Organiser une cellule de crise en cas de cyberattaque

Organiser une cellule de crise est la première action à faire lors d’une attaque informatique. En effet gérer une crise informatique est une véritable course contre la montre. L’impact d’un piratage informatique peut se propager rapidement et nuire à l’entreprise (fuites de données, paralysie du système informatique). La mise en place des cellules de crise pour diriger et mener les opérations d’urgence est alors indispensable. Elle est effectuée dans le cadre de la préparation en amont pour garantir l’efficience d’une gestion de crise. En effet, l’anticipation est le meilleur moyen de gérer une urgence. Les cellules de crises doivent être adaptées au caractère multidisciplinaire du cyberattaque et réunir des compétences organisationnelles et à des compétences techniques (sécurité informatique).

Gestion d’une crise informatique – les spécificités

Pour assurer l’efficacité de la gestion de crise, les spécificités propres à une attaque informatique doivent être prises en compte.

  • Invisibilité : Contrairement à d’autres incidents classiques tels qu’une incendie un séisme ou une crue, une cyberattaque est plus difficile à identifier. D’une manière générale, elle est invisible et sa détection prend un certain temps. Ainsi, le système de surveillance à mettre en place doit détecter des signes précurseurs afin de permettre à l’entreprise de réagir à temps.
  • Imprévisibilité : Dans de nombreux cas, les attaques informatiques ont été détectées longtemps après leur occurrence. Par conséquent, l’évaluation de l’étendue des impacts peut être difficile d’autant plus qu’elle peut évoluer très vite. Pour y faire face, les cellules de crise doivent définir rapidement un plan d’action incluant un confinement et une suppression de l’attaque. Ensuite, des opérations de correction et de reconstruction sont à prévoir pour une reprise d’activité dans les meilleurs délais.
  • Technicité : Répondre à une cyberattaque nécessite généralement des expertises techniques et des compétences technologiques. La cellule de crise doit alors mobiliser rapidement des spécialistes aussi bien internes qu’externes : des experts en cybersécurité, des équipes Computer emergency response team (CERT) dont l’Agence nationale de la sécurité des systèmes d’information (ANSSI), l’Office Central de lutte contre la Criminalité liée aux technologies de l’information et de la Communication (OCLCTIC), la Brigade d’enquêtes sur les fraudes aux technologies de l’information (BeFti)…
  • Propagation : En altérant le système informatique, un piratage informatique corrompt également les moyens de communication de l’entreprise. En conséquence, il est recommandé d’avoir des canaux de communication et des postes de travail hors SI lors d’une crise.

Les membres de la cellule de crise

Les bonnes pratiques en termes de gestion de crise informatique préconisent une cellule de crise divisée en cellule décisionnelle et une ou plusieurs cellules opérationnelles.

  • La cellule décisionnelle est une cellule de direction composée par les cadres de l’entreprise :
  • Le chef de la cellule de crise appelé aussi pilote de crise représente la direction générale.
  • La direction Métier
  • La direction communication
  • La direction des ressources humaines
  • La direction des systèmes d’information
  • La direction juridique
  • La direction de gestion des risques
  • La cellule opérationnelle, également appelée cellule spécialisée, est composée de représentants de plusieurs services dont un cadre et un agent.
  • Le service Métier
  • Le service informatique et sécurité
  • Le service communication
  • Les consultants externes (expertise légale, expertise sécurité…)

La collaboration et la coordination des cellules doivent être équilibrées. Un excès de pilotage étoufferait les opérationnels tandis qu’un manque de pilotage entrainerait une mauvaise allocation des ressources et des énergies.

Les moyens de gestion de crise informatique

Pour assurer leurs missions, les cellules de crise doivent disposer des moyens nécessaires.

  • Les salles de crise : La cellule décisionnelle doit avoir une salle isolée pour pouvoir discuter librement. Les cellules opérationnelles se trouvent idéalement dans une même salle pour faciliter les échanges.
  • Les moyens de communication : Il s’agit du système de téléphonie, de la messagerie électronique ou autres outils permettant d’échanger les documents
  • Les moyens de traitement opérationnels : Dans le cadre d’une crise informatique, les experts doivent être équipés d’ordinateurs connectés au réseau de l’entreprise et à internet.
  • Les documents de gestion de crise : Ce sont les informations et les documents de référence nécessaire pour mieux analyser la crise. Il existe également des fiches préétablis que les cellules de crise peuvent utiliser pour coordonner leurs activités telles que l’annuaire de crise, le journal de crise… La main courante de crise, sous forme papier ou informatisée est à passer entre les cellules afin de retracer les évènements depuis le déclenchement jusqu’à la fin de la crise.

Gérer une cellule de crise avec MemoGuard

Notre solution informatisée MemoGuard permet de gérer une cellule de crise à distance. Grâce à MemoGuard, vous pouvez planifier à l’avance les procédures d’alerte en fonction du degré d’une crise. Vous avez ainsi la possibilité de définir les messages à adresser à chaque responsable et les réunir à temps. Il s’agit d’un outil de supervision d’alarmes et d’alertes avec astreinte garantissant la réactivité en situation d’urgence. En cas d’attaque informatique généralisée altérant vos moyens de communication, votre système d’alerte automatisé fonctionne toujours puisqu’il est indépendant.

MemoGuard est un outil efficace pour anticiper une crise informatique ou de toute autre type d’incident (industriel, minier) ou catastrophe naturelle (séisme, avalanche, inondation…)