Organiser un exercice de gestion de crise cyber


Ce guide vise à accompagner, pas à pas, les organisations dans la mise en place d’un exercice de gestion de crise d’origine cyber1 vraisemblable et formateur, pour les joueurs comme pour les organisateurs.
ANSSI - Guide - Organiser un exercice de gestion de crise cyber - v1.0 - Couverture

Face à une menace informatique toujours croissante et en mutation, l’amélioration de la résilience numérique par l’entraînement à la gestion de crise cyber n’est plus seulement une opportunité, mais bien une nécessité pour toutes les organisations.

Demain, l’organisation responsable et génératrice de confiance sera celle qui s’attache à maîtriser le risque numérique et fait preuve de sa capacité à se relever d’une crise d’origine cyber. Or, les crises cyber ont leurs spécificités : technicité du sujet, impacts fulgurants, évolutivité, sortie de crise longue, etc.

Il est donc essentiel de s’y préparer. Pour cela, l’organisation d’exercices de gestion de crise cyber est fondamentale. Co-réalisé avec le Club de la continuité d’activité (CCA), ce guide est le fruit d’une expertise développée à l’ANSSI au fil des années ; et la combinaison d’experiences en cybersécurité et en gestion de crise.

« Face à la menace, l’organisation d’exercices est fondamentale. En s’entraînant, les équipes développent des réflexes et des méthodes pour mieux travailler ensemble. Lorsqu’une attaque survient, elles sont alors prêtes à y faire face. » Guillaume Poupard, directeur général de l’ANSSI

À qui s’adresse ce guide ?

Toute organisation privée comme publique, petite ou grande, souhaitant s’entraîner à la gestion de crise cyber peut consulter ce guide.

Plus particulièrement, il s’adresse à toute personne souhaitant mettre en place un exercice de niveau décisionnel2 visant à entraîner la cellule de crise de son organisation : risk managers, responsable de la continuité d’activité, des exercices ou de la gestion de crise, responsable de la sécurité des systèmes d’information ou équivalent, etc. Ce guide ne vise ainsi pas à construire des exercices purement techniques proposant par exemple une simulation complète d’un système d’information (SI) à l’aide de machines virtuelles (dit « cyber range »).

Que contient-il ?

Il propose une méthodologie basée sur le standard reconnu de la norme relative aux exercices (ISO 22398:2013).

  • Quatre étapes accompagnées de fiches pratiques qui les complètent et les illustrent ;
  • des recommandations issues de l’expérience de l’ANSSI et des membres du groupe de travail gestion de crise du CCA ;
  • un exercice complet en fil rouge du guide, dénommé RANSOM20 et développé progressivement pour illustrer chaque étape ;
  • des annexes dont un glossaire définissant l’ensemble des expressions employées dans ce guide spécifiques aux exercices.

Comment l’utiliser ?

Les étapes peuvent être consultées indépendamment les unes des autres en fonction de l’expérience de l’organisation et de ses besoins en matière d’exercices de gestion de crise. Ce format permet également d’envisager une externalisation de tout ou partie de ces étapes, afin que chaque organisation, quelle que soit sa taille et son budget, puisse s’engager dans ce type d’exercice.

Le fil rouge : RANSOM20
Tout au long du guide, un exemple d’exercice (RANSOM 20) est développé. Il permet d’illustrer des recommandations formulées à chaque étape.
Afin de pouvoir être utilisé et adapté par le plus grand nombre, l’exemple porte sur une cyberattaque par rançongiciel. Ce mode opératoire constitue une tendance qui s’intensifie et qui touche les grandes organisations comme les plus petites.
Cet exemple est développé dans différentes fiches pratiques qui, une fois compilées, forment un exercice complet réutilisable par toute organisation.
Pour en savoir plus sur l’exercice RANSOM20, vous pouvez consulter son scénario (voir fiche pratique n° 4) ou son chronogramme (voir fiche pratique n° 6).
1 Par abus de langage, dans la suite du guide l’expression « gestion de crise cyber » est employée pour « gestion de crise d’origine cyber » et « exercice de crise cyber » pour « exercice de crise d’origine cyber ».
2 Le « niveau décisionnel » fait ici référence à une cellule de crise, composée des membres de la direction et des métiers impliqués dans la crise, qui sera en charge d’assurer le suivi et le pilotage de la gestion de la crise et de prendre des décisions.
  • pdf

    Organiser un exercice de gestion de crise cyber - Guide - v1.0

    1.72 Mo

  • pdf

    Organiser un exercice de gestion de crise cyber - Fiche 6 : Chronogramme - version PDF

    696.57 Ko

  • xls

    Organiser un exercice de gestion de crise cyber - Fiche 6 : Chronogramme - version Excel

    144.5 Ko