Dans nos précédents articles, nous avons vu les phases de Conception et de Préparation d’un exercice de gestion de crise cyber en suivant le guide de l’ANSSI et du CCA. Ici nous traitons du déroulement de l’exercice et du retour d’expérience à formaliser.

Dérouler son exercice de gestion de crise cyber

C’est le jour J : vous avez défini les contours de votre exercice, vu le casting, préparé les stimuli et le chronogramme, briefé les participants sur ce que l’on attend d’eux, préparé les documents support (main courante …). Maintenant nous déroulons l’exercice !

Appliquer ce qui est prévu

Les équipes démarrent par un rappel des objectifs et des règles de l’exercice ainsi qu’une mise en situation pour redonner le cadre de l’exercice.

Les animateurs s’appuient sur le chronogramme et le respectent (on a dit ce que l’on ferait, on fait ce que l’on a dit), tout en sachant s’adapter (voir ci-dessous).

Il est possible de concrétiser certains impacts (par exemple si le PC du DSI est compromis, on peut lui demander de ne pas l’utiliser pendant une partie de l’exercice !). Il en est de même pour certaines mesures de contournement ou de limitation de la propagation (s’isoler du réseau …).

 

Mais savoir s’adapter

Suivre le chronogramme du mieux possible : oui, pour autant il est nécessaire de s’adapter aux joueurs pour ne pas les perdre.

S’il faut décaler tel ou tel stimuli prévus à tel moment dans le chronogramme (le temps que l’utilisateur réponde au stimuli précédent) mais que c’est pour le bien de l’exercice alors il faut le faire. Si l’on doit trop modifier le chronogramme, une décision collégiale du groupe d’animateurs est requise pour s’assurer que tout le monde est aligné.

Conseil : le guide de l’ANSSI indique que généralement 70% des stimuli du chronogramme sont respectés et que 30% sont remaniés voir improvisés (généralement suite à des questions ou réactions de joueurs que l’on n’avait pas anticipé). Essayez de rester dans ces proportions !

 

Connaitre les principaux écueils pour les éviter

Quand bien même l’exercice est préparé, la manière dont chacun réagit le jour J n’est pas connue par avance.

Les écueils courants sont (le guide donne des recommandations) :

  • La cellule de crise décisionnelle devient une cellule de crise opérationnelle
  • Incompréhension entre décisionnels et opérationnels
  • Contradiction entre les décisions prises et l’objectif de l’exercice
  • Sur sollicitation d’équipes techniques au détriment des joueurs impliqués
  • Manque de compréhension et d’explication des problématiques cyber

A cela on pourra ajouter le manque d’implication de certains joueurs qui attendent d’être sollicités par les autres. A l’inverse certains sont omniprésents et “étouffent” les autres joueurs leur laissant peu de place.

 

Tirer les enseignements (REX)

Le retour d’expérience est un élément important de l’exercice car il permet d’en évaluer la pertinence, l’efficacité etc. et donnera des éléments factuels et structurants pour améliorer le suivant.

 

Organiser un retour d’expérience à chaud

En fin d’exercice un animateur fait un tour de table avec l’ensemble des participants (les joueurs puis les observateurs, pour ne pas influencer les joueurs) .

On y parle pas que du jour J mais aussi de la préparation, du scénario, de la qualité de la communication, de la logistique (salle …), du casting … il est important que chaque participant prenne la parole.

Eventuellement un petit questionnaire permet de formaliser les points clefs attendus durant le retour d’expérience.

 

Organiser un retour d’expérience à froid

Ce REX est plus formel et plus détaillé ; une ou plusieurs restitutions sont à prévoir (une restitution très générale/managériale, une autre plus détaillée pour les équipes opérationnelles). Bien entendu toutes ces réunions ont été planifiées bien en avance, avant même de réaliser l’exercice. Ce sont des jalons de notre projet “organiser un exercice de gestion de crise cyber”.

La main courante et le REX à chaud sont des éléments importants pour la création du REX à froid, tout comme les mails échangés durant l’exercice et le retour des observateurs.

Il faut un REX juste et équilibré, avec les points faibles mais aussi les points forts. Il doit être synthétique et se baser sur des éléments factuels.

Un plan d’action synthétisera les améliorations à apporter pour le prochaine exercice (de la conception à la tenue de l’exercice).

 

Conclusion

Cet article conclut cette courte série dont l’objectif est de vous donner envie de consulter le Guide de l’ANSSI : “Organiser un exercice de gestion de crise cyber”.

Bien organiser l’exercice, d’autant plus quand c’est le premier, demande pas mal de préparation et de temps.

Mieux vaut démarrer avec un exercice court et pragmatique pour mettre le pied à l’étrier, sensibiliser les parties prenantes et les faire adhérer à la démarche.

L’animation de l’exercice en lui même est un élément clef du succès de l’exercice à condition d’avoir un chronogramme bien pensé et des stimuli vraisemblables. Il faut donc :

  • passer/investir suffisamment de temps sur la préparation : 20 à 30 jours*homme pour un exercice court, (10 c’est pas assez, 50 ca fait trop)
  • répéter l’exercice entre animateurs avant de le dérouler réellement.
  • s’adapter aux réponses/réactions des participants sans frustration de part et d’autre

L’équipe Iwyco et ses partenaires peuvent vous accompagner dans la préparation et la tenue d’un tel exercice, ou plus en amont par la réalisation d’un “serious game” qui aura la vertu de sensibiliser certains décideurs au sujet et de débloquer du budget pour préparer plus sereinement un premier exercice.

Dans notre précédent article, nous avons vu la partie “Conception” (ce qu’on souhaite faire) d’un exercice de gestion de crise cyber en suivant le guide de l’ANSSI et du CCA. Ici nous traitons de la partie “Préparation” (comment on va le faire), qui est normalement la plus consommatrice en temps.

Préparer son exercice de gestion de crise cyber

En sortie de la phase de Conception nous avons pu formaliser le contexte, la durée, les objectifs, le thème, les participants etc de notre exercice de gestion de crise.

Il s’agit maintenant de mettre cela en musique et de préparer concrètement cet exercice, principalement via des stimuli et un chronogramme.

 

Définir le scénario

Le scénario prévoit un évènement vraisemblable conduisant à l’activation de la cellule de crise sur le thème que l’on a choisi (phishing, ransomware …).

Il couvre à minima les phases de réaction immédiate et d’investigation, et pas obligatoirement la phase de remédiation. (Celle-ci peut faire l’objet d’un autre exercice que l’on déroule quelques mois plus tard en continuité du premier)

Le scenario :

  • a pour point de départ une attaque informatique,
  • prévoit des conséquences et impacts métiers,
  • contient des détails techniques sur l’attaque,
  • tient compte de l’environnement de l’organisation (contraintes réglementaires, écosystème …).

La résolution technique de la situation est à envisager lorsque l’exercice est limité à une demi-journée ou moins.

Conseil : évitez un scénario catastrophe ou peu vraisemblable qui provoquerait un désengagement des participants. Pour cela, interviewez les experts, cela permettra également d’affiner le chronogramme et son réalisme.

Conseil : Pour un premier exercice, proposer une sortie de crise immédiatement en fin de scénario peut donner l’impression qu’une crise cyber se résout rapidement.

 

Prévoir et rédiger les stimuli

Les stimuli sont à préparer/rédiger avant l’exercice. Ce sont des éléments clefs de votre exercice de gestion de crise cyber.

Cela peut-être des emails, un script téléphonique à suivre avec un ou plusieurs des joueurs, une copie d’écran simulant un message lié à une intrusion, un fichier de log fictif, un message du hacker sur les réseaux sociaux indiquant qu’il a attaqué avec succès votre organisation …

Conseil : prévoir quelques stimuli complémentaires / de rechange pour s’adapter à la réaction des participants durant l’exercice car ceux-ci ne suivront peut-être pas le script parfait que vous aviez imaginé.

Conseil : sur un scénario basé sur un 0-Day, le CERT FR recense les vulnérabilités les plus récentes et les plus graves, ce qui peut être source d’inspiration.

 

Rédiger le chronogramme

Le chronogramme est un tableau qui décrit le déroulement chronologique de l’exercice en ligne à ligne. Il intègre les stimuli et les interactions entre les joueurs et les animateurs. Ces derniers doivent savoir s’adapter aux réactions des premiers.

Il est crucial d’interviewer les experts pour bâtir ce chronogramme pour qu’il soit vraisemblable, sous peine de démobiliser les joueurs durant l’exercice de gestion de crise cyber.

Le chronogramme définit le rythme et l’intensité de l’exercice. il ne se déroule pas en temps réel mais en temps accéléré car certaines phases peuvent prendre du temps (des investigations par exemple).

Même en temps accéléré il est possible de faire ressentir la longueur de certaines actions ; par exemple envoyer un stimuli toutes les 2 à 3 minutes en phase de détection de l’attaque (on découvre que tel ou tel site est lui aussi compromis), puis attendre 10 à 15 minutes pour avoir le résultat des investigations.

Sachez que cela va créer de la frustration et des incertitudes, qu’il faudra le gérer et que c’est normal. Quand un participant dit “appelez le SOC pour savoir comment les hackeurs sont rentrés, s’ils ont exfiltrer de la donnée”, il ne faut pas s’attendre à avoir toute les réponses en quelques minutes dans l’exercice (ce qui correspondrait à quelques heures seulement “dans la vraie vie” où c’est bien souvent plus long).

Conseil: renvoyer des éléments inconnus que l’on complète au fur et à mesure du chronogramme renforce auprès des acteurs le sentiment d’incertitude inhérent à une attaque cyber.

Conseil : Le guide de l’ANSSI contient un mode d’emploi dédié à la rédaction du chronogramme avec différentes recommandations structurantes. Un exemple complet au format Excel est téléchargeable.

 

Option : Simuler les enjeux de communication et la pression médiatique

Les crises cyber peuvent avoir un impact sur votre image et votre réputation.

Certains exercices pourront simuler la pression médiatique (dans le chronogramme : appel de faux journalistes à des participants, faux articles de presse …). D’autres simuleront les communications internes vers l’extérieur et les parties prenantes.

Dans les deux cas l’équipe projet doit s’entourer des communicants de votre organisation ne participant pas à l’exercice pour intégrer ce(s) volet(s) au scénario.

Conseil : le guide de l’ANSSI contient un ensemble de questions types pour simuler ce type d’interaction + une fiche pratique sur le sujet.

 

Préparer les autres documents

L’exercice nécessite différents documents complémentaires au-delà du cahier des charges et du chronogramme, selon le public concerné.

Pour les animateurs :

  • L’annuaire de l’exercice
  • La main courante
  • Certains stimuli (un message sur les réseaux sociaux, une copie d’écran de données exfiltrées …)

Pour les joueurs :

  • L’annuaire
  • Des dossiers de mise en situation (document qui plante le décor)
  • Les conventions d’exercice (la règle du jeu)
  • Diverses documentations utiles

Pour les observateurs :

  • Fiche d’observation
  • Accès à la main courante des animateurs (facultatif)

 

Conseil : consulter en détail les deux fiches pratiques du guide  : “produire un dossier de mise en situation” et “observer un exercice”

 

Briefer les participants et les impliquer

Briefer tant les observateurs que les animateurs et les joueurs une à deux semaines avant l’exercice pour rappeler les objectifs de chacun et les rappeler à nouveau succinctement le jour J avant de démarrer l’exercice.

 

 

Le dernier article de cette série porte sur la réalisation de l’exercice et le retour d’expérience.

Dans notre précédent article, nous avons introduit le guide de l’ANSSI et du CCA sur l’exercice de gestion de crise cyber. Ici nous traitons de la partie “Conception”, qui est la première (suivie de Préparation, Déroulement de l’exercice, Retour d’expérience).

Concevoir son exercice de gestion de crise cyber

La phase de conception reste assez macroscopique. Elle traite plus du “quoi” que du “comment” (qui sera abordé en phase de Préparation)

L’organisation d’un exercice de gestion de crise cyber doit être adressée comme un mini projet à dérouler en cycle en V. Il a des phases et des étapes, des porteurs et des contributeurs, des livrables en entrée et en sortie, un planning à respecter, des moyens à allouer etc.

La Conception est une phase de cadrage avec pour principal livrable le cahier des charges de l’exercice.

 

Constituer l’équipe projet

L’équipe projet devra notamment :

  • Cadrer l’exercice et définir ses objectifs
  • Rédiger le scénario et le chronogramme
  • Animer l’exercice
  • Réaliser le retour d’expérience.

Elle est donc composée des concepteurs de l’exercice qui seront souvent les coordinateurs pendant qu’on le déroule, et pas uniquement d’acteurs qui seront “actifs” dans la résolution de la crise.

L’équipe projet a un responsable, un porteur, qui est le chef de projet de l’organisation de l’exercice.

 

Définir les objectifs

Selon le niveau de maturité de l’organisation et/ou la possibilité de mobiliser (ou pas) certains intervenants, les objectifs pourront être de différentes natures :

  • Sensibiliser les participants aux problématiques cyber (pour ceux habitués de la continuité d’activité “classique” par exemple)
  • Former et entrainer le personnel (cela peut inclure des prestataires clefs comme un hébergeur/infogérant)
  • Tester le dispositif de gestion de crise cyber (chaines d’alertes, outils utilisés …)

 

Déterminer le format de l’exercice

Deux principaux formats se distinguent :

  • Exercice sur table de 2 à 3 heures (prévoir 6 semaines de préparation environ)
  • Exercice de simulation d’une demie journée à 2 jours (prévoir 2 à 6 mois de préparation selon la complexité)

Conseil : Cela dépendra des moyens que l’on pourra allouer à l’exercice et de la maturité des équipes sur ce type d’exercice. Evitez la simulation sur deux jours si votre organisation n’a jamais organisé d’exercice cyber auparavant.

 

Définir la thématique

Il faut aussi choisir le thème avec le type d’attaque (ransomware, phishing, vol de données, déni de service, défiguration de site web…).et les impacts potentiels (atteinte à la réputation, impact RGPD/CNIL, impact juridique, pertes de production …).

Il est possible de choisir son thème selon la vraisemblance du type d’attaque, ou selon le type d’impact si l’on souhaite tester telle ou telle composante de la gestion de crise (juridique, …). Pour les exercices complexes vous pouvez combiner (ransomware avec extraction de données par exemple)

Conseil : pour éviter les objections d’une équipe qui dira que ses systèmes sont inattaquables, vous pouvez prendre en scénario une faille de type “0-day” pour laquelle il n’y a pas encore de patch, ou une attaque indirecte via un prestataire par exemple.

 

Nommer son exercice

Comme pour un projet à qui l’on donnerai un nom, l’exercice aura son propre nom, éventuellement selon la thématique (RANSOM-01, RGPD-2022) …

 

Identifier les joueurs et les parties prenantes

Quatre catégories d’intervenants :

  • Les experts : ils contribuent à la construction du scénario de l’exercice. Ils peuvent ensuite être animateurs ou observateurs.
  • Les animateurs : ils déroulent le scénario durant l’exercice  et activent les “stimuli” prévus au chronogramme. Il faut à minima un animateur + un personne gérant la main courante de l’exercice. Selon la complexité de l’exercice plusieurs animateurs peuvent intervenir en parallèle.
  • Les observateurs : ils observent le fonctionnement du dispositif de gestion de crise et n’interviennent pas (contrairement aux animateurs) afin de noter les points positifs et les axes d’amélioration
  • Les joueurs : ils sont ceux qui feront face à la gestion de crise sans connaissance préalable du scénario

Conseil : bien consulter les fiches du guide décrivant précisément ce que chaque persona/profil doit faire (et ne pas faire) 

Conseil : quand une personne qui n’a jamais participé à un exercice est réfractaire, il est judicieux de la faire participer une première fois en observateur.

 

Rédiger le cahier des charges

A un moment il faut formaliser les différents choix et orientation pris durant la phase de conception.

Cela est fait dans la cahier des charges de l’exercice, qui reste un document assez synthétique mais structurant pour la suite.

Conseil : reprendre et adapter la fiche pratique “Rédiger un cahier des charges” du guide, qui est déclinée pour un exercice sur le thème des ransomwares.

 

Caler le calendrier

L’exercice est piloté en mode projet, il tient compte de la charge de travail nécessaire à sa préparation, aux disponibilités des participants et de la durée de l’exercice en lui-même.

Comme pour tout projet il y a quelques grands jalons:

  • Une réunion de lancement avec le sponsor, les grands objectifs, un macro planning et le casting de l’équipe projet et la répartition des rôles et responsabilités.
  • L’interview de différents experts pour affiner la thématique et préparer un exercice vraisemblable
  • La rédaction du cahier des charges de l’exercice
  • La rédaction du chronogramme (déroulé chronométré de l’exercice tel que l’on compte le dérouler)
  • Des réunions de suivi de projet pour en vérifier l’avancement et les livrables
  • Une réunion finale de planification de l’exercice
  • Le briefing des “joueurs” participant à l’exercice, le briefing des coordinateurs et observateurs
  • La date de l’exercice (+ une date supplémentaire en cas de report)
  • Le REX à chaud puis le REX à froid (environ 2 à 4 semaines après l’exercice)

Conseil : être réaliste dans la planification (ne pas vouloir aller trop vite) et maintenir tant que possible les dates pour ne pas démobiliser les participants.

 

Prévoir la logistique

Une salle de cellule de crise, des outils à utiliser en mode dégradé (ordinateurs, moyens de communication …), des affichages pour suivre l’avancement de l’exercice et de la situation.

Si votre organisation dispose déjà de moyens spécifiques pour la gestion de crise, ré-utilisez les ou faites les amender si nécessaire pour tenir compte des spécificités d’une crise cyber.

 

Notre prochain article portera sur la phase de Préparation de l’exercice cyber (Comment le dérouler, chronogramme ….)

Synthèse de l’excellent guide de l’ANSSI et du CCA

L’ANSSI et le Club de la Continuité d’Activité (CCA) ont publié un excellent guide sur l’organisation d’un exercice de gestion de crise cyber. Le document est riche et dense (120 pages environ), contient de nombreux conseils et fiches pratiques (il est téléchargeable depuis cette page de l’ANSSI).

L’objectif de cette série d’articles est d’en faire la synthèse en quelques pages, certes moins riches, mais respectant au mieux la structure générale du guide et ses quatre grandes étapes :

  • Concevoir son exercice
  • Le préparer
  • Le dérouler
  • L’enrichir par un retour d’expérience

Ne nous le cachons pas :

  • Les deux premières étapes sont celles qui vous mobiliserons le plus. Le guide contient d’excellentes fiches pratiques pour s’approprier plus facilement le sujet et éviter certains écueils.
  • Même si sur le papier vous avez le choix du sujet de l’exercice, en 2022 ne pas simuler une crise par ransomware serait une décision … discutable.

Si votre entreprise/organisation n’est pas prête à investir le temps et l’énergie pour préparer consciencieusement un exercice de gestion de crise, un “serious game” de courte durée (1 à 2 heures) avec quelques participants clefs suffit souvent à déclencher une réelle prise de conscience et à débloquer du budget.

Introduction

Avant de reprendre chacune des 4 étapes du guide, quelques rappels sur une crise cyber.

 

Caractéristiques des crises d’origine cyber

Rappelons tout d’abord les spécificités d’une crise cyber, au plutôt d’une crise d’origine cyber :

  • Propagation, fulgurance et ubiquité : on peut être touché à plusieurs endroits en même temps
  • L’incertitude : les impacts sont souvent difficiles à estimer
  • L’évolutivité : les attaquants peuvent réagir à notre réponse à incident
  • La technicité : l’analyse de la situation demande une forte technicité et une bonne relation avec les acteurs non techniques
  • L’élasticité dans le temps : les attaquants peuvent réitérer leur attaque si l’on n’a pas pu/su rétablir la situation ET augmenter son niveau de sécurité
  • La sortie de crise est longue : répondre aux impacts immédiats peut prendre du temps, encore plus quand il s’agit de mettre en place une réponse pérenne.
  • La complexité des attributions : les cyberattaques sont difficilement attribuables à un individu ou une entité en particulier.

 

Traitement d’une crise cyber

Les conséquences d’une cyber attaque sont diverses (opérations bloquées, pertes financières, impact légal/RH …). Il s’agit alors de coordonner des équipes variées pour endiguer les effets de la crise et rétablir le fonctionnement du système d’information.

Une cellule de gestion de crise technique travaille en parallèle d’une cellule stratégique, pour investiguer , remédier et stabiliser la situation.

 

Comment appréhender un exercice de crise cyber ?

L’exercice doit simuler un scénario (en aucun cas il ne doit impacter les activités réelles), dans une durée limitée, avec des évènements plausibles. L’exercice se prépare et ne s’improvise pas, il peut être limité à la partie technique/opérationnelle ou englober également la partie stratégique/décisionnelle.

 

S’inscrire dans une réflexion globale de résilience

Que l’origine de la crise soit cyber, il faut inscrire l’exercice de gestion de crise dans une perspective plus large de renforcement de la résilience de votre organisation et selon l’étendue de l’exercice en profiter pour :
Sensibiliser les intervenants
– Tester l’efficacité des procédures
– Répondre ainsi à des obligations légales ou sectorielles

Idéalement l ‘exercice rentre dans un programme plus global facilitant l’apprentissage progressif et l’amélioration continue. On s’assure ainsi que le personnel maitrise les fondamentaux et n’improvisera pas totalement en cas de survenance d’une attaque cyber.

L’exercice est valorisable auprès de ses parties prenantes, de son écosystème (qui participera éventuellement à l’exercice dans le cas de prestataires clefs) mais aussi en interne pour sensibiliser son personnel.

La communication autour de l’exercice, dès les étapes de préparation, participe à sa réussite en qualifiant le public visé, les objectifs poursuivis, les messages clefs, le planning prévu (préparation, réalisation, retour d’expérience) et les ressources à prévoir pour le mener à bien.

Bien préparer l’exercice demande du temps et des ressources : un sponsor dans l’organisation facilitera l’allocation du temps et des moyens nécessaires.

Quand il est à l’initiative des équipes IT, l’exercice est d’autant plus bénéfique qu’il inclut en amont les autres services devant y participer (communication, légal …) et qu’ils ne se sentent pas jugés selon les résultats de l’exercice.

La conception de l’exercice peut être vue comme un mini projet à dérouler en cycle en V. Il a des phases et des étapes, des porteurs et des contributeurs, des livrables en entrée et en sortie, des ressources allouées, un planning à respecter.

 

Notre prochain article portera sur la phase de Conception de l’exercice cyber (thématique, objectifs, format de l’exercice etc.)