ORGANISER UN EXERCICE DE GESTION DE CRISE CYBER COLLECTION GESTION DE CRISE CYB

ORGANISER UN EXERCICE DE GESTION DE CRISE CYBER COLLECTION GESTION DE CRISE CYBER 2 3 ORGANISER UN EXERCICE DE GESTION DE CRISE CYBER GUIDE COLLECTION GESTION DE CRISE CYBER 4 SOMMAIRE Éditorial.........................................................................................................................................................................6 Présentation.............................................................................................................................................................8 RECOMMANDATIONS PRÉALABLES : POSITIONNER SA RÉSILIENCE CYBER AU PLUS HAUT NIVEAU..................................................10 Phase 1 : comprendre les spécificités du cyber. ...............................................................12 Qu’est-ce qu’une crise cyber ?. ...........................................................................................................12 Comment appréhender les exercices de gestion de crise cyber ?. .........................15 Phase 2 : inscrire l’exercice dans une réflexion globale de résilience. ........17 Constituer un programme d’exercices.........................................................................................18 Saisir les opportunités de l’exercice...............................................................................................18 Fédérer et communiquer autour de l’exercice......................................................................20 ÉTAPE 1 : CONCEVOIR SON EXERCICE..................................................................22 Phase 1 : cadrer l’exercice.......................................................................................................................24 Constituer un groupe projet. ...............................................................................................................24 Définir les objectifs....................................................................................................................................25 Fiche pratique n° 1 : définir les objectifs de l’exercice. .......................................................26 Déterminer le format de l’exercice................................................................................................28 Choisir le thème......................................................................................................... 31 Fiche pratique n° 2 : identifier les événements et incidents pertinents pour votre exercice..................................................................................................................................................32 Déterminer la durée. ..................................................................................................................................34 Nommer son exercice. ..............................................................................................................................35 Prévoir les moyens logistiques. ...........................................................................................................35 Déterminer le calendrier........................................................................................................................36 Phase 2 : identifier les parties prenantes et les joueurs..........................................38 Fiche pratique n° 3 : produire un cahier des charges - exemple fil rouge RANSOM20. ....................................................................................................44 ÉTAPE 2 : PRÉPARER SON EXERCICE.........................................................................48 Phase 1 : définir le scénario. ..................................................................................................................50 Interviewer les experts. ............................................................................................................................53 Fiche pratique n° 4 : rédiger le scénario - exemple fil rouge RANSOM20. .............55 Phase 2 : rédiger le chronogramme. ..............................................................................................61 Définir le rythme et l’intensité de l’exercice............................................................................61 Simuler les enjeux de communication et la pression médiatique. ......................................................................................................................63 Fiche pratique n° 5 : simuler la pression médiatique, rôles à incarner et questions à se poser. .............................................................................................................................66 5 Rédiger les stimuli........................................................................................................................................68 Fiche pratique n° 6 : Rédiger un chronogramme : mode d’emploi exemple fil rouge RANSOM20. .............................................................................................................70 Phase 3 : préparer les autres documents............................................................................... 76 Fiche pratique n° 7 : produire un dossier de mise en situation - exemple fil rouge RANSOM20. .............................................................................................................78 Fiche pratique n° 8 : observer un exercice..................................................................................82 Phase 4 : briefer les participants et s’assurer de leur implication.................86 Briefer les animateurs et les observateurs................................................................................86 Briefer les joueurs. ........................................................................................................................................86 ÉTAPE 3 : DÉROULER SON EXERCICE.......................................................................88 Phase 1 : appliquer ce qui est prévu............................................................................................90 Mettre les joueurs en situation..........................................................................................................90 Suivre le chronogramme. ........................................................................................................................90 Concrétiser les impacts. ...........................................................................................................................91 Phase 2 : s’adapter aux joueurs. ........................................................................................................92 Suivre leur rythme.......................................................................................................................................92 Répondre à leurs réactions inattendues....................................................................................93 Fiche pratique n° 9 : éviter les écueils les plus fréquemment rencontrés.............96 Fiche pratique n° 10 : contourner les biais de simulation................................................100 ÉTAPE 4 : TIRER LES ENSEIGNEMENTS DE SON EXERCICE...104 Phase 1 : organiser un RETEX à chaud......................................................................................106 Phase 2 : réaliser un RETEX à froid..............................................................................................109 Phase 3 : produire un rapport écrit et prévoir une restitution.......................110 Fiche pratique n° 11 : produire un RETEX - exemple fil rouge RANSOM20..........112 Conclusion............................................................................................................................................................119 Annexe 1 - Liste des livrables à produire pour l’exercice. ......................................121 Annexe 2 - Glossaire. ..................................................................................................................................122 Annexe 3 - Ressources utiles.............................................................................................................125 6 ÉDITORIAL L a sécurité informatique a ceci de frustrant que trop souvent les bienfaits des efforts en la matière sont peu visibles : une attaque enrayée par une bonne préparation ne fait pas de bruit ! Mais ne nous faisons pas d’illusions : l’ampleur du risque est bien réelle et le manque d’anticipation, souvent dévastateur. J’aime à rappeler qu’en matière de protection des systèmes d’information, l’anticipation est la clé. Je sais qu’elle représente un investissement pour les organisations qui ont par ailleurs d’autres réalités à considérer. La responsabilité de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) est donc de soutenir leurs efforts en ce sens et, continuellement, de rappeler l’importance des enjeux de cybersécurité. Face à la menace, l’organisation d’exercices est fondamentale. J’en suis témoin ! En s’entraînant, les équipes impliquées dans la gestion de crise développent, exercice après exercice, des réflexes et des méthodes pour mieux travailler ensemble. Lorsqu’une attaque survient, elles sont alors prêtes à y faire face. D’autant que les crises cyber ont leurs spécificités. Il ne faut surtout pas attendre la catastrophe pour apprendre à en maîtriser les rouages ! Fruit d’une riche expérience, développée au fil des années, dans l’organisation d’exercices de gestion de crise cyber, ce guide vous accompagnera dans la mise en place de vos propres entraînements. Je souhaite qu’il contribue à vous permettre de développer les compétences de vos équipes et ainsi à renforcer la résilience de votre organisation. Guillaume Poupard Directeur général de l’ANSSI 7 L e Club de la Continuité d’Activité (CCA) est une association comprenant plus de 80 membres, entreprises et cabinets de conseils. Sa vocation première est le partage des bonnes pratiques entre adhérents sur la gestion de la crise et de la continuité d’activité. Après plus de dix ans d’existence, le CCA est devenu un acteur essentiel dans la promotion de la résilience de l’entreprise. Thème de l’un de nos derniers exercices annuels inter-entreprises avec plus de 100 participants et sujet régulier de nos séminaires, autour notamment de la communication de crise, le risque cyber est l’une de nos préoccupations majeures. Par les impacts multiformes et sévères qu’il peut engendrer, il fait régulièrement l’objet d’analyses et de partages d’expérience au sein de l’ensemble de nos groupes de travail. Échanger et s’entraîner sont les deux mots qui nous animent en tant que praticiens de la crise, de la continuité d’activité et de la résilience dans nos organisations. Ce guide permet à de nombreuses organisations de pouvoir réaliser un exercice de crise cyber en toute autonomie. Il est une base très structurante pour l’appréhension de ce risque qui touche tous les secteurs et toutes les tailles d’organisation. Vincent Vallée Président du CCA Face à une menace informatique toujours croissante et en mutation, l’amélioration de la résilience numérique par l’entraînement à la ges­ tion de crise cyber n’est plus seulement une opportunité, mais bien une nécessité pour toutes les organisations. Ce guide vise à accompagner, pas à pas, les organisations dans la mise en place d’un exercice de gestion de crise d’origine cyber1 vraisemblable et formateur, pour les joueurs comme pour les organisateurs. Il propose une méthodologie basée sur le standard reconnu de la norme relative aux exercices (ISO 22398:2013). À qui s’adresse ce guide ? Toute organisation privée comme publique, petite ou grande, souhaitant s’entraîner à la gestion de crise cyber peut consulter ce guide. Plus particulièrement, il s’adresse à toute personne souhaitant mettre en place un exercice de niveau décisionnel2 visant à entraîner la cellule de crise de son organisation : risk managers, responsable de la conti­ nuité d’activité, des exercices ou de la gestion de crise, responsable de la sécurité des systèmes d’information ou équivalent, etc. Ce guide ne vise ainsi pas à construire des exercices purement techniques proposant par exemple une simulation complète d’un système d’information (SI) à l’aide de machines virtuelles (dit « cyber range »). Que contient-il ?   Quatre étapes accompagnées de fiches pratiques qui les complètent et les illustrent ;   des recommandations issues de l’expérience de l’ANSSI et des membres du groupe de travail gestion de crise du CCA ; 8 1 : Par abus de langage, dans la suite du guide l’expression « gestion de crise cyber » est employée pour « gestion de crise d’origine cyber » et « exercice de crise cyber » pour « exercice de crise d’origine cyber ». 2 : Le « niveau décisionnel » fait ici référence à une cellule de crise, composée des membres de la direction et des métiers impliqués dans la crise, qui sera en charge d’assurer le suivi et le pilotage de la gestion de la crise et de prendre des décisions. PRÉSENTATION   un exercice complet en fil rouge du guide, dénommé RANSOM20 et développé progressivement pour illustrer chaque étape ;   des annexes dont un glossaire définissant l’ensemble des expressions employées dans ce guide spécifiques aux exercices. Comment l’utiliser ? Les étapes peuvent être consultées indépendamment les unes des autres en fonction de l’expérience de l’organisation et de ses besoins en matière d’exercices de gestion de crise. Ce format permet également d’envisager une externalisation de tout ou partie de ces étapes, afin que chaque organisation, quelle que soit sa taille et son budget, puisse s’engager dans ce type d’exercice. 9 Le fil rouge : RANSOM20 Tout au long du guide, un exemple d’exercice (RANSOM 20) est développé. Il permet d’illustrer des recommandations formulées à chaque étape. Afin de pouvoir être utilisé et adapté par le plus grand nombre, l’exemple porte sur une cyberattaque par rançongiciel. Ce mode opératoire constitue une tendance qui s’intensifie et qui touche les grandes organisations comme les plus petites. Cet exemple est développé dans différentes fiches pratiques qui, une fois compilées, forment un exercice complet réutilisable par toute organisation. Pour en savoir plus sur l’exercice RANSOM20, vous pouvez consulter son scénario (voir fiche pratique n° 4) ou son chronogramme (voir fiche pratique n° 6). EXERCICE RANSOM20 10 PHASE 1 : Comprendre les spécificités du cyber.............................................12 PHASE 2 : Inscrire l’exercice dans une réflexion globale de résilience...........................................................................................................................17 RECOMMANDATIONS PRÉALABLES POSITIONNER SA RÉSILIENCE CYBER AU PLUS HAUT NIVEAU 11 Ces recommandations préalables permettent d’aborder uploads/Management/anssi-guide-organiser-un-exercice-de-gestion-de-crise-cyber-v1-0.pdf

  • 27
  • 0
  • 0
Afficher les détails des licences
Licence et utilisation
Gratuit pour un usage personnel Attribution requise
Partager
  • Détails
  • Publié le Jul 23, 2022
  • Catégorie Management
  • Langue French
  • Taille du fichier 1.8854MB