Organiser un exercice de gestion de crise cyber

En complément du guide « Organiser un exercice de gestion de crise cyber » visant à accompagner, pas à pas, les organisations dans la mise en place d’un exercice de gestion de crise d’origine cyber*, l’ANSSI met à disposition des kits d’exercice pour aider les organisations à se préparer à la gestion d’une crise cyber.

Publié le 14 Octobre 2020 Mis à jour le 14 Octobre 2020
Organiser un exercice de gestion de crise cyber

Face à une menace informatique toujours croissante et en mutation, l’amélioration de la résilience numérique par l’entraînement à la gestion de crise cyber n’est plus seulement une opportunité, mais bien une nécessité pour toutes les organisations.

Demain, l’organisation responsable et génératrice de confiance sera celle qui s’attache à maîtriser le risque numérique et fait preuve de sa capacité à se relever d'une crise d'origine cyber. Or, les crises cyber ont leurs spécificités : technicité du sujet, impacts fulgurants, évolutivité, sortie de crise longue, etc.

Il est donc essentiel de s'y préparer. Pour cela, l'organisation d'exercices de gestion de crise cyber est fondamentale.

*Par abus de langage, dans la suite du guide l’expression « gestion de crise cyber » est employée pour « gestion de crise d’origine cyber » et « exercice de crise cyber » pour « exercice de crise d’origine cyber ».

  1. Un guide pour vous accompagner dans la mise en place d’un exercice

  2. Des kits sectoriels prêt à l’emploi pour faciliter l’organisation d’exercices

  3. Un premier kit d’exercice mis à disposition des collectivités territoriales 

  4. Un second kit d’exercice dédié au secteur de l’Enseignement supérieur et de la Recherche (ESR)

  5. Un troisième kit d’exercice « JO massifié », spécifiques au contexte des Jeux Olympiques et Paralympiques 2024

L’emploi des kits est libre et encouragé, y compris à des fins de formation ou d’enseignement, en créditant l’ANSSI.

Co-réalisé avec le Club de la continuité d'activité (CCA), le guide « Organiser un exercice de gestion de crise cyber » est le fruit d’une expertise développée à l'ANSSI au fil des années et la combinaison d'expériences en cybersécurité et en gestion de crise. L’ANSSI a également développé un premier kit d’exercice dédié à l’entrainement des collectivités territoriales. Ce kit, disponible pour tous, vise à accélérer la montée en capacité des collectivités par l’entrainement afin de mieux appréhender et se préparer aux crises d’origine cyber. D’autres kits sectoriels viendront compléter cette première publication dans les semaines à venir.

« Face à la menace, l'organisation d'exercices est fondamentale. En s'entraînant, les équipes développent des réflexes et des méthodes pour mieux travailler ensemble. Lorsqu'une attaque survient, elles sont alors prêtes à y faire face. » Guillaume Poupard, directeur général de l'ANSSI en 2022.

À qui s’adresse ce guide ?

Toute organisation privée comme publique, petite ou grande, souhaitant s’entraîner à la gestion de crise cyber peut consulter ce guide.

Plus particulièrement, il s’adresse à toute personne souhaitant mettre en place un exercice de niveau décisionnel* visant à entraîner la cellule de crise de son organisation : risk managers, responsable de la continuité d’activité, des exercices ou de la gestion de crise, responsable de la sécurité des systèmes d’information ou équivalent, etc. Ce guide ne vise ainsi pas à construire des exercices purement techniques proposant par exemple une simulation complète d’un système d’information (SI) à l’aide de machines virtuelles (dit « cyber range »).

Que contient-il ?

Il propose une méthodologie basée sur le standard reconnu de la norme relative aux exercices (ISO 22398:2013).

  • Quatre étapes accompagnées de fiches pratiques qui les complètent et les illustrent ;
  • des recommandations issues de l’expérience de l’ANSSI et des membres du groupe de travail gestion de crise du CCA ;
  • un exercice complet en fil rouge du guide, dénommé RANSOM20 et développé progressivement pour illustrer chaque étape ;
  • des annexes dont un glossaire définissant l’ensemble des expressions employées dans ce guide spécifiques aux exercices.

Comment l’utiliser ?

Les étapes peuvent être consultées indépendamment les unes des autres en fonction de l’expérience de l’organisation et de ses besoins en matière d’exercices de gestion de crise. Ce format permet également d’envisager une externalisation de tout ou partie de ces étapes, afin que chaque organisation, quelle que soit sa taille et son budget, puisse s’engager dans ce type d’exercice.

Le fil rouge : RANSOM20

Tout au long du guide, un exemple d’exercice (RANSOM 20) est développé. Il permet d’illustrer des recommandations formulées à chaque étape.

Afin de pouvoir être utilisé et adapté par le plus grand nombre, l’exemple porte sur une cyberattaque par rançongiciel. Ce mode opératoire constitue une tendance qui s’intensifie et qui touche les grandes organisations comme les plus petites.

Cet exemple est développé dans différentes fiches pratiques qui, une fois compilées, forment un exercice complet réutilisable par toute organisation.

Pour en savoir plus sur l’exercice RANSOM20, vous pouvez consulter son scénario (voir fiche pratique n° 4) ou son chronogramme (voir fiche pratique n° 6).

Ce guide fait partie de la collection « Gestion de crise cyber », destinée à accompagner les organisations dans la préparation et la gestion de crise cyber. Cette collection se compose de trois tomes : Organiser un exercice de gestion de crise cyber (disponible en français et en anglais), Crise d’origine cyber, les clés d’une gestion opérationnelle et stratégique (disponible en français) et Anticiper et gérer sa communication de crise cyber (disponible en français). Cette collection vise à apporter une expertise transverse sur l’ensemble des aspects de la gestion de crise cyber.

*Le « niveau décisionnel » fait ici référence à une cellule de crise, composée des membres de la direction et des métiers impliqués dans la crise, qui sera en charge d’assurer le suivi et le pilotage de la gestion de la crise et de prendre des décisions.

Pour faciliter l’organisation d’exercice, l’ANSSI a élaboré des kits d'exercice de gestion de crise cyber prêts à l'emploi.

Ces kits d’exercice sont adaptés selon 3 degrés de complexité correspondant au niveau de maturité qui peuvent être identifiés en réalisant une auto-évaluation du niveau de préparation à la gestion de crise d’origine cyber à partir de l’outil mis à disposition par l’ANSSI. Les organisations pourront ainsi s’assurer de conduire un exercice adapté à leur besoin.

Selon le niveau de maturité, un exercice sur table (niveau 1), une simulation (niveau 2) ou une simulation avancée (niveau 3) sont proposés.

Les kits sont composés de 4 parties :

  1. Un kit animateur/planificateur : ce kit permet à tout animateur (interne ou externe) de pouvoir animer l’exercice au sein de la structure.
  2. Un kit joueur : ce kit comporte les règles du jeu, les fiches de bonnes pratiques, ainsi qu’un glossaire pour permettre aux participants de se familiariser avec les concepts. Il doit être partagé avec eux en amont de l’exercice.
  3. Un kit observateur : ce kit permet d’appréhender au mieux le rôle d’observateur et propose un modèle de grille d’observation.
  4. Un chronogramme : ce chronogramme prend la forme d’un tableau qui, ligne par ligne, décrit tout le déroulement chronologique de l’exercice du début (DEBEX) à la fin (FINEX). Il précise également les modalités de transmission des « stimuli » (mail, appel téléphonique, SMS, etc.) et les réactions attendues des joueurs afin de définir et de cadrer les actions directement jouées par les joueurs et celles simulées par l’équipe d’animation.

Attention : Il est conseillé que seule l’équipe animation puisse consulter le kit animateur pour assurer la bonne tenue du test et ne pas biaiser la réussite de l’exercice.

Un premier kit d’exercice mis à disposition des Collectivités Territoriales

Un premier kit est désormais disponible pour permettre aux collectivités territoriales et des acteurs qui les composent (directions métiers, DSI, etc.) d’organiser un exercice de gestion de crise d’origine cyber. Les scénarios proposés adressent les problématiques clés pour les collectivités territoriales en cas de crise cyber : continuité de la paie des agents, de la gestion de l’état civil, collecte des ordures ménagères, etc. Les kits facilitent également la réalisation d’un exercice sur-mesure en facilitant l’intégration des spécificités propres à chaque type de collectivités.

Téléchargez les fiches du kit d'exercice pour les collectivités territoriales.

Un second kit d’exercice dédié au secteur de l’Enseignement Supérieur et de la Recherche (ESR)

L’ANSSI met à disposition un kit d’exercice à destination des établissements de l’Enseignement Supérieur et de la Recherche (ESR) disponible ici. Les scénarios proposés adressent les problématiques clés pour les établissements de l’ESR en cas de crise cyber : continuité pédagogique, confidentialité et intégrité de la recherche, gestion administrative (paie, emploi du temps…), etc. Les kits facilitent également la réalisation d’un exercice sur-mesure en facilitant l’intégration des spécificités propres à chaque type de d’établissements.

Un troisième kit d’exercice "JO massifié", spécifiques au contexte des Jeux Olympiques et Paralympiques 2024

Un troisième kit est désormais disponible pour permettre à une variété d’acteurs de s’entraîner à la gestion de crise d’origine cyber. Les organisations pourront ainsi choisir parmi 12 formats d’exercice (4 types de secteur * 3 niveaux de maturité) puisque le scénario proposé par ce kit est adapté en fonction du type d’organisation :

  • Sites de compétition (Stades, Centres sportifs, Monuments d’accueil, Espaces médias, etc.) ;
  • Collectivités hôtes (Communes et Collectivités territoriales hôtes);
  • Pouvoirs publics et organisateurs (Préfectures et forces de l’ordre, Comités d’organisation, etc.);
  • Fournisseurs de service (Presse, Construction, Transport, IT et Telecom, etc.).

Téléchargez les fiches du kit d'exercice JO massifié.