurs ressources humaines à une éventuelle gestion de crise cyber.

I- Qu'est-ce qu'une crise de cybersécurité

Pour concrètement parler d'une gestion de crise cyber, il convient d'abord de rappeler qu'est-ce qu'une crise cyber.

Avant d'aller plus loin, il faudrait retenir que le socle d'une infrastructure protégée efficacement en matière de cybersécurité est constitué de trois (3) principes que sont la confidentalité, l'intégrité et la disponibilité. Si l'un de ces principes est violé, on ne pourra aucunement parler de sécurité informatique.

Par définition, une crise cyber est une situation où une organisation est confrontée à une attaque informatique ou à une violation de sa sécurité informatique compromettant ainsi la confidentalité, l'intégrité ou la disponibilité de l'ensemble de son système d'information. Un incident de sécurité majeur peut être causé par des acteurs malveillants, tels que des pirates informatiques, des groupes de cybercriminels ou encore des nations provoquant une crise cyber.

En cybersécurité, le risque cyber existe et existera toujours. Cependant, il faudrait reduire au maximum ce risque auquel on est constamment exposé, pour empêcher tout type de violation de sécurité pouvant mené vers une crise cyber. Il existe différents types de crises cyber qui peuvent menancer la sécurité des nations, organisations, ect.

II- Différents types d'attaques informatique pouvant mener à une crise cyber

Il existe différents types d'attaques informatique pouvant mener à une crise de cybersécurité (selon la nature et l'ampleur de l'attaque). Ces atatques peuvent également engendrer des conséquences très négatives sur les organisations.

  • les attaques visant des infrastructures critiques : ces types attaques ciblent les systèmes d'infrastructure critique, tels que les systèmes industriels (SCADA), les réseaux électriques, les réseaux de transport ou même les systèmes de distribution d'eau. Elles peuvent avoir des conséquences très impactantes sur la société dans son ensemble.
  • les attaques par déni de service (DDOS) : sont des attaques visant à rendre indisponible un service en ligne, un site web ou tout autre ressource informatique ou réseau en submergeant les serveurs cibles de trafics malveillants. Cela peut entraîner une surcharge voire une interruption de service.
  • les attaques par ransomware : visent à chiffrer l'ensemble des données d'une organisation en réclamant le paiement d’une rançon pour les déchiffrer. Cela peut entraîner la perte des données voire la divulgation de celles-ci (en cas de refus de paiement).
  • l'espionnage industriel : cette pratique a consiste à voler des informations sensibles, telles que des secrets industriels ou commerciaux, dans le but de nuire à l'organisation ou de les vendre à des concurrents.
  • la violation des données : il s'agit de l'accès non autorisé, de la divulgation ou du vol de données sensibles appartenant à une organisation.

III- Comment anticiper une crise cyber ?

L’une des spécificités de la crise cyber est qu’elle peut être le résultat de la détection tardive d’une cyberattaque ayant pris naissance plusieurs jours voire plusieurs mois auparavant. C'est pourquoi il est indispensable de mettre en place des systèmes de détection et de prévention au sein de nos différentes organisations afin de prévenir tout type de suspicion d'attaque.

Pour ce faire, les organisations doivent constamment améliorer leurs faiblesses à travers la réalisation des exercices de mise situation réel. Ces exercies permettront d'anticiper d'éventuelles cyberattaques et d'avoir des bons gestes et réflexes à adopter lors d'une gestion de crise réelle et de mieux gérer le stress d'une crise. Cependant, l'anticipation d'une crise cyber ne se limite pas seulement qu'à la réalisation des exercices de simulation. Il faut également évaluer l'ensemble des risques cyber auxquels nos organisations pourront faire face tout en identifiant les différents scénarios d'attaques comme nous le décrit la méthode (EBIOS Risk Manager).

1- Évaluation des risques cyber

La phase d'évaluation des risque consiste à évaluer l'ensemble des risques cyber auxquels une organisation peut être exposées notamment, ses faiblesses. Cette phase permettra de ressortir les différentes faiblesses d'un systèlme d'information, de prévenir les cyber risques. Au cours de cette phase, on peut retrouver :

  • l'évaluation des actifs : qui consiste à identifier l'ensemble des actifs d'une organisation afin de connaître les plus critiques et les plus suspectibles d'être ciblés par une attaque.
  • l'identification des vulnérabilités critiques : qui permet d'identifier de potentielles vulnérabilités sur les actifs afin de remédier à ces dernières.
  • l'analyse des menaces : qui consiste à effectuer une analyse appronfondie de actifs pour la détction de potentielles menaces cyber.

2- Mise en place des scénarios d'attaque

La mise en place des scénarios d'attaque reste une étape cruciale dans la phase d'anticipation. Cette étape consiste à tester les différentes techniques d'attaque dont une organisation pourra potentiellement faire face. A travers ces scénarios d'attaque, l'organisation pourra mettre en place des mesures de protection lui permettant ainsi de réduire sa surface d'attaque.

Comment faire face à une situation de crise ?

IN COMMING...............

a- Fiche Réflexe

Une Fiche Réflexe (FR) est utilisée en cas de détection d'un incident de sécurité qui ne nécessite pas le déclenchement d'une crise. Elle est transmise au responsable du SOC, qui est chargé de la partager avec les membres du SOC responsables de la résolution de l'incident (les analystes). La fiche réflexe décrit la procédure de résolution d'un incident. Après son application, cette procédure est censée permettre la clôture de l'incident de sécurité.

Si la résolution échoue malgré l'application de la procédure décrite dans la fiche réflexe, une procédure d'escalade est mise en place. Cette procédure d'escalade peut conduire au déclenchement d'une crise. Dans ce scénario, les fiches réflexes ne sont plus utilisées.

PCO :

Comment garantir la continuité opérationnelle en cas de sinistre ?

Fiche de secours

Comment corriger de manière définitive un sinistre ?

b- Fiche Secours

Une Fiche Secours (FS) est utilisée dans le cadre d'une détection d'incident de sécurité déclenchant une crise. Cette fiche est mise en œuvre après la mise en application de la fiche de contournement. La fiche de secours est transmise au responsable du SOC, qui a pour mission de la partager avec les membres du SOC chargés de la résolution de l'incident.

La fiche secours décrit une procédure complète visant à corriger l'incident de sécurité afin de rétablir un fonctionnement normal et de clôturer l'incident.

Fiche de contournement

Comment faire face temporairement à un sinistre ?

c- Fiche de Contournement

Une Fiche de Contournement (FC) est utilisée en cas de détection d'un incident de sécurité déclenchant une crise. Elle est la première fiche apportant des actions de remédiation à être utilisée. Elle est également transmise au responsable du SOC, qui a pour mission de la partager avec les membres du SOC chargés de la résolution de l'incident.

La Fiche de Contournement décrit une procédure temporaire visant à isoler l'attaque tout en assurant la continuité des opérations, sans pour autant clore l'incident. En effet, l'objectif de cette fiche n'est pas de clôturer l'incident, mais de proposer une procédure rapide pour limiter les impacts opérationnels (garantir la continuité des opérations) et réduire la portée de l'attaquant en isolant les machines touchées.

Fiche alerte : Procédure de déclenchement de crise en cas de sinistre

d- Fiche Alerte

Une Fiche Alerte (FA) est utilisée en cas de détection d'un incident de sécurité déclenchant une crise. Elle a pour but de mettre en place une cellule de crise en convoquant les acteurs nécessaires. Elle définit :

  • les acteurs à contacter
  • les moyens de prise de contact à utiliser

Une Fiche Alerte se compose de plusieurs parties :

  • le type d'impact (indisponibilité du système, divulgation d'informations, etc.) ;
  • les objectifs commerciaux concernés ;
  • la procédure de prise de contact.

Cette fiche est transmise au responsable de la Management Blue Team (MBT), qui a pour mission de former la cellule de crise.

PGC : Procédure de déclenchement d’une crise

Coming soon.........