Introduction

Dans le contexte d’une entreprise, la productivité des environnements de travail repose en grande partie sur l'échange constant d'informations. Cette collaboration, de plus en plus numérisée grâce à des services de communication et de partage, crée un flux continu de données sensibles transitant chaque jour, transformant ainsi ces environnements en précieux réservoirs d'informations convoitées par des acteurs malintentionnés. 

En 2023, l’ANSSI observe une hausse de 400 % des cyberattaques en France depuis 2020. 69 % des cyberattaques ont ciblé des entreprises, 11 % des établissements de santé et 20 % des collectivités territoriales. Ces statistiques mettent en évidence que le risque cyber évolue pour devenir la menace principale pesant sur les organisations, affectant principalement les petites et moyennes entreprises, ainsi que celles de taille intermédiaire, qui se trouvent souvent plus vulnérable. 

Au-delà de ces chiffres interpellant, il est important de souligner l’impact majeur de cette menace, entraînant des conséquences financières et opérationnelles, menaçant même la pérennité de ces petites structures. Il est alors impératif de se protéger, mais le concept de risque zéro demeure encore aujourd’hui une utopie. Face à cette réalité, un problème émerge naturellement pour toute organisation soucieuse de sa pérennité :  

Comment instaurer une gestion de crise cyber efficace pour réduire l'impact sur le système d'information d'une organisation ? 

Une exploration est donc nécessaire afin de mettre en lumière les étapes clés à la mise en place d’un pilotage de crise cyber réussi.   

Partie 1 : Se préparer à affronter une crise  

Réduire l'impact d’une crise sur le système d'information d'une organisation nécessite avant tout une préparation rigoureuse. Cela inclut une compréhension approfondie de ce que signifie « gestion de crise cyber », y compris la nature et l’origine des menaces ainsi que l’éventail de tactiques utilisées par ces acteurs malveillants.  

Qu’est-ce qu’une crise d’origine cyber ?  

Comprendre le risque cyber 

Une crise d’origine cyber est définie comme une interruption immédiate et significative du fonctionnement normal de l’organisation, qui, à son tour, entraîne des pertes financières, des atteintes à l’intégrité des données de l’organisation, etc. Cela peut être réalisé à l’aide de ressources et de services dirigées de manière malveillante à l’encontre de l’organisation, comme des cyberattaques de type rançongiciel ou des attaques par déni de service¹. 

Quelles sont les conséquences d’une crise cyber sur une organisation ?  

Une crise cyber engendre des perturbations plus ou moins fortes sur l’activité d’une organisation. Ces perturbations peuvent s’étendre sur des semaines, voire plusieurs mois et peuvent entraîner des coûts très élevés dans la gestion de la remédiation de celle-ci. L’organisation est donc obligée d'ajuster ses opérations et de fonctionner dans des manières non conventionnelles, en raison des déséquilibres provoqués. Beaucoup d’organisations sous-estiment, les conséquences pouvant être générées sur leurs activités.  

Les organisations ayant été le plus exposées par les attaques cyber, entre 2019 et 2021, sont les TPE (12 %) et les PME (44 %), selon une étude intitulée, « Risques cyber, analyse de la sinistralité : quels enseignements ? ». 59 sinistres ont été examinés durant cette période et l’étude à confirmer que 41 de ces sociétés sont des petites et moyennes entreprises dont les impacts financiers excèdent les 50 000 €.  

Une menace aux multiples origines  

Les origines de ces attaques peuvent se traduire par de multiples raisons, chacune d’entre elles peut être :  

• Lucrative : Initiées par des escrocs, des mafias, ou des cybercriminels cherchant un gain financier.  
• Économique : Orchestrées par des concurrents ou des sociétés d'intelligence économique pour obtenir un avantage commercial.  
• Technique : Mises en œuvre par des hackers chevronnés pour tester leurs compétences techniques.  
• Étatique : initiées par des services spéciaux ou des cyberarmées d'États, souvent dans un contexte géopolitique. Idéologique : « Hacktivistes », Cyberterrorisme, Militants.  
• Pathologique : Provenant d'employés mécontents ou de personnes cherchant à se venger.  
• Ludique : Lancées par des technophiles en quête de défis techniques ou de challenges sans motivation malveillante directe.  

Comprendre les différents types d’attaque  

Une compréhension adéquate des attaques repose nécessairement sur les procédures, les points d’entrée et les classifications des méthodes utilisées. De plus, il convient de noter que la cybersécurité comprend diverses menaces. Par conséquent, il est impératif d’identifier correctement une attaque car cela contribue à minimiser la perte potentielle et à améliorer la détection suivante. 

L’exploitation des failles humaines :  

Il faut savoir qu’un grand nombre d’attaques reposent sur l’échec de la vigilance humaine, c’est une des raisons pour laquelle le risque 0 n’existe pas. Il suffit qu’un employé ouvre accidentellement un courriel frauduleux ou télécharge par inadvertance un document infecté et en quelques instants, l’ensemble de l’organisation pourrait se retrouver au milieu d’une cybercrise.  

• L'hameçonnage ou phishing : 

Cela se traduit généralement par des attaques de type « hameçonnage », ou « phishing » en Anglais. L'attaquant envoie un courriel ou un SMS à sa cible contenant une pièce jointe frauduleuse ou un lien cliquable. Ce message piégé prend toutes les apparences d’un message fiable et authentique. L'objectif principal de la pièce jointe ou du lien est de collecter des données sensibles, d'inciter la personne qui reçoit le message à télécharger des logiciels malveillants sur son ordinateur ou de l'inciter à prendre une autre mesure qui profite aux cybercriminels, comme l’exploitation d’une faille en cliquant sur un lien.  

• Le harponnage ou spearphishing :  

Cette méthode devient encore plus dangereuse quand elle se transforme en « harponnage » ou « spearphishing ». C’est un travail de préparation plus poussé dans le but d’obtenir un courriel plus difficile à identifier comme frauduleux. L’attaquant utilise un message plus ciblé et personnalisé en disséminant des références personnelles afin de tromper le destinataire. Les chances de réussite deviennent alors plus élevées.  

• L’appropriation de compte ou usurpation d’identité cyber : 

L'appropriation de compte survient lorsque l’attaquant parvient à accéder au compte d'un utilisateur en se faisant passer pour quelqu'un de confiance, souvent réalisée à partir d'envoi de courriels ou des applications utilisant des proxys proposant un système de vérification d'identité. L’attaquant peut ensuite utilisés les informations obtenues sur différents sites web, tels que des services bancaires ou des plateformes de vente en ligne.  

• Le piratage de compte :  

Lorsqu’un utilisateur possède un mot de passe trop faible (complexité insuffisante), un attaquant peut se contenter de le compromettre. Cela peut amener de conséquences potentiellement graves s’il s’agit de comptes de messagerie, d'accès bancaire ou de comptes administrateurs de sites web d'entreprises.  

• La fraude au président : 

Quant à la fraude présidentielle, également connue sous le nom de « False Transfer Order (FOVI) », elle vise principalement les grandes entreprises et peut être réalisée par courriel ou téléphone et est généralement liée aux virements internationaux.  L’attaquant se fait passer pour le président de la société pour obtenir un virement bancaire urgent et confidentiel.  

Les attaques par Malwares :  

Ce type d'attaque consiste à la propagation de logiciels/codes informatiques conçus pour accéder à des systèmes et à les endommager. Il existe plusieurs types de malwares, chacun avec des fonctionnements différents, mais ayant pour objectif commun de compromettre la sécurité et la confidentialité des systèmes informatiques. Les attaquants les dissimulent généralement dans des pièces jointes, des pages Web, des programmes ou des liens cliquables.  

• Le rançongiciel : 

Le rançongiciel, également connu sous le nom de ransomware, est l'une des techniques les plus courantes, avec le phishing. Le principe du ransomware est relativement simple. Les attaquants accèdent aux données de l'organisation grâce à l'exécution d'un malware, généralement en utilisant des techniques de phishing. Au niveau individuel, cela peut affecter un ordinateur, tandis qu'à plus grande échelle, comme dans une entreprise, un hôpital ou une autre institution publique, les serveurs, sont en danger. Dans le cas d’une structure, tout le système informatique est brutalement bloqué et les cybercriminels obtiennent des droits d’administration. Ils peuvent alors identifier les données sensibles, les verrouiller et les chiffrer. D'autres serveurs et comptes peuvent également être concernés par ce phénomène de propagation. Un message de rançon apparaît à plusieurs reprises sur tous les ordinateurs, invitant la victime à payer pour récupérer ses données. Le ransomware est une technique cybercriminelle de plus en plus lucrative et dangereuse en raison de la fuite de code source et la démocratisation des outils accessibles à des acteurs moins sophistiqués.  

• Les macro-virus : 

Les macro-virus sont souvent au cœur des opérations d'hameçonnage et ne doivent pas être sous-estimés. Ils ciblent principalement des logiciels bureautiques bien connus tels qu'Outlook, Microsoft Word ou Excel. Contrairement à d'autres formes de malware, leur impact se limite généralement aux applications et n'affecte pas directement le système d'exploitation. Une fois activé, le virus a accès à tous les documents présents sur l'ordinateur de la victime, infectant chaque fichier ouvert ou fermé par l'utilisateur.  

Les attaques par déni de service : 

Une autre technique d’attaque très souvent utilisée est le déni de service. Le concept est égalemnet appelé le « DdoS ». L’objectif de l’attaque DDoS est de saturer le système cible en utilisant de nombreux robots simultanément.  

L’attaque par Drive-by Download : 

L'attaque par Drive-by Download commence par l'intégration d'un script malveillant dans le code d'une page web non sécurisée. Ce script redirige les visiteurs du site vers un autre portail détenu par les hackers. Dans certains cas, le script est conçu pour installer directement des logiciels malveillants sur la machine de l'utilisateur.  

L’attaque de l’homme du milieu (MitM) : 

L’attaque de l’homme du milieu, appelée également en anglais « Man in the middle », implique le détournement d'une session de connexion en interceptant les communications entre deux points. Ces derniers pourraient être, par exemple, un client et un serveur. Les attaquants utilisent différentes tactiques pour s’immiscer entre les communications. Par exemple, ils pourraient se connecter à un service Wi-Fi public pour intercepter le trafic et recueillir des données, ou déployer un faux réseau Wi-Fi pour attirer des utilisateurs. Une autre méthode consiste à usurper le protocole de résolution d'adresse (ARP spoofing), ce qui conduit les utilisateurs à se connecter au réseau de l'attaquant sans le savoir, mettant ainsi en danger leurs données.  

Les dix attaques les plus courantes sont les suivantes :  

• Le ransomware ; 
• Le phishing ; 
• L’attaque par déni de service ; 
• L’attaque par hameçonnage et par harponnage ; 
• L’attaque de l’homme au milieu ; 
• L’arnaque au président ; 
• L’infection par malware ; 
• L’attaque par mot de passe ; 
• Attaques XSS (Cross-site Scripting) ; 
• L’attaque par injection SQL ; 

Des études menées par des experts en cybersécurité et des agences de cybersurveillance permettent de prendre connaissance des dernières tendances et évolutions sur les différentes menaces. Par exemple, l’ANSSI publie chaque année son panorama de la cybermenace et celui de 2023 démontre que les attaques par ransomwares sont toujours au top :

Source : ANSSI : Panorama de la cybermenace – 2023. 

Comprendre le concept de cyber résilience 

Après avoir pris connaissance du danger que représente la menace d’une crise cyber. Il devient alors essentiel de comprendre les moyens et mesures efficaces à mettre en place pour se protéger. Toutefois, pour réduire l'impact d’une crise sur le système d'information, il est essentiel de mettre en évidence le principe de cyber résilience et comprendre son importance dans une gestion de crise.  

Origine et importance de la Cyber-Résilience 

La cyber résilience est un concept apparu au début des années 2010, à la suite de l'augmentation des attaques sophistiquées et ciblées. Ce concept repose sur l’importance de se préparer efficacement à ces incidents pour protéger les activités d’une organisation. La cyber résilience regroupe les mesures à mettre en place, donnant la capacité à se préparer, à réagir et à se rétablir après une cyberattaque. Ces mesures ont pour but d’atténuer les effets négatifs de la crise en réduisant les pertes de productivité.  

Différence entre Cybersécurité et Cyber Résilience 

La cybersécurité et la cyber résilience, bien que souvent perçue comme distinctes, sont en réalité complémentaires. La cybersécurité consiste en un ensemble de procédés, de technologies et de pratiques visant à protéger l’ensemble des actifs et les données contre les attaques. L’ANSSI recommande ce dispositif :

 Source : ANSSI : Structurer ses mesures de sécurité. 

Il est composé de quatre piliers à mettre en place pour la sécurité numérique d’une organisation contre les cyberattaques.  

La gouvernance est une démarche continue, et pilotée par un comité où l’objectif est de renforcer le niveau de sécurité de l’organisation, de manière proactive par la mise en place d’une stratégie de sécurité numérique. Cette stratégie doit s’appuyer sur une connaissance actualisée de la menace cyber et doit être adaptée au fonctionnement de l’organisation. La gouvernance englobe la maîtrise du risque, la cartographie des actifs, les processus d’intégration de la sécurité, la veille continue sur les vulnérabilités et les menaces, l’évaluation de la sécurité et la sensibilisation des utilisateurs. 

Le volet de la protection englobe toutes les mesures ou actions de protection visant à rendre le système d’information de l’organisation le moins vulnérable et exposé possible, en réduisant au maximum la surface d’attaque. Cela englobe notamment la configuration des systèmes et des accès, l’intégrité et la confidentialité des données, la supervision du système d’information, la gestion de l’obsolescence et la sécurité physique.  

Le volet de la résilience concerne la continuité d’activité. L’idée est de permettre une dégradation tolérable en cas de crise, puis la reprise progressive de l’activité. Cette idée repose sur le fait que les violations de sécurité sont inévitables et il est donc primordiale de mettre l'accent sur la préparation en amont. 

En comparaison, l’objectif de la cybersécurité est de prévenir les accès non autorisés et les activités malveillantes. La cyber résilience, à son tour, se concentre sur la capacité d’une organisation à continuer son activité et se rétablir le plus rapidement possible. Selon ce principe, il est reconnu que malgré les efforts de cybersécurité, les incidents arriveront encore. Par conséquent, l’objectif principal devrait être de minimiser les conséquences et d’assurer la reprise des activités causées. 

Mettre en place sa cyber résilience  

Pour atteindre cette résilience, les organisations doivent développer des méthodes opérationnelles et des ressources adaptées aux scénarios de cyber. L’objectif est de réussir à gérer la crise en limitant les dommages de l’attaque, reprendre les activités et en sortir plus fort. 

Connaître et maîtriser son système d’information  

Une première mise en place organisationnelle pour faire face aux risques cyber, consiste à construire une cartographie détaillée du système d’information à protéger. Sans les connaissances approfondies du celui-ci, il devient plus difficile d’identifier et de définir le périmètre compromis. Pour cela, il est recommandé de disposer au minimum des éléments suivants ;  

• Une liste des applications et des services critiques : 

Cette liste a pour finalité de documenter les applications et services numériques essentiels aux fonctions opérationnelles d'une organisation. Cela permet de donner la priorité des efforts de sécurité et de gestion des risques sur les ressources informatiques les plus importantes. Avec une vue d'ensemble claire et complète, les responsables de la sécurité sont dans la meilleure capacité à comprendre les interdépendances², entre les différentes applications et services, ce qui contribue directement à planifier des mesures de protection adaptées à chaque composant critique du système d'information. 

• Une documentation de l'architecture réseau :  

Les plans détaillés de l'architecture réseau permettront de savoir comment les composants du système d'information sont liées. La documentation doit montrer où se trouvent les chemins de communication les plus importants et où se trouvent les points de données pour permettre aux équipes informatiques de mieux se protéger et de déterminer leurs vulnérabilités. Une autre fonction essentielle de la documentation est la possibilité de faciliter les mises à jour périodiques du réseau. 

• Une rétention des journaux :  

Cela permet l’enregistrement détaillé d’événements se produisant au sein du système d’information. Les journaux contiennent plusieurs informations utiles comme la date et heure de l'événement et l‘adresse IP de l’usager, ce qui est utile pour plusieurs raisons, tel que la détection des incidents de sécurité. Conformément aux exigences légales et réglementaires, cette politique se doit de garantir que ces enregistrements soient disponibles en cas de besoin et doit clairement définir les pratiques et les périodes de conservation. 

• Une analyse de risque : 

C’est une évaluation des conséquences plausibles de risques identifiés. Après leurs identifications, ils sont ensuite quantifiés selon leurs impacts sur l’organisation. Plusieurs méthodes existent pour cette évaluation, il existe par exemple la norme ISO 27005 ou la méthode EBIOS RM (Risk Manager) de l'ANSSI, dernièrement mis à jour en mars 2024.  

• Le processus de la norme ISO 27005 permet de mettre en évidence les risques subsistants et de définir laquelle peut être acceptée. Une communication permanente avec les parties prenantes, ainsi qu’une surveillance et des revues périodique des risques doivent être mises en avant.

 Source : Prosica, société de société de conseil et un organisme de formation en cybersécurité. 

• La première étape consiste à établir le contexte et la définition des critères d'acceptation du risque. 
• La deuxième étape consiste à l’identification des différents actifs.  
• En troisième étape, vient l’évaluation des mesures de sécurité déjà existantes, ainsi que les vulnérabilités et leurs conséquences sur les actifs identifiés. 
• Pour finir, le traitement des risques par la réduction, le maintien, le refus et le transfert de ceux-ci. 
• La méthode de gestion des risques EBIOS adopte une approche qui se concentre sur les menaces intentionnelles et ciblées. Elle part des tâches majeures, se concentre progressivement sur les éléments métiers et techniques et étudie les chemins d'attaque possibles. EBIOS a donc l’avantage d’être modulaire et adaptable à l’environnement spécifique d’organisation et de fournir un cadre complet de gestion des risques numériques. La démarche se compose en cinq parties :   
• L’identification des actifs de l’organisation ; 
• La définition des objectifs de sécurité ; 
• L’évaluation des menaces et des vulnérabilités et de leurs conséquences ; 
• La détermination des scénarios de risque ;  
• La définition des mesures de sécurité, la mise en œuvre de ces mesures et de leurs améliorations continues ;  

En complément d’une analyse de risque, il est également impératif d’intégrer des pratiques régulières d’audit, de sécurité et de tests d’intrusion. Ces deux approches sont des éléments essentiels à la stratégie de sécurité d'une organisation. 

 Évaluer et tester sa sécurité 

L'audit de sécurité évalue les politiques, procédures et contrôles existants pour garantir le respect des normes et bonnes pratiques du secteur. Son objectif principal est d’évaluer les sécurités présentes dans le système d'information, pour identifier les vulnérabilités qui pourraient être exploitées par des cyberattaques. Ce processus est dynamique et doit être effectué régulièrement, afin de garantir que les mesures de protection des données soient constamment mises à jour et capables de faire face aux nouvelles menaces émergentes. Il comprend diverses étapes comme l'analyse des politiques de sécurité, le contrôle des systèmes d'information et l'évaluation de la conformité réglementaire.  

Voici quelques exemples de remontées possibles à la suite d'un audit de sécurité ; 

• Une politique de sécurité des données personnelles trop légère ou bien non conforme au RGPD ; 
• Une salle contenant des données sensibles sans sécurité d’accès ; 
• Ajout d’une rubrique dans la charte informatique ; 
• Une politique de sécurité informatique peu actualisée ; 
• Risques identifiés dans l’utilisation distante de certaines applications métiers, par exemple dans le cadre du télétravail ; 

Les tests d’intrusion, également appelés « Pentests », sont également un très bon moyen de prendre connaissance des vulnérabilités présentes au sein du système d’information. Les tests d’intrusion sont des évaluations simulant de véritables cyberattaques, avec pour objectif de déceler les failles de sécurités par la recherche et l’exploitation de vulnérabilités. Comme les autres formes d'audits, le test d'intrusion évalue la sécurité, mais en adoptant le point de vue d'un attaquant. C’est donc une méthode efficace pour vérifier l'efficacité des mesures de protection établies et prioriser la correction des vulnérabilités détectées. Un test d'intrusion commence généralement par la définissons du périmètre entre les parties prenantes, cela peut inclure divers éléments, tels que la surface d’attaque d’un site web ou d’une application spécifique, de périphériques ou de plages d'adresses réseau. Après avoir réalisé les tests techniques, vient la remise d’un rapport détaillé mettant en lumière les points positifs ainsi que les recommandations pour remédier aux éventuelles vulnérabilités identifiées. Les tests d'intrusion se déclinent en différentes catégories, chacune, ciblant des aspects spécifiques (applicatif, réseau et infrastructure, IoT, etc.) et peuvent être menés en trois types d’approches, le test d’intrusion en « boîte noire », en « boîte grise » et en « boîte blanche ».  

Dans une approche en « boîte noire », aucune information n’est communiquée au préalable sur le système ou l'application à tester. L’objectif est de se rapprocher au plus de la position d'un attaquant, depuis l’extérieur. Ce scénario est le plus authentique, mais aussi le plus coûteux.  

L’approche en « boîte grise » permet au Pentester de disposer de quelques informations et identifiants sur le système ou l'application. L’objectif est donc de déterminer les dommages qu'un utilisateur privilégié pourrait causer et évaluer le niveau de sécurité en interne.  

En « boîte blanche », le Pentester est en position d'administrateur et dispose donc de tous les accès au système d'information. L'objectif est d'être suffisamment exhaustif sur les vulnérabilités et d'être efficace dans l'identification des failles de sécurité. Cette solution est généralement envisagée pour accélérer le test d’intrusion et réduire les coûts.   

Voici quelques exemples de remontées possibles, à la suite d’un test d’intrusion : 

• Découverte d’une vulnérabilité dans l’application métier de l’entreprise (comme des failles d'injection SQL ou des scripts cross-site). 
• Découverte de failles dans les systèmes d'exploitation des serveurs. 
• Découverte de mots de passe faibles ou mal protégés, pouvant être exploités pour accéder à des données sensibles. 
• Présence de points d'accès WI-FI non sécurisés dans le réseau sans fil de l’organisation. 

Grâce à ces composants, une organisation peut être capable d’identifier les risques et menaces déjà présents afin d’améliorer et surveiller plus facilement son système d'information.  

Préparer sa cellule de crise 

Parfois appelée « comité de crise », la cellule de crise est généralement définie comme l'équipe qui organise la gestion stratégique et opérationnel de la crise d'une entreprise, y compris les stratégies de logistique et de communication de crise. Le terme définit également le lieu où opère le comité de crise. Mettre en place une cellule de crise est indispensable afin d’adapter la structure et les processus organisationnels à un scénario de crise. Elle se décline en un volet stratégique et opérationnel. Plus concrètement, son objectif se caractérise par :  

• La centralisation des données afin d’éviter les risques d’interprétation erronée ; 
• Le contrôle et la clarté de la communication ; 
• La mise en place d’un plan de gestion de crise ; 
• La coordination avec les parties prenantes et autres moyens permettant la résolution de crise ; 
• La gestion de la communication de crise. 

Pour cela, il est crucial de mobiliser simultanément différents profils tels que comme ceux des ; métiers, réseaux et informatique, regroupant les représentants des fonctions décisionnelles de l’organisation, cela inclus notamment la présence de la direction de chaque pôle (Communication, Secrétariat, Juridique, IT..)  

L'équipe doit également être constituée d’un porte-parole et éventuellement d’un coordinateur, mais des efforts doivent toutefois être faits afin de limiter le nombre de participants pour préserver la flexibilité et l’efficacité de la cellule de crise. Chaque membre de la cellule doit être sensibilisés et formé aux différents enjeux du risque Cyber, cela implique notamment de comprendre les différents concepts d’attaques existant, ainsi que leurs signes d’apparitions. Par exemple, dans le cas d’une attaque par déni de service sur une application accessible depuis l’extérieur, il est possible d’observer des pics de trafics inhabituels entraînant généralement des perturbations.  

La cellule de crise peut également préparer un « guide de crise », ce guide a pour objectif d’établir l’organisation logistique de la cellule en précisant les procédures, outils et responsabilités de chacun. Il doit donc inclure plusieurs éléments tels que l’identité, les coordonnées et le rôle de tous les membres de la cellule.  

En complément, peut-être ajouté un document de référence listant les différentes questions à anticiper lors d'une crise et les réponses à apporter. Cela permet de mettre en commun les messages et les éléments du langage à toutes les personnes participant à la communication.  

Mettre en place une surveillance et détection précoce des incidents 

Une gestion de crise cyber efficace, implique la préparation de la capacité de réponse à incident de l’organisation. Lorsqu’un incident survient, il est d’abord essentiel d’être en mesure de détecter et déterminer la nature de cet incident avant de donner l’alerte. L’idée est de mettre en place une surveillance continue afin de pouvoir identifié, mais aussi réagir rapidement aux menaces potentielles, avant qu'elles ne causent des dommages significatifs. C’est un élément essentiel et proactif, car non seulement cela permet de prévenir les incidents avant qu'ils ne deviennent plus conséquents, mais améliore aussi en permanence les capacités de réponse et de défense de l'organisation. Elle pourra alors bénéficier des avantages suivants :  

• Alerter les équipes de sécurité dès que des comportements inhabituels ou des indicateurs de compromission sont détectés ; 
• Agir avant que l'incident ne s'aggrave, permettant ainsi de contenir la menace, mais aussi de réduire les coûts associés à la remédiation et à la récupération post-incidentes ; 
• Favorise une meilleure compréhension des tactiques utilisées par les attaquants ; 
• Contribue à l'investigation et à la phase d'apprentissage post-attaque ; 

Lorsqu'une cyberattaque survient, les journaux recueillis durant la surveillance fournissent des informations cruciales pour comprendre comment l'attaque a été menée, quelles vulnérabilités ont été exploitées et quel a été le vecteur initial de l'intrusion. Afin de mettre en place cette surveillance et détection précoce des incidents, selon sa taille et ses moyens, une organisation peut être amenée à constituer un SOC. C’est une unité centralisée, qui fonctionne comme une salle de contrôle où une équipe de professionnels spécialisés utilise divers outils et technologies, visant à protéger les systèmes et les données de l'organisation contre les menaces et les attaques. Un SOC est essentiellement constitué :

 Source : itrust, entreprise spécialisée en cybersécurité.  

• D’une équipe d’experts comme des analystes, ingénieurs et experts en réponse aux. Ils doivent être en mesure de surveiller les systèmes d’alerte, analyser les différents incidents, rencontrés et coordonner les réponses.  
• D’un ensemble de méthodologie et de procédures en matière de gestion d’incidents (filtrage, priorisation, analyse, etc..). 
• D’outils et de sources de renseignements sur les dernières menaces existantes, afin de maintenir une connaissance des dernières tactiques utilisées par les attaquants.  

Les différents objectifs d'un SOC sont :  

• De fournir une surveillance 24H/24, 7J/7 des systèmes et des réseaux pour une détection des menaces en temps réel. 
• De répondre efficacement et rapidement aux incidents de sécurité pour minimiser leur impact sur le système d’information.  
• D’analyser les incidents déjà passés afin d’améliorer les procédures et les différents moyens de détections. 

Le SOC réside dans le fait qu’il est composé également de différentes technologies mises en place afin de surveiller l'activité. Ces technologies comprennent plusieurs solutions à mettre en place, chacune se distinguant par un besoin et un objectif différent. Parmi ces solutions, il y’a par exemple la détection d'intrusion, avec des outils comme les IDS³ ou IPS⁴, les pares-feux, les logiciels de surveillance des réseaux et des points de terminaison, comme les EDR, XDR, MDR et NDR. La différence entre ces quatre services, réside dans le fait que l’EDR se concentre davantage sur l’analyse comportemental des différents terminaux de l’organisation (ordinateurs, serveurs, etc.)  Tandis que l’XDR intègre des données pouvant provenir de plusieurs autres sources comme les réseaux, les serveurs et les différentes applications. Le MDR (Managed Detection and Response) est capable de combiné et gérer l’ensemble des technologies de détection et de réponse, ce qui en fait une solution très intéressante lorsqu’elle est complémentée avec l'expertise humaine. Le NDR se concentre plutôt sur la détection des menaces et la réponse au niveau du réseau, afin d’identifier les anomalies et les activités malveillantes. 

Parmi toutes ces composantes, la solution de type « SIEM » pour « Security Information and Event Management » constitue l’épine dorsale du SOC, étant donné qu’un SIEM est chargé de collecter et analyse les journaux et événements de sécurité provenant des autres sources et solutions mises en place. Il doit pouvoir offrir une visibilité centralisée et des capacités de corrélation d'événements. Dans les plus connus, il y’a Elasticsearch Logstash Kibana, Wazuh, Splunk, SolarWinds. Il est important de noter que chaque outil instauré implique une documentation bien élaborée et doit décrire en détail les capacités spécifiques, la couverture et les types d'événements que l’outil est capable de détecter. Ces informations permettent de garantir qu’il n’y a aucune lacune dans la couverture de surveillance et que tous les aspects critiques de l’infrastructure sont protégés.  

Préparer ses réseaux de soutien 

Comme l’explique l’ANSSI, dans le contexte d’une gestion de crise cyber, il est essentiel de ne jamais rester seul. En effet, les incidents cyber peuvent rapidement devenir complexes et hors de portée. Faire appel à des réseaux de soutien permet de bénéficier d’une expertise collective, ce qui permet une analyse plus rapide et précise des menaces, ainsi qu’une prise de décision plus éclairée et une réponse plus coordonnée. Afin de s’entre aider dans sa réponse à incident, il est tout à fait possible de collaborer avec les « CSIRT » ou bien les « CERT ». Ce sont des réseaux d’équipe d’intervention composée d’experts en sécurité informatique qui a pour mission de venir en aide aux organisations victimes de cyberattaque. En France, il existe le CERT-FR, porté par la sous-direction de l’ANSSI. Les avantages pour une organisation bénéficiaire sont : 

• Assistance réactive aux incidents ; 
• Gestion des alertes et réactions aux attaques ; 
• Analyse technique approfondie des attaques ; 
• Veille technologique pour détecter les vulnérabilités ; 
• Formation et sensibilisation des équipes internes sur les précautions de sécurité à prendre ; 
• Coordination avec les CERT nationaux et internationaux ; 
• Collaboration avec des centres de compétences, réseau, opérateurs et fournisseurs d'accès à Internet ; 

Cependant, les bénéficiaires du CERT-FR sont principalement les organismes publics, ou les opérateurs d’importance vitale. Les administrations, associations, collectivités, TPE et les PME peuvent être pris en charge par d’autres organismes comme « Cybermalveillance.gouv.fr ». Cybermalveillance a pour missions d'assister ses organisations et de les informer sur les menaces numériques et les moyens de s’en protéger. Depuis leurs plateformes, il est notamment possible de prendre connaissance des mécanismes des principales menaces pour mieux s’en prémunir et être mis en contact avec un prestataire spécialisé pour un diagnostic et des conseils personnalisés en cas de compromission. Il est également possible de se faire accompagner pour sécuriser son système d’information.  

Mettre en place ses solutions de récupération de données 

Être résilient face à une crise d’origine cyber, implique essentiellement de mettre en place des solutions de récupération de données, comme des moyens de sauvegarde et de restauration afin de garantir la continuité des activités dans le cas d’incident majeur. La protection des données constitue une priorité incontestable du fait qu’elles constituent l’élément central de l’organisation, contenant des informations cruciales pour son fonctionnement. Il est donc primordial de mettre en place une stratégie réfléchie et efficace pour garantir la pérennité et la préservation des données, conformément aux réglementations en vigueur telles que le RGPD et la norme ISO 27001. Pour que cette stratégie garantisse une capacité de récupération efficace et résiliente, elle se doit de respecter les cinq « i » d’une sauvegarde optimale : 

• Immuable ; 
• Impérissable ;  
• Inaltérable ; 
• Inchangée ;  
• Indestructible ; 

Une des stratégies les plus connues est celle de « la règle du 3-2-1 ».

Source : AuraNext, société d’inforgérence IT. 

Cette méthode de sauvegarde consiste à conserver trois copies de données (celle utilisée en production et deux autres copies), utiliser deux supports de stockage différents (par exemple en Cloud et en local sur un disque dur) et conserver une copie hors site afin de se protéger contre les événements locaux (incendies, cambriolage, inondations, etc.). Cette méthode est d’ailleurs préconisée par l’ANSSI. Il est également important de comprendre que les sauvegardes se différencient généralement en trois types de catégories.  

• La sauvegarde complète :  

Ce type de sauvegarde est la solution la plus exhaustive, mais aussi la plus gourmande en termes de ressources et de temps. Une copie intégrale de toutes les données présente sur le système est réalisée à chaque cycle de sauvegarde. La restauration des données est alors rapide et plus simple.   

• La sauvegarde incrémentale : 

Ici, seules les données modifiées depuis la dernière sauvegarde sont sauvegardées. Ce type de sauvegarde est idéal lorsqu’il s’agit de préserver l’espace de stockage disponible. Toutefois, il est nécessaire de pouvoir mettre la main sur toutes les sauvegardes incrémentales depuis la dernière sauvegarde complète, cela peut présenter quelques complications lors de la restauration des données. 

• La sauvegarde différentielle : 

Ce type de sauvegarde est similaire à la sauvegarde incrémentale, la différence se fait dans la copie de toutes les données modifiées depuis la dernière sauvegarde complète, seulement la sauvegarde complète et différentielle est nécessaire. Cela permet alors une restauration des données plus simplifiée mais à pour inconvénient d’allonger les temps de sauvegarde et utiliser plus d'espace de stockage.  

Chacune de ces méthodes présentes des avantages et inconvenantes, en fonction de la stratégie implémentée et le type de données sauvegardées.  

La capacité de récupération des données est également une composante importante à énoncer dans la construction d’un plan de sauvegarde, pour cela il est essentiel de se familiariser avec deux notions fondamentales : le Recovery Point Objective (RPO) et le Recovery Time Objective (RTO). Le RPO pour Recovery Point Objective, définit la quantité de données que l’on perd lorsque l’on restaure une sauvegarde. Il s’agit de l’intervalle de temps entre la dernière sauvegarde réalisée et le moment de l’incident. Par exemple, si un sinistre se produit à 13h00 et que la dernière sauvegarde remonte à 23h00 la veille. Tous les fichiers modifiés en matinée seront perdus. Cet indicateur permet de mesurer la tolérance à la perte de données. 

Le RTO pour Recovery Time Objective, quant à lui, désigne le temps nécessaire pour le processus de restauration de la première donnée. Cela dépend de plusieurs facteurs comme notamment le volume à restaurer et la bande passante disponible pour le transfert. Ces deux valeurs stratégiques doivent être définies avec les différentes branches de l’entreprise et les responsables métiers afin de déterminer quelles valeurs sont acceptables pour l’activité de l’organisation. 

Prévoir les ressources financières pour la gestion de crise 

La dimension financière implique de prévoir les ressources budgétaires pour la gestion d’une crise, en adéquation avec la taille de l’organisation, et est également une stratégie essentielle. 

Déterminer le montant des ressources financières nécessaires se décline en une stratégie de prévision, commençant par une évaluation des risques spécifiques auxquels l'organisation est exposée et à estimer les coûts potentiels associés à différents scénarios de crise.  

Exemple de coûts possible :  

• Le coût de restauration et de réparation des systèmes endommagés ; 
• Coûts associés à la notification des parties prenantes et aux communications de crise ; 
• Frais de gestion de l’aide juridique et des relations publiques ; 
• Perte de revenus en raison de perturbations opérationnelles ; 
• Amendes et sanctions en cas de non-respect de la réglementation sur la protection des données ; 

Dans la même optique, la constitution d’un fonds de réserve pour les situations d’urgence et de crise devrait être prise en compte. Puisqu’une grande variété de dépenses liées à la réponse et au rétablissement sont exposées à l’imprévu, le fonds doit être suffisamment flexible, à moins que les entreprises n’optent pour une assurance cyber qui couvre également leurs pertes financières après une violation.  

Étant donné, il serait également utile de s’associer en amont avec les départements financiers, juridiques et de gestion des risques pour déterminer combien d’argent devrait être réservé et mobilisé.

Souscrire à des polices d'assurance cyber adaptées peut offrir une couverture financière supplémentaire en cas d'incident majeur.  

Mettre en place des polices d’assurance adaptées 

Dans cette phase de préparation, il est essentiel qu’une organisation réfléchisse à la souscription d’une assurance adaptée aux scénarios d’attaques cyber, ou bien évaluer ses polices d'assurance actuelles pour déterminer si l'une d'entre elles couvre les événements numériques. Certaines assurances permettent d’atténuer partiellement le risque numérique, soit via des dommages, soit par la responsabilité civile. Les assurances traditionnelles ne sont généralement pas adaptées aux crises cyber du fait qu’elle ne couvre pas toujours ces incidents. Contrairement aux polices traditionnelles qui distinguent les conséquences pour l’organisation (couverture des dommages) de celles pour les tiers (couverture de la responsabilité), une assurance cyber peut couvrir à la fois les risques directs et indirects.  

Ces couvertures spécialisées peuvent par exemple permettre aux organisations de bénéficier de diagnostics, recommandations et autre application de mesures de protection permettant d'avoir une meilleure prévention des risques. En cas d'accident, les compagnies d'assurance peuvent également mettre à disposition leur expertise afin d'intervenir en soutiens lors d'une crise, permettant d'en sortir plus rapidement avec un redémarrage des activités plus rapide et des pertes financières moins élevées. Ces pertes subies par l'organisation, perte de revenus, gestion de crise, peuvent être également couvertes par l'assureur. Étant donné la complexité de l'assurance cyber et la diversité de ses périmètres d'intervention, il est conseillé de consulter un courtier d'assurance spécialisé en sécurité numérique, ayant connaissance du contexte organisationnel.  

Formaliser une stratégie de communication de crise : 

En période de crise, une organisation peut être amenée à devoir faire face à certaines pressions internes et externes (médias, partenaires) susceptibles d'affecter sa réputation et mettre au péril la confiance de ses clients. La communication est souvent le levier stratégique permettant d’être résilient face à cela.  « On ne peut pas ne pas communiquer. »¹, maîtriser sa communication de crise nécessite avant tout d'être acteur, et non spectateur de l’événement. La résilience réputationnelle passe par le fait de rester garant des messages véhiculés. 

Ce besoin crucial de communiquer passe par la conceptualisation d’une stratégie répondant à différents besoins. Cette stratégie doit en premier lieu adopter une posture de reconnaissance et de prise de responsabilité.  La désignation d’un porte-parole est essentielle. Cela peut être le CEO ou bien le directeur de la communication, ces personnes sont désignées et renseigner dans la cellule de crise. Ils doivent être formés pour répondre efficacement aux médias et aux parties prenantes, selon la stratégie établie. Un dialogue avec les équipes Cyber et IT permet une meilleure compréhension des problèmes techniques, favorisant la clarté et la coordination des messages transmis.  

Il est également préférable d’assurer l’accessibilité à certains outils tels que des listes de contacts, l'accès aux comptes de réseaux sociaux et des éléments linguistiques adaptés aux situations de crise. La stratégie doit inclure les canaux internes (comme des courriels, intranet, réunions d'équipe) pour informer les employés, et selon le cas, des communiqués à travers les réseaux sociaux ou autres canaux pour les parties prenantes externes.   

1 : Paul Watzlawick – Théoricien des sciences de l’information et de la communication à l’école de Palo Alto.  

Il est important d’aligner la communication interne et externe, afin de garantir que les employés reçoivent les mêmes informations que les parties prenantes externes pour éviter les rumeurs et la désinformation. Une communication de crise interne et externe bien gérée permet de garder le contrôle sur les informations diffusées et de réduire l'incertitude et la panique. Il vaut mieux que les partenaires ou la clientèle de l’organisation prennent connaissance de la situation par l’organisation elle-même, que par des sources extérieures, comme les médias. 

Identifier les différentes typologies de la cyberattaque dans la conceptualisation de la stratégie permet à l'organisation d'élaborée des plans de communication spécifiques à chacun de ces scénarios. Évaluer les dommages et les qualifiés est quelque chose de fondamental, permettant une communication factuelle et proportionnelle à la cyberattaque. Les messages communiqués doivent rester cohérents, clairs, concis, réconfortants et diffusés immédiatement après le lancement de la crise, cela peut être des déclarations publiques et des réponses aux questions fréquemment posées. Il est crucial de contrôler le récit pour maîtriser la communication entourant la crise et éviter les mauvaises interprétations de la situation. Voici quelques approches pouvant être utilisées dans les messages clés : 

• Promettre un retour à la normale ou une amélioration future, ce qui inspire confiance et montre la détermination de l'organisation à surmonter la crise. Cela permet aussi de reconnaître la situation en faisant comprendre que l'organisation est au courant du problème. 
• Décrire les actions de remédiation en cours pour exprimer que la situation est sous contrôle.  
• Exprimer de l'empathie montre que l'organisation se soucie de l'impact sur les personnes affectées. Par exemple, si des données personnelles sont compromises.  
• Exprimer ses excuses de manière sincères, afin de contribuer à rétablir la confiance et démontrer la responsabilité de l’organisation.   

Quant à la fréquence de publication, il est important de ne pas communiquer trop tôt, risquant de provoquer des réactions négatives, mais aussi de ne pas communiquer trop tard, ce qui pourrait donner l'impression que l'organisation n'est pas totalement transparente, compétente ou encore, négligente.  Bien que cela peut paraître délicat, il est important de trouver le moment opportun avant de fournir la moindre information au grand public. 

Un autre aspect important consiste à rester vigilant sur sa présence en ligne. Lors d’une cyberattaque, certaines informations falsifiées ou mal interprétées peuvent être rapidement relayées avec les médias et les réseaux sociaux, et ainsi nuire à la réputation de l’organisation. Démentir de fausses informations peut permettre d’être plus résilient et maintenir la confiance des partenaires et des clients.   

Être vigilant sur sa présence en ligne  

D’autre part, de nombreuses attaques ont été initiées à la suite d’une fuite d’information sensible sur internet. Cela peut s’apparenter à la publication d’une photo sur un réseau social comme LinkedIn en rendant visible un mot de passe écrit sur un Post-it. En 2015, la chaîne de télé « TV5 Monde » a été victime d'une cyberattaque et dans une interview réalisée à l’occasion de cet incident, il est possible de voir des mots de passe affichés en clair sur un mur divulguant les accès aux comptes Twitter, Instagram et YouTube de la société. Être vigilant sur sa présence en ligne implique la surveillance et le contrôle de ses données exposés à l’extérieure de son organisation. En adoptant les bonnes pratiques sécuritaires et en sensibilisant les collaborateurs aux risques associés, il est possible de réduire la surface d'attaque et de protéger efficacement les actifs de l'organisation. Il existe pour cela différents moyens et bonnes pratiques à appliquer tels que : 

• La mise en place d’outils de surveillance pour les mentions de l'organisation sur les médias sociaux, les forums et autres plateformes en ligne.   
• La sensibilisation des collaborateurs aux risques associés.  
• Le contrôle de l’ajout d’informations sensibles comme les secrets d'entreprise, les identifiants et les documents confidentiels doivent être strictement contrôlés pour éviter toutes expositions non désirées. 
• Privilégier les logiciels hors ligne pour les documents contenant des données sensibles. 
• Tester régulièrement la sécurité de l’infrastructure VPN¹⁶ et configurer correctement les accès non autorisés des utilisateurs. 
• Le chiffrement des données avant de les partager sur les plateformes de partage en Cloud (OneDrive, Google Drive, etc.) et restreindre les accès anonymes.  
• Pour les visioconférences, le contrôle constant du nombre et de l’identité des participants et la désactivation des fonctionnalités permettant de rejoindre les réunions sans invitation et être accepté ou rejeté avant l’admission. 
• De plus, tous les comptes utilisés pour l’authentification en ligne sur des plateformes nécessitent une sécurité accrue, telle que l’authentification à multiples facteurs ou la restriction des adresses IP acceptées.   

Sensibiliser et former les employés aux bonnes pratiques  

Selon IBM, 90 % des violations de données peuvent être attribuées à des erreurs commises par des individus. Une méthode particulièrement répandue est celle de l’hameçonnage. 

Bien que les vulnérabilités humaines soient considérées comme étant l’une des raisons pour lesquelles le risque 0 n’existe pas, il est toujours possible de voir les choses d’une autre façon. Transformer cette croyance en un atout majeur, pouvant ainsi devenir l’un des grands remparts contre les cyberattaques grâce à une grande cohésion au sein des équipes, fondée sur la culture de la résilience. La sensibilisation englobe un large éventail d’initiatives destinées à cette transformation. L’objectif reste de minimiser les risques et renforcer la résilience, en favorisant un environnement soucieux de la sécurité dans toute l’organisation.  

Le but de telles séances est d’inculquer la capacité d’identifier et de traiter les menaces de manière efficace. En outre, il doit s’agir d’une session interactive et éducative qui garantit que tout collaborateur comprend le rôle central de la protection des données. Les formateurs doivent promouvoir cela en suivant les meilleures pratiques de sensibilisation telles que présentées par Cybermalveillance. Celles-ci comprennent : 

• La signification et l’exemples des présentations, pour les rendre semblables ; 
• S’adapter au public en répondant à des questions ;  
• Échanger des histoires et des retours d’expérience, par exemple un témoignage. 

S’entraîner pour pratiquer et s’améliorer 

Parallèlement à la sensibilisation, la pratique régulière d’exercice de simulation de crise constitue une méthode efficace permettant de développer les compétences nécessaires des équipes. Aujourd’hui, le grand défi des organisations dans le contexte d’une gestion de crise réside dans la capacité à adapter leurs schémas d’entraînement et se préparer efficacement à la crise.  Ces exercices consistent en des scénarios réalistes comme la compromission des systèmes, mise à l’arrêt des composants critiques, simulation d’attaques. Ils sont conçus pour entraîner la capacité à gérer des événements et doivent permettre de développer de bons réflexes, d'améliorer les méthodes utilisées et de prendre confiance en ses capacités. Cette méthode d’apprentissage garantit que les responsables de la gestion de crise connaissent les procédures, systèmes et outils développés.   Cela améliore également la collaboration entre les équipes de sécurité des systèmes d'information (SSI) et les gestionnaires de crise, en veillant à ce que les aspects spécifiques des cyberattaques soient pris en compte et développent les compétences de communication requises. C’est également une opportunité importante d’évaluer les performances des ressources et des pratiques de préparation. Tester un système de gestion de crise couvre tous les aspects importants. Cela comprend la validation de l'efficacité des outils et de la documentation utilisée, la confirmation du bon fonctionnement des chaînes d'alerte et d'escalade, l'évaluation des stratégies de communication en situation de crise et le test des services d'urgence et des plans de reprise d'activité (PRA). 

Pour une organisation efficace d’un exercice de crise cyber, il est essentiel de comprendre le rôle et les objectifs de l’exercice. L’objectif principal est donc celui d’évaluer les aptitudes de l’organisation à résister à un choc cyber de manière continue et pas seulement la capacité à réagir dans l’urgence. Ces exercices doivent alors éviter de conforter artificiellement les organisations sur leurs capacités théoriques à gérer une crise, mais doivent se concentrer davantage sur la capacité à éviter le pire et la capacité à tenir dans la durée.

 Source : Gestion de crise : comment se préparer à une cyberattaque ? (Orange cyberdefense) 

Les exercices de gestion de crise cyber prennent plusieurs formes, stratégiques, techniques ou théoriques, en fonction des besoins et du contexte. Ce choix de format doit être en cohérence avec les objectifs, les menaces envisagées et les aspects techniques et commerciaux pertinents. Par exemple, les campagnes de simulation d’attaques de phishing sont un très bon moyen à mettre en place pour tester les réactions et accroître la vigilance des équipes. Cette méthode de formation s’inscrit dans une démarche continue et est nécessairement applicable sur plusieurs années, afin de garantir que les exercices permettent de préserver la culture de la sécurité au sein de l’organisation, et restent cohérents et capables de s'adapter aux émergences du monde de la cybercriminalité.  

Partie 2 : Gestion de la réponse à la crise  

« Je pourrais dire qu’il y a deux types d’organisations : celles qui ont déjà été victimes d’une cyberattaque et celles qui ne tarderont sans doute pas à l’être »¹. Comme l’énonce Guillaume POUPARD, Directeur général de l’ANSSI, se protéger permet de réduire les risques, mais ne suffit évidemment pas à contourner le problème. Afin qu’une organisation puisse réduire l'impact de la crise de manière significative sur son système d’information et sa réputation, il convient de renforcer sa résilience et d’être capable d’orchestrer une certaine gestion. L’ANSSI propose un guide basé sur l’expérience de ses agents et de divers organismes publics et privés. Ce guide s’articule sur quatre grandes phases comprenant les bonnes pratiques et recommandations à mettre en place par le volet opérationnel et par le volet stratégique de la cellule de crise :

 Source : Guide « CRISE D’ORIGINE CYBER » de l’ANSSI. 

1 : Guillaume POUPARD - Guide de crise d’origine cyber - ANSSI (page 6). 

• Phase 1 : Mobiliser & Alerter et endiguer.  
• Phase 2 : Maintenir la confiance & Comprendre l’attaque. 
• Phase 3 : Relancer les activités & Durcir et surveiller.  
• Phase 4 : Tirer les leçons de la crise & Capitaliser.  

Alerte et mobilisation initiale 

Une gestion efficace repose sur une alerte rapide de l’incident et une mobilisation adéquate des ressources. La première étape cruciale consiste à déterminer la nature de l'incident, ce qui permet de classifier son importance et de définir les actions à entreprendre. 

Les premiers gestes  

Les utilisateurs, souvent en première ligne, ont un rôle important à jouer. Ils doivent effectuer les premiers gestes de sécurité, tels que signaler rapidement les anomalie ou comportement suspect à l'équipe de sécurité.  

La première action est d'alerter immédiatement le support informatique ou bien directement le SOC de l'organisation dès la moindre suspicion. Cela peut s'apparenter à des courriels suspects, des comportements étranges des systèmes, ou des demandes de renseignements inhabituelles. Ces équipes, interne (service informatique dédié) ou externe (prestataire de services), peuvent alors engager rapidement les procédures et mobiliser les ressources nécessaires pour gérer la situation. Afin d’éviter d'aggraver la situation avec une mauvaise manipulation, il est essentiel de diffuser rapidement l'information au sein de l'organisation. Cela permet d'informer les collaborateurs et de les inciter à prendre les mesures nécessaires pour protéger leurs propres équipements. 

Une fois l'alerte donnée, il est très important d'isoler les systèmes compromis pour éviter la propagation de l'attaque sur d'autres équipements du réseau informatique. La première chose à faire est de débrancher la ou les machine(s) du réseau informatique. Cela ne consiste pas à éteindre l’appareil, mais à déconnecter toutes communications avec les autres systèmes.  Si un agent (comme un antivirus Endpoint⁵) est installé sur le poste ou le serveur, il est également recommandé de déconnecter l'appareil à distance via la console d'administration. Cette mesure immédiate permet de contenir l'incident et de protéger les autres actifs numériques de l'organisation en évitant la propagation de l’attaque. 

La préservation des preuves est essentielle aux enquêtes post-incidentes. Il est crucial de conserver tous les éléments pouvant fournir des informations sur l'attaque, telles que les messages reçus, les ordinateurs concernés, les journaux de connexion et toute autre donnée pertinente. Cette approche permet aux équipes de Forensic de mener des analyses approfondies, d'identifier les vulnérabilités exploitées par les attaquants et de comprendre les techniques utilisées. 

Par conséquent, il est important que chaque collaborateur prenne connaissance de ne pas arrêter ou redémarrer les machines concernées, car cela pourrait effacer des preuves. Les enquêteurs auront besoin de ces éléments pour analyser l’attaque et déterminer la meilleure stratégie de réponse. Tenir un registre détaillé des événements ayant eu lieu depuis la détection de l'incident, servira non seulement à conserver une trace précise des faits pour les enquêtes ultérieures, mais également à tirer des enseignements précieux pour améliorer les réponses futures. Ce registre doit inclure : 

• Les horodatages ; 
• Les décisions prises ; 
• Les mesures d’atténuation mises en œuvre ; 
• Toute autre information pertinente ;  

1. Processus de détection et d'alerte 

Le SOC a pour mission de détecter les incidents de sécurité au sein du système d’information et d'endiguer. Avant de déclencher une alerte suite à un incident, il convient de l’évaluer en fonction de critères précis. Ils doivent être définis en fonction de l'impact potentiel de la menace sur les actifs stratégiques de l'organisation et sa probabilité de propagation.  

Les incidents peuvent par exemple être classifiés en deux catégories : les incidents mineurs et les incidents majeurs. Typiquement, un incident mineur serait la compromission d'une boîte mail sans grande importance. L'impact sur l'organisation est limité et les mesures de réponse peuvent être gérées rapidement et efficacement par l'équipe en charge de la sécurité.  

À l'opposé, l’infection d’un serveur par un ransomware constituerait un incident majeur. Car ici, les conséquences sont plus sévères et peuvent aller de la paralysie totale des activités de l'organisation à des pertes financières et de réputation significative.  

Dans le cas où un incident respecte les critères d'alerte, le SOC doit suivre une certaine procédure de lancement. Cette procédure doit être bien documentée et connue de tous les membres de l'équipe. Elle inclut la communication de l'incident, aux parties prenantes appropriées et la mise en place de mesures d'urgence.  Si l'incident est donc jugé comme majeur et que la situation devient critique, l'organisation appuie alors sur le "bouton rouge", déclenchant le lancement formel de la crise. Cela mène ensuite à la mobilisation de la cellule de crise. 

Mobilisation du comité de crise  

Le début d’une crise cyber entraîne l’activation du dispositif. Cela est caractérisé par la mobilisation d’une équipe prédéfinie, dédiée à la gestion d'une situation de crise pour assurer une réponse organisée et efficace. Cette activation implique plusieurs actions concrètes et coordonnées, généralement décidées par le volet stratégique, en fonction de la préparation de celle-ci. Toutefois, il se peut que le dispositif opérationnel puisse être mobilisé sans que le volet stratégique intervienne, dans la mesure où des actions immédiates sont nécessaires pour gérer l’incident. Ces actions sont composées de la théorie mobilisée dans des documents, des procédures et des exercices de mise en pratique, ainsi que de la réalité de la crise spécifique. Plusieurs étapes doivent être suivies afin que cette collaboration entre la cellule stratégique et opérationnelle aboutisse à un management efficace.

Pour commencer, la cellule de crise se réunit généralement au siège de l’entreprise, dans une pièce prévue à cet usage et équipée du matériel nécessaire (ordinateurs, téléphones fixes et portables, écrans de visualisation, vidéoprojecteurs, systèmes de visioconférence, tableaux blancs, outils de communication interne, documents de référence, générateurs électriques de secours, connexions Internet sécurisées, etc.). La mobilisation se fait selon le tableau des responsabilités préexistant. Chacune des actions entreprises doit être recensée dans le « Livre de crise », cela est essentiel pour le retour d’expérience. À ce stade, les membres de la cellule de crise doivent ensuite se concentrer sur un objectif commun, celui de sortir au plus vite de la crise.  

Le comité doit alors déterminer conjointement des plans de réponse et de défense. Les rôles de toutes les parties, étant préalablement établis en amont de la crise, doivent permettre de faciliter la gestion de celle-ci. Cependant, les effets d’une cyberattaque peuvent être variés et conséquents sur l’activité de l’organisation (indisponibilité des services et outils numériques, impacts étendus à des partenaires, etc.). Malgré cela, la cellule stratégique doit tout de même être en mesure de contenir l’incident et relancer de manière maîtrisée le fonctionnement de l’organisation. Elle endosse donc le rôle de pilote de crise pour orienter le travail des équipes et atteindre les objectifs fixés. Une organisation bien structurée doit permettre de planifier des actions spécifiques de manière suffisamment bien coordonnées au risque d’être contre-productives (arrêt de systèmes essentiels, stratégie de communication inadaptée, etc.). Lorsque la situation devient trop complexe, il est nécessaire de prendre de la hauteur pour comprendre les différentes complexités et de coordonner les efforts en conséquence. Cela implique une analyse de la situation dans sa globalité, d'anticiper les répercussions potentielles et de mettre en place les stratégies adaptées pour minimiser le plus possible l'impact sur l'organisation. 

Cependant, il est essentiel que la cellule stratégique se fasse accompagner dans sa gestion de crise afin d’aider les équipes dans leurs actions.  

Alerter ses réseaux de soutien  

Il est donc essentiel de faire appel à un réseau de soutien, planifié et intégré dans les procédures de gestion de crise de l'organisation. Les réseaux de soutien comprennent différents acteurs spécialisés, apportant chacun leur expertise et leur expérience pour renforcer les capacités de réponse de l'organisation. Voici les principales entités qu’il est possible de mobiliser :  

• CERT (Computer Emergency Response Team):  

Ces équipes spécialisées peuvent fournir une assistance technique, partager des informations sur les menaces et les vulnérabilités, et coordonner les efforts de réponse avec d'autres CERT nationaux et internationaux. 

• Équipes de Forensic :  

Ces experts en investigation numérique sont indispensables pour analyser les incidents, identifier les vecteurs d'attaque et collecter les preuves. Leur intervention permet de comprendre les causes de l'incident et de prendre les mesures adéquates pour se prémunir d’éventuelles futures attaques. 

• Assureurs cyber :  

En cas de crise majeure, les assureurs spécialisés en cybersécurité peuvent offrir un soutien financier et logistique. Ils peuvent également fournir des conseils juridiques et stratégiques pour gérer les conséquences de l'attaque.  Des lignes directrices dédiées doivent être utilisées pour centraliser et suivre les actions et coûts liés à la gestion de crise. De plus, l’équipe doit résumer formellement l’incident et la situation actuelle pour fournir à la compagnie d’assurance un aperçu clair et détaillé. 

• Banque :  

Au cas où des informations permettant de réaliser des transferts de fonds auraient pu être dérobées. 

• Prestataires de services :  

Des entreprises spécialisées dans la gestion de crise, la remédiation et la communication peuvent être appelées en renfort pour aider à contenir l'incident, restaurer les systèmes et gérer la communication interne et externe. 

Notifier la perte de donnée personnelle à la CNIL 

Dans le cas où des données personnelles contenues dans le système d’information de l’organisation sont compromises, il est crucial de le signaler rapidement à la Commission nationale de l'informatique et des libertés (CNIL).  

Pour notifier cette compromission de données personnelles, il est possible de se rendre sur le service en ligne conçu pour le signalement des violations de données disponibles sur le site de la CNIL.  

Conformément au RGPD (Règlement Général sur la Protection des Données), la notification à la CNIL doit respecter un délai de 72 heures. Il est donc préférable de faire la déclaration dans les meilleurs délais et si toutes les informations nécessaires ne sont pas disponibles immédiatement, une notification initiale doit être effectuée et complétée dès que possible. Si le délai de 72 heures est dépassé, il faut alors s’assurer d'expliquer les raisons du retard lors de la notification ou l’organisation risque de s’exposer à des sanctions administratives.  

Ces sanctions peuvent aller jusqu’à 4 % du chiffre d’affaires mondial ou 20 millions d’euros, ou d’autres mesures telles que des rappels à l’ordre. Il est donc essentiel que les responsables mettent en place des procédures pour détecter, réagir et notifier toute violation de données de manière appropriée. Dans certains cas, il est possible qu’un sous-traitant ou partenaire soit impliqué. Cependant, c'est toujours au responsable du traitement de notifier la CNIL. 

La notification de l’incident doit contenir les éléments suivants :  

• La nature de la violation, décrire précisément ce qui s'est passé ; 
• Un nombre approximatif des personnes concernées ; 
• Les types de données affectées et le nombre approximatif d'enregistrements concernés ; 
• Une évaluation des impacts potentiels de la violation sur les personnes concernées ; 
• Les mesures prises ou envisagées, ce qui a été fait ou ce qui est prévu pour remédier à l'incident et empêcher qu'il ne se reproduise ; 

Cette mesure a pour but de contribuer à la protection des personnes concernées par les données compromises, mais permet également de garantir que l’organisation reste en conformité avec le RGPD. 

Analyse de l’attaque et gestion de la communication 

Après avoir mobilisé les ressources nécessaires à la gestion de cris et mis en œuvre les premières actions d'urgence, il convient alors de passer à une phase d'analyse plus approfondie. Cette étape permet de comprendre l'origine et l'ampleur de l'attaque, mais également d’adapter la stratégie de communication en fonction des différentes informations recueillies. Cette transition, entre l'alerte initiale et l’analyse détaillée de la situation, est essentielle pour une réponse efficace et limiter les dommages. Gérer la communication est tout aussi vital, car il s'agit de maintenir la confiance des parties prenantes et l’image de l’organisation auprès du public. 

Investigation numérique  

L’investigation numérique consiste à retracer et comprendre les actions menées par les attaquants ainsi que leurs motivations. Cela permet de mieux prioriser les actions correctives et améliorer drastiquement la stratégie de reconstruction. D’autre part, l’investigation numérique permet également d’identifier les vulnérabilités utilisées présentes au sein du système d’information pour que les équipes puissent ensuite renforcer ces brèches.  

Les différents moyens d’investigation : 

Lorsqu’un incident est détecté, c’est généralement le SOC ou bien l’équipe Helpdesk⁶, qui est chargé d'endiguer et à limiter la propagation de l’attaque afin de réduire ses impacts immédiats. Cette phase peut inclure des actions telles que l'isolement des systèmes compromis, la mise hors ligne de certaines parties du réseau, et la mise en œuvre de mesures temporaires pour protéger les données sensibles. L'objectif est de stabiliser la situation et de prévenir toute aggravation pendant que les équipes travaillent à comprendre et résoudre l'incident. 

Un incident cyber donnant lieu à une crise nécessite une investigation plus poussée, généralement appeler « l’analyse forensique ». Cette analyse consiste à investiguer un système à la suite d'une cyberattaque, les analystes collectent l’ensemble des données brutes, telle que celles contenues dans les disques durs, les fichiers et dossiers effacés, les sauvegardes, les journaux d’évènements et les étudient afin de comprendre ce qu’il s’est passé et établissent des conclusions sur ces résultats. Cette tâche a pour but de produire des preuves, pouvant être utile à plusieurs causes comme le lancement d’une procédure judiciaire, la remédiation à un incident ou encore, renforcer la capacité décisionnelle de la cellule stratégique. Ces preuves peuvent alors être des traces, artefacts numériques fournissant des informations qui, mises bout à bout, permettent de dégager un scénario factuel d'évènements et d'apporter des réponses aux questions. Il existe trois types d’analyses forensiques : 

• Le Dead forensics (analyse à froid) : Analyse d’un système éteint. L’ensemble des données du système sont copiées à des fins d’analyse. Généralement, l’analyse porte sur le disque dur d’une machine. 
• Le Live forensics (analyse à chaud) : Analyse d’un système à un instant T. généralement l’analyse porte sur de la mémoire vive 
• Le Real Time forensics (analyse en temps réel) : Analyse d’un système en corrélant en temps réel. Généralement, l’analyse porte sur du trafic réseau. 

Différence entre le Dead forensics et le Live Forensics : 

L’analyse à froid consiste à analyser l’ensemble d’un disque dur. Il s’agit d’une opération pouvant prendre énormément de temps en fonction des capacités du disque et de la taille de son contenu. L’analyse à froid permet de récupérer des informations telles que : 

• L’utilisation et la configuration du système (logiciels installés, logs, fichiers consultés…) ; 
• Le contenu du disque (fichier multimédia, bureautique, exécutable …) ; 
• Les données confidentielles (mots de passe, données chiffrées ...) ; 
• Les fichiers supprimés, l’espace libre du disque ; 

Le live forensics consiste à récupérer des informations sur l’état d’un système à un instant T. Un système en cours de fonctionnement possède dans sa mémoire vive des informations qui peuvent intéresser les analystes : 

• État du système (logiciels en cours de fonctionnement, fichiers ouverts, connexions, réseaux courants …) ; 
• Informations liées aux processus (mots de passe stockés en mémoire, sites, consultés …) ; 

L’avantage du live forensic par rapport à du dead forensics réside dans la capacité de lecture en clair et sans protection du contenu de la mémoire vive. (La copie des données est également plus rapide). 

Déroulement d’une investigation de Forensic : 

Plusieurs éléments sont à prendre en considération dans une investigation numérique, par exemple, le délai nécessaire avant la mise en œuvre du plan de reconstruction des serveurs et des postes qui peut parfois rendre le déroulement plus compliqué, avant de mettre en œuvre ce plan de reconstruction, les équipes doivent veiller à ce qu'aucune trace de l'attaque ne subsiste sur les systèmes. Le choix des systèmes sur lesquels investiguer en priorité est déterminé en fonction de la sensibilité et de l’importance des données qu’ils peuvent contenir. Il s’agit donc de trouver un équilibre entre la rapidité de la remise en production et un niveau de sécurité adapté. La priorité de la remise en fonction des applications métiers est décidée en fonction du risque associé à la relance des serveurs et postes concernés. Lors de leurs investigations, les équipes de forensique se doivent de respecter une variété de procédures rigoureuses, pour garantir que les preuves sont relevées correctement et peuvent être utilisées dans d'éventuelles enquêtes judiciaires. Pour cela, l'acquisition des données doit se reposer sur l'utilisation de techniques bien spécifiques afin d’assurer l’intégrité des données récupérées, comme la vérification des checksums⁷. 

De manières plus détaillées, voici comment s’articule généralement une mission d'in forensique. 

Étape n°1 - L'acquisition ;  

C’est à cette étape que les investigateurs font l’acquisition des différents supports numériques infectés. Ces supports sont recensés avec précision (caractéristiques techniques, numéros de série, photographies.). Dans le cas où la machine est encore en état de fonctionnement, les analyses réalisent une copie de la mémoire vive afin de réaliser une analyse de type live forensique par la suite.  Les analystes copient également les disques durs pour mener ensuite l’analyse dead forensiques ». Il est préférable de réaliser au minimum de deux copies du disque dur original et de ne jamais travailler directement sur celui d’origine, une des copies doit être alors utilisée comme copie de secours en cas de panne de l'autre copie. L'intégrité de cette copie et la correspondance absolue avec le disque d'origine doivent être vérifiées. Cela implique de comparer l’empreinte du disque d’origine à l’empreinte de chaque copie. 

Étape n°2 - L'investigation ;  

L'investigation consiste à analyser en détail les preuves collectées. Cette phase inclut la recherche de fichiers malveillants, la reconstitution des actions de l'attaquant, et la compréhension de l'impact de l'attaque sur les systèmes compromis. Les analystes cherchent à établir un scénario clair de l'incident, en identifiant les vecteurs d'attaque et les vulnérabilités exploitées. 

Étape n°3 - La remédiation 

La remédiation implique de prendre des mesures pour corriger les vulnérabilités identifiées et restaurer les systèmes à leur état sécurisé. Cela peut inclure la suppression de logiciels malveillants, la réparation de failles de sécurité, et la mise en place de nouvelles mesures de protection. L'objectif est de prévenir toute nouvelle compromission et de renforcer la posture de sécurité de l'organisation. 

Étape n°4 - La remise du rapport 

La remise du rapport est la phase finale de l'investigation. Les analystes forensiques rédigent un rapport détaillé qui documente toutes les étapes de l'investigation, les preuves collectées, les analyses effectuées, et les conclusions tirées. Ce rapport est crucial pour informer les parties prenantes de l'organisation et peut également servir de base pour des actions légales ou pour renforcer les stratégies de sécurité à long terme. 

Les difficultés pouvant être rencontrées : 

Lors d’une investigation numérique, les conditions ne sont pas souvent idéales, généralement en raison des difficultés suivantes : 

• L’accès à la totalité des journaux d'évènements nécessaires n’est pas toujours possible, notamment dû aux politiques de rétention de données parfois insuffisantes. 
• L’accès aux données stocké dans la mémoire vive impossible souvent en raison que la machine a été éteint avant le début des investigations.  
• Durée d’investigation insuffisante pour une analyse complète et fructueuse. 
• Difficultés à trier et catégoriser les informations pertinentes.  
• L’évaluer de l'étendue complète d'une attaque parfois difficile.  

En résumé, l'investigation numérique joue un rôle essentiel en fournissant une compréhension détaillée de l'incident, en soutenant les efforts de remédiation, et en guidant les mesures de renforcement des systèmes. C'est donc une étape incontournable pour restaurer la confiance et assurer la continuité des activités de l'organisation. 

Gestion de la communication 

Une fois l'investigation numérique achevée et les détails techniques de l'attaque compris, un autre enjeu essentiel à prendre en considération et celui de la gestion de la communication. Pendant la communication de crise, il convient de partager les informations de manière transparente tout en préservant la réputation de l'entreprise. 

En fonction de son type et de son ampleur, les impacts d’une cyberattaque peuvent être immédiatement visibles, obligeant l’organisation à communiquer rapidement sur la situation en interne et en externe. L’effectif des acteurs impliqués directement ou indirectement dans le cyber rend parfois difficile la gestion de la cohérence du discours global. Il convient alors de s’appuyer sur une stratégie de communication et des éléments de langage associés avec l’aide des équipes communication, cyber et IT, pour informer, rassurer, mobiliser et protéger l’image de l’organisation. 

Cette stratégie de communication s’appuie sur une analyse de la situation et les éléments d’ores et déjà préparés, mais également sur une analyse de risque médiatique intégrant les éléments relatifs à la situation opérationnelle (issus des équipes cyber et IT) et des enjeux de réputation et de confiance définis avec la cellule stratégique. Elle doit ainsi intégrer les impacts de l’incident, le contexte sociopolitique (risques, sujets d’actualité) et les points de vigilance liés à l’organisation (notoriété, actualité du secteur, rachat, communication financière, etc.). 

Collecte et adaptation de l'information : 

Les membres de la cellule chargés de la communication doivent collecter les informations sur la crise et adapter ces données aux différents publics : médias, conseil d'administration, clients, etc. Les équipes de communication doivent être formées aux enjeux cyber et doivent collaborer étroitement avec les équipes cyber et IT pour partager les incertitudes et les zones d’ombre, ce qui permet de vulgariser certains éléments techniques pour des publics non experts. En cas d’indisponibilité des canaux de communication habituels, les communications sont diffusées sur les réseaux alternatifs mis en place (communication physique, site temporaire, boîte vocale temporaire, etc.). 

Coordination avec les autorités : 

Selon les obligations réglementaires de l'organisation, il est également crucial de notifier les autorités compétentes, qui peuvent offrir un soutien à l'organisation victime d'une cyberattaque. Le porte-parole doit communiquer avec les médias, si possible seul, pour éviter la diffusion de messages contradictoires et inquiétants. La transparence de l’organisation est garante de la réussite de sa communication de crise. 

Rassurer les parties prenantes et les médias : 

Pour maintenir la confiance des parties prenantes et des médias durant une crise, des communications régulières sont essentielles. Elles permettent de tenir tout le monde informé de l'évolution de la situation, de maîtriser les informations partagées et d'éviter la propagation de rumeurs. Les messages doivent être soigneusement formalisés et validés par les équipes de communication et juridiques pour garantir leur cohérence et leur pertinence. 

Centralisation et veille médiatique : 

Centraliser les sollicitations de la presse, via un point de contact unique permet d’assurer une réponse cohérente et efficace. Une cellule de veille médiatique doit être mise en place pour suivre le résultat des communications dans les médias et anticiper les actions nécessaires. Une communication descendante structurée doit être instaurée pour fournir de la visibilité sur l'évolution de la situation et les jalons majeurs, ce qui favorise l'adhésion des équipes internes. Un outil de questions/réponses peut être utilisé pour faciliter cette communication. 

Gestion des sollicitations techniques : 

Les sollicitations des clients, partenaires et autorités, demandant des informations complémentaires sur l'attaque, doivent être prises en compte et suivies de près. Un canal de communication unique peut être mis en place pour répondre à ces sollicitations, garantissant ainsi que les réponses restent précises et uniformes. 

Adaptation du plan de communication : 

Pour la gestion efficace de la crise, il est essentiel d'adapter le plan de communication en fonction de la situation. Deux plans différents doivent être construits : un pour la communication interne et un pour la communication externe. Le rythme de la communication doit être ajusté aux objectifs stratégiques de l'organisation, et des relais de communication, tels que la presse et le web. Les canaux de communication interne doivent être mobilisés. Pour les grandes organisations, des relais régionaux et internationaux peuvent également être identifiés et mobilisés en fonction de la taille et de l'activité de l'entreprise. 

Mobilisation des porte-paroles : 

Un porte-parole, formé aux enjeux cyber est essentiel afin de permettre aux experts de se concentrer sur la gestion de la crise. Si les canaux de communication habituels sont indisponibles, des réseaux alternatifs comme la communication physique, un site temporaire ou une boîte vocale temporaire doivent être utilisés pour diffuser les informations. 

Communication régulière et coordination interne : 

Les actions entreprises et celles en cours doivent être communiquées régulièrement à la cellule stratégique, y compris les incertitudes et les zones d'ombre. Les équipes cyber et IT doivent collaborer avec les équipes de communication pour vulgariser certains éléments techniques, afin de rendre les informations compréhensibles pour des publics non experts. 

Soutenir ses équipes de gestion de crise  

Il est également important de considérer que les crises cyber, selon leur ampleur, peuvent s’étaler sur de longues périodes. Les équipes internes peuvent être sursollicitées, nécessitant alors de mettre en place une certaine organisation pour les aider à travailler efficacement. Cette organisation a pour but de préserver ses équipes et à les décharger pour qu’elles puissent se concentrer sur les actions prioritaires.  

Plusieurs éléments peuvent être mis en place : 

• Organisation et management des équipes : S’assurer que les rôles et responsabilités de chacun sont clairs ; 
• Des horaires flexibles, incluant des heures ouvrées et non ouvrées, ainsi que des rotations pour éviter l'épuisement ; 
• Des services de restauration et d’hôtellerie comme des repas et des options d'hébergement si nécessaire ; 
• Des compensations financières adéquates pour les heures supplémentaires ; 
• S’assurer de la disponibilité de lieux adéquats pour les réunions et la coordination ; 

De plus, il est important de noter qu’une cyberattaque peut entraîner une surcharge exceptionnelle d’activité et des sentiments de sidération, d’humiliation, d’incompétence, voire de culpabilité. Ces facteurs peuvent affecter l’efficacité des équipes pendant et après la crise. 

 Il est donc important de : 

• Offrir un soutien psychologique pour aider les équipes à gérer le stress et l'anxiété ; 
• Encourager la communication pour que les membres de l'équipe puissent exprimer leurs préoccupations ; 
• Reconnaître et valoriser les efforts fournis par les équipes afin de maintenir la motivation et la résilience ; 

Reprise des activités et durcissement des systèmes 

Après avoir analysé l'attaque en détail, et minimisé au maximum les impacts de la crise sur la réputation grâce à la communication. L’organisation doit ensuite se concentrer sur la phase menant à la reprise de son activité et du durcissement des systèmes. Cette phase marque un tournant vers la normalisation des opérations de l’organisation et permet d’accroître la résilience de son infrastructure informatique. 

Mettre en place un mode de fonctionnement dégradé pour les métiers impactés  

En période de crise, les systèmes et applications métiers essentiels au bon fonctionnement de l’organisation sont généralement impactés par la cyberattaque, bloquant ainsi la chaîne de production de l’organisation. Afin de minimiser cet impact et assurer la continuité des opérations, il est crucial de prévoir la mise en place d’un mode de fonctionnement « dégradé ». C’est est une stratégie ayant pour but de maintenir la production de l’organisation avec la mise en place de solutions provisoires, temporaires, avant de revenir à un fonctionnement normal. Mettre en œuvre cette approche de manière efficace implique de suivre le « Plan de Continuité d’Activité » (PCA), établie en amont de la crise.  

Voici les étapes et les éléments clés d’un PCA : 

Étape n°1 – L’identification des systèmes et des applications critiques pour le fonctionnement de l’organisation. 

Dans cette première étape, l’idée est de prioriser les efforts de remédiation et de mise en place de solutions temporaires pour les éléments de l'infrastructure indispensables à la continuité des opérations. 

Étape n°2 – Mise en place de solutions alternatives. 

Une fois les systèmes critiques identifiés, vient le moment de déployer les solutions temporaires permettant d’assurer la continuité des opérations. Des exemples de stratégie seraient le travail à distance, mis en œuvre par de nombreuses entreprises pendant la pandémie de COVID-19. Ces mises en place peuvent aussi inclure : 

• Des systèmes de secours ; 
• Des logiciels alternatifs ; 
• Des supports papier, processus manuel ; 
• Sites de travail secondaires ; 

Ces solutions visent à être suffisamment robustes et maintenir un niveau de service acceptable jusqu’à la restauration complète des systèmes. 

Étape n° 3 – Communication et formation. 

Cette stratégie nécessite une communication claire et détaillée des solutions alternatives mises en place, afin de garantir que tous les utilisateurs comprennent et puissent efficacement utiliser ses solutions. Cette communication inclut notamment des mises à jour régulières sur l'état de la situation, des instructions détaillées sur les nouvelles procédures, et des points de contact pour le support technique et opérationnel. 

Étape n° 4 – Formaliser une équipe dédiée au plan de PCA  

Il est essentiel d’avoir une équipe ou une personne de référence à qui s’adresser. Chaque membre du comité possède un ensemble unique de responsabilités, pour mener à bien le PCA telles que la planification et le test des stratégies de continuité des activités. Les membres de l’équipe PCA peuvent varier, allant des superviseurs de l’entreprise aux spécialistes. 

Étape n° 5 –   Stratégie de récupération 

En dernière étape, il convient de définir les procédures visant à rétablir les activités en établissant, par exemple, un calendrier réaliste et des ressources d’urgence essentielles. 

La mise en place d’un mode de fonctionnement dégradé nécessite avant tout une planification minutieuse ainsi qu’une exécution rigoureuse des stratégies. En combinant une évaluation des risques, des solutions alternatives robustes, et une communication efficace, les organisations peuvent alors mettre les chances de leur côté, afin d’assurer la continuité de leurs opérations même en période de crise. 

Relancer les activités 

Une fois, le mode de fonctionnement dégradé en place, l'objectif suivant est celui de remettre en production les outils et systèmes de manière plus sécurisée, en respectant des standards de sécurité plus élevés pour limiter le risque de nouvelles compromissions. Cette phase de gestion de crise est particulièrement exigeante en termes de ressources humaines et financières. La priorité doit être donnée aux systèmes les plus critiques pour le bon fonctionnement des métiers, mais également pour le respect des périodes critiques de l'organisation, comme le paiement des salaires ou les livraisons. Plus concrètement, cette phase se caractérise par l’activation du Plan de Reprise d'Activité (PRA), établie en amont.  Le PRA prend la forme d’un document indiquant les processus à mettre en œuvre, les systèmes de sauvegarde et leurs détails de configurations comme la durée maximale d’interruption admissible pour chaque département (RTO) et la perte de données maximale admissible (RPO). 

Les considérations à prendre avant la mise en place du PRA : 

Avant la reprise d’activité, les équipes doivent tenir compte de certains éléments importants, comme le fait que les sauvegardes peuvent contenir des vecteurs de compromission, il est alors crucial d'utiliser des sauvegardes saines avant la restauration des systèmes compromis. Il est également essentiel de restaurer les données à partir de sources de confiance en s’appuyant sur des images officielles, binaires d’installation signée, de contrôler la conformité des configurations, et d’effectuer un scan antivirus des données. Pour cela, une analyse en « dead forensic » peut très bien être menée.   

Mettre en place le PRA de manière efficace :  

La planification et l'organisation du plan de remise en production doivent être effectuées en fonction de priorités définie en fonction des spécificités et des opérations de l’organisation. Ces priorités peuvent par exemple être illustrées sous la forme et la nomenclature suivante :  

• P0 – Concerne les systèmes critiques nécessaires au maintien immédiat des opérations (serveurs de base de données pour les applications financières ou les systèmes de contrôle industriels) ; 
• P1 - Concerne les services vitaux pour l'entreprise (outils de communication interne, plateformes de gestion de projet, systèmes CRM) ; 
• P2 - Concerne les systèmes importants, mais non critiques (sites web externes, applications de reporting) ; 
• P3 - Concerne les outils et applications de support (systèmes de gestion des ressources humaines ou les logiciels de formation) ; 
• P4 - Concerne services et systèmes moins prioritaires (plateformes de test ou les environnements de développement ; 

Les systèmes les plus critiques doivent être traités en premier, et un renforcement des ressources humaines et matérielles, y compris le travail en continu (24 h/24), peut être nécessaire pour accélérer ce processus. Parallèlement, une transparence et une communication continuent avec les utilisateurs et les parties prenantes externes doivent être maintenues pour tenir informer de l’état de la restauration et des échéances prévisionnelles. Cela permet de gérer les attentes et de maintenir la confiance dans les efforts de remédiation. 

À la suite de la mise en place du PRA :  

À la suite de la restauration des données, les équipes métiers sont essentiellement mobilisées à des fins de tests utilisateurs avant la remise en production. Ces tests sont fondamentaux, car ils permettent d’assurer que les systèmes sont bien fonctionnels et sécurisés avant de reprendre les opérations normalement. 

Avantages et inconvénients du PRA :  

La mise en place d’un Plan de Reprise d’Activité présente en surface plusieurs avantages non négligeables, mais cela peut aussi présenter quelques inconvénients à prendre en considération.  

Le Plan de Reprise d’Activité a pour objectif principal d'assurer une relance rapide des opérations métier de l’organisation. En effet, une interruption plus prolongée pourrait nuire à la réputation de l’organisation et, par conséquent, affecter sa valeur financière. De plus, si cette interruption compromet le respect des obligations réglementaires et contractuelles, l’organisation s’expose à des répercussions juridiques importantes. Ces répercussions d’une reprise d’activité trop longues entraînent également des impacts sur la réputation et donc sur la valeur financière.  

Cependant, la mise en place d’un PRA représente une certaine préparation en amont ainsi qu’un coût pour l’organisation, même si cela est néanmoins rentabilisé au vu des conséquences qu’un PRA permet d’éviter en cas de crise.  

En sommes, le PRA s’appuie différentes solutions de récupération telles que des sauvegardes de données dans l’optique d’assurer un fonctionnement informatique satisfaisant. Tout comme le PCA, le Plan de Reprise d’Activité fonctionne uniquement en conformité avec les bonnes pratiques. C’est un qui doit être correctement réfléchi en amont de la crise et testé régulièrement. Son élaboration peut prendre un certain temps avant d’être totalement opérationnelle et nécessite également un certain budget pour être totalement efficace. En suivant ces étapes, l’organisation peut alors relancer ses activités de manière sécurisée et progressive, en minimisant les risques. 

Remédiation et surveillance continue du système d’information  

Une fois que les activités sont relancées et que les investigations ont permis d’identifier les vulnérabilités exploitées par l’attaquant, il est alors temps de remédier à celles-ci, avec des mesures de sécurité plus élevées afin d’éviter une nouvelle compromission. L’élaboration d’un plan de durcissement est donc essentielle, son objectif est donc de reprendre le contrôle des systèmes et les durcir afin d’empêcher de nouvelles compromissions. Il s’agit de revoir en profondeur tout le système de sécurité de l’entreprise en identifiant les différentes failles de sécurité et de mettre en place les mesures adéquates afin de minimiser les chances que l’incident ne se reproduise. 

Organiser des audits de sécurité et s’appuyer sur les résultats d’investigations :  

Ce plan doit commencer par la réalisation d’audit de sécurité à la fois technique et organisationnel, afin d’identifier et analyser les différentes vulnérabilités présentes sur les différents actifs composant le système d’information ainsi que son infrastructure système et réseaux. Le retour des investigations numériques joue également un rôle important dans l’identification de ces vulnérabilités, il peut aussi convenir d’utiliser des méthodes et outils de durcissement connus, tels que l'utilisation de solutions de sécurité comme Wazuh⁸. 

Mettre en place les processus de sécurisation :  

Une planification stratégique est essentielle afin de pouvoir organiser efficacement les actions. Il faut définir des objectifs clairs et mesurables, évaluer les risques associés à la non-réalisation de certaines actions, et ajuster ces objectifs en fonction des contraintes techniques et des progrès réalisés. Les équipes décisionnelles doivent promouvoir les changements nécessaires et adapter le PRA en fonction des avancées. Un suivi rigoureux des décisions permet de valider les critères de sortie de crise. 

Sur le plan opérationnel, il est crucial de reprendre le contrôle des systèmes et de mettre en œuvre des mesures de durcissement dans le but de neutraliser les vecteurs d’infection et d’isoler l’attaquant, dans le cac ou une backdoors⁹ a été installée. Les actions doivent être organisées pour optimiser le travail des équipes opérationnelles, en assurant une coordination étroite entre les équipes métiers, cyber et IT. Les impacts des mesures de durcissement sur les systèmes et les métiers doivent être identifiés et validés en amont de leur déploiement. Voici quatre mesures à mettre essentiellement en place par le volet opérationnel.  

• Mettre ses systèmes d’exploitation et logiciels à jour.   
• Sauvegardé de manière régulière l’ensemble des données de l’organisation.  
• Former ses collaborateurs.  
• Travailler sur son dispositif de prévention et de gestion de crise.  

La communication et la formation :  

La communication et la formation auprès des collaborateurs jouent un rôle clé dans la mise en place du plan de durcissement. Il est nécessaire d’expliquer la mise en place de tous les changements et de former les utilisateurs aux nouvelles pratiques de sécurité. La communication en interne doit être efficace et permettre de diffuser régulièrement des informations claires sur les modifications apportées. Un support technique doit être mis en place pour venir aider à l’adoption de ces nouvelles mesures. 

Assurer la surveillance continue :  

La surveillance et l’amélioration continue sont indispensables, cela permet d’assurer la sécurité sur le long terme. Le Plan de Reprise d’Activité (PRA) peut être mis en place afin de suivre l’efficacité des mesures de sécurité appliquées. Quant à la surveillance continue des systèmes, elle doit permettre de détecter et prévenir les futures attaques. Les leçons apprises durant la crise doivent être intégrées dans un plan de continuité et d’amélioration ayant pour objective d’ajuster les stratégies de sécurité et de gestion de crise en fonction des retours d’expérience. 

Suivre ces étapes permettra à l’organisation de relancer ses activités, mais également renforcer sa résilience contre de futures attaques, tout en maintenant une communication claire et cohérente avec l’ensemble des parties prenantes. 

Leçons apprises et amélioration continue  

Une fois les activités relancées et les systèmes protégés, il est maintenant temps d’organiser sa sortie de crise. Pour cela, il est important de prendre plusieurs éléments en considération.  

Définir les critères de sortie de crise 

Mettre en place des indicateurs de sortie de crise facilite le processus. De manière générale, une crise cyber est considérée comme terminée lorsque les mesures exceptionnelles d’organisation mises en place pour la gestion ont cessé. Atteindre cet objectif nécessite de suivre une démarche structurée pour établir et réévaluer les critères de sortie de crise. Ces critères doivent être établis dès le début de l’incident et réévaluer régulièrement. Il est également essentiel d'évaluer la remise en services des systèmes affectés, en surveillant le processus pour s’assurer que tout est bien opérationnel et sécurisé.  

Voici quelques exemples de critères de sortie de crise : 

• Tous les systèmes et applications, identifiés comme essentiels au bon fonctionnement de l'organisation, sont désormais restaurés et opérationnels. 
• Les données compromises, exposées durant l’attaque, ont été sécurisées et restaurées, les accès non autorisés ont également été révoqués.  
• Les opérations commerciales de l’organisation reprennent un niveau normal, sans restriction ou dégradations et les services sont à nouveau disponibles auprès des clients et partenaires. 
• Les audits de sécurité post-incidents ont été menés et confirment l'absence de risques résiduels dans le système d’information et que celui-ci est en bonne conformité avec les normes de sécurité. 

Communication post-crise 

Communiquer après une crise cyber peut s’avérer délicat, car les impacts sur l’image et les activités de l’entreprise sont significatifs. Cependant, le silence est rarement une option viable. Dès que l’information devient publique, l’entreprise est submergée de questions des médias et de messages sur les réseaux sociaux. Il est donc crucial de diffuser une communication uniforme et régulièrement mise à jour à partir de tous les moyens de communication disponibles. 

Pour les entreprises B2B, il est possible de fournir à leurs clients, une documentation prouvant que des actions de remédiation et de sécurisation ont été mises en place. Des audits réalisés par des organismes indépendants peuvent également rassurer les clients. La création d’un comité de suivi chargé de communiquer régulièrement sur les actions entreprises renforce encore la transparence et la confiance. 

Pour les entreprises B2C, la communication est plus complexe. Il est recommandé de parler ouvertement de la cyberattaque, de faire preuve de transparence et de montrer, à travers les réseaux sociaux et les médias, les actions mises en place. Partager les conclusions des audits de sécurité et adopter une posture humble et apprenante, peut également être efficace. Utiliser la crise comme une opportunité de devenir exemplaire en matière de cybersécurité peut transformer un événement négatif en un atout de confiance. 

En ce qui concerne la communication en interne, il convient d’assurer la communication de la sortie de crise à toutes les équipes. 

Analyse Post-Mortem et Retour d’Expérience (RETEX) 

Une fois la communication post-crise terminée et les parties prenantes rassurées, une organisation doit mettre en place une profonde réflexion sur les événements qui ont déroulé la période de crise, dans le but d’en tirer des enseignements durables. C'est ici que le post-mortem et le retour d'expérience (Retex) entrent en jeu, l’idée est de capitaliser sur la crise dans le but de renforcer les défenses et améliorer les processus à l'avenir. 

L’Analyse post-mortem :  

Le plus important est de réaliser une analyse post-mortem, portant sur la manière dont a été gérée la crise. Il est conseillé de tout consigner, écrire avec précision ce qui s’est passé, quelles actions ont été prises, par qui et à quel moment. Cette documentation devient une sorte de boîte noire et permet d’analyser ce qui a été bien fait ou non.  

L’analyse port-mortem est donc une évaluation exhaustive de l’impact de la crise sur l’organisation, elle permet de mettre en lumière les forces et les faiblesses de la stratégie de gestion de crise employée. C’est donc un puissant levier d’amélioration pour une organisation, à condition que cette analyse soit correctement effectuée et que les principaux éléments de la gestion de crise soient bien pris en compte. Voici différents éléments de la crise à prendre en compte pour une analyse post-mortem ; 

• Les mesures des effets et des résultats de la communication :   

Ici, l’objectif est d’évaluer les retours des parties prenantes, en déterminant si la communication a aidé à atténuer les dommages de l’incident ou l’a intensifié. Le but étant d’ajuster les stratégies de communication pour les crises futures. 

• L’évaluation de l’impact : 

Cette évaluation permet de comprendre la façon dont la crise est venue perturber les opérations de l’organisation. En identifiant les différents processus et services affectés, l’organisation peut alors ensuite renforcer sa sécurité et réduire les perturbations d’une future crise potentielle. 

• La révision de la réputation :  

L’impact d’une crise cyber altère inévitablement la perception du public et des clients vis-à-vis de l’organisation. Cet impact est donc un indicateur clé dans cette phase post-crise. Analyser cette perception aide à la consolidation de la résilience réputationnelle de l’organisation. 

• L’évaluation de l’impact financier : 

L’impact financier est également une évaluation très essentielle. Elle doit inclure les pertes financières directes et indirectes pour mieux comprendre l'ampleur des dégâts et de planifier des mesures nécessaires à l’atténuation des impacts futurs. 

• Diagnostic signes avant-coureurs :  

Diagnostiquer l’ensemble des éléments ayant pu déclencher la crise est quelque chose de crucial pour la prévention. Cela peut se faire sous la forme d’une check-list, visant à identifier tous les signes avant-coureurs pour aider l’organisation à réagir plus rapidement et plus efficacement en cas de nouvelle crise. 

• La capitalisation :  

Apprendre de la crise est l'un des aspects les plus importants de cette amélioration post-mortem. Cela peut très bien se faire avec une analyse des retours d'expérience des parties concernées. Tous les témoignages peuvent alors être étudiés, afin d'identifier les réussites et les échecs, et de mettre en place des actions correctives. Cela renforce la résilience de l’organisation et améliore sa capacité à gérer efficacement les crises futures. 

Le RETEX :  

La capitalisation des retours d’expérience sur la crise est quelque chose de fondamental dans cette phase « d’après crise », en effet, ces retours permettent d’extraire des enseignements bénéfiques dans l’amélioration croissante des processus de gestion de crise sur le long terme. C’est là qu’intervient le RETEX, en comparaison, avec l'analyse post-mortem où ce dernier se concentre sur une évaluation détaillée des impacts et des processus internes immédiatement après la crise, le RETEX, lui, offre une vision plus stratégique permettant de tirer des enseignements plus larges de l’analyse, dans le but d’améliorer les processus sur le long terme. Le RETEX s’aligne alors sur le ressenti les différents acteurs de la crise, ces acteurs peuvent être par exemple : 

• La direction ; 
• Les employés ;  
• Les clients ; 
• Les fournisseurs ; 
• Les parties prenantes externes ; 

Ces précieuses informations peuvent être recueillies au travers de différentes méthodes telles que : 

• Des visites sur site ;  
• Des sondages ; 
• Des études sur les opinions ;  
• Des analyses digitales ; 
• Des panels ;  
• Des entretiens anonymes ;  

La variété de ces approches est donc un moyen d’encourager les participants à partager leur expérience, de la manière la plus ouverte et honnête qu’il soit, afin d’obtenir un aperçu complet et nuancé de la gestion de la crise de sa globalité. Une fois les informations tirées de ces méthodes, il est à présent temps de les analyser en profondeur afin de mener l’évaluation des différents aspects de la gestion de crise, comme la critique des messages, la documentation, les outils utilisés et l’orchestration du plan d’action dans sa globalité. L’idée principale est donc d’identifier les points forts de la gestion de la crise et de repérer les différents aspects de celle-ci nécessitant des améliorations. RETEX aide également à comprendre la perception des parties prenantes sur la crise, ce qui est crucial pour améliorer la communication et le leadership en temps de crise. Voici un exemple de trois grands axes autour duquel un RETEX pourrait s’organiser :  

La collecte et l’analyse des données : 

• Identification des acteurs clés et l’organisation des aspects pratiques du RETEX (calendrier, méthode, documents) ; 
• Réaliser le RETEX dans un délai maximum de 30 jours après la fin de la crise ; 
• Demander un rapport d’investigation numérique aux prestataires mobilisés ; 

La valorisation des données du RETEX : 

• Utiliser les données du RETEX pour améliorer les processus de gestion de crise. 
• Construire un rapport détaillé identifiant les actions à mener. 
• Diffuser une synthèse à la direction générale et un document complet aux équipes de gestion de crise. 
• Assurer un suivi spécifique des axes d’amélioration via un plan d'action. 

Les thèmes à aborder : 

• Gouvernance et processus de gestion de crise. 
• Communication de crise. 
• Processus de prise de décision et suivi des actions. 
• Capacités techniques et opérationnelles. 
• Interactions entre les équipes et avec les parties prenantes extérieures. 

Le RETEX est donc une occasion précieuse pour apprendre et s’améliorer. En tirant les leçons de chaque crise, une organisation peut non seulement renforcer sa capacité à gérer efficacement une crise pour réduire l'impact sur le système d'information, mais aussi, devient mieux préparée à affronter d’éventuelles crises futures.  

Conclusion  

Aujourd’hui, une organisation ne doit plus se demander si elle sera ciblée par une cyberattaque un jour. Elles devraient plutôt se demander si elle est vraiment en capacité à pouvoir gérer la crise efficacement, lorsque ce jour arrivera. Chaque organisation se doit d’instaurer une gestion de crise cyber efficace, pour réduire les impacts potentiels sur son système d'information. Cela nécessite avant tout une certaine préparation stratégique et opérationnelle adéquate, impliquant la mise en place d’une cyber résilience. À travers cette préparation, le but d’acquérir la capacité à prévenir les incidents de cybersécurité, à y résister et à s'en relever.  

Les principaux éléments qu’une organisation doit implémenter dans sa cyber résilience incluent : 

• La sensibilisation des employés et des parties prenantes aux risques liés à la sécurité informatique ; 
• La connaissance et la compréhension globale des risques présents au sein de son système d’information ;  
• L’implémentation de tous les mesures et moyens à mettre en œuvre dans le but de réduire les risques au maximum ; 
• La gestion et la supervision proactive des incidents de sécurité visant à contenir les menaces ; 
• L’élaboration d’un système/processus permettant la continuité d’activité (PCA/PRA) et de moyens de restauration système et données critiques ; 
• La conceptualisation d’une cellule de crise ; 

Quand une crise d’origine cyber est amorcée, il convient d’adopter une réponse rapide et efficace. Cela nécessite l’activation d’une équipe d'intervention équipée d’un plan de remédiation, composée de priorités structurées et bien définies en avance. La communication en interne et externe ne doit pas être négliger, elle doit également être basée sur une stratégie claire et décidée en amont de la crise. La responsabilité est aspect central, sans une personne ou une équipe chargée de la situation, les actions nécessaires pour résoudre la crise peuvent être retardées ou mal coordonnées. Se faire accompagner par des experts externes, comme la CNIL et l'ANSSI est aussi quelque chose d’essentiel, bénéficier d’expérience et des ressources d’expert est toujours avantageux.  

Il est important de souligner qu’une crise d’origine cyber doit impérativement comprendre une phase dite « post-crise » ou bien « post-incident ». L’importance de cette phase réside dans l’analyse des différents événements déroulés, afin d’en tirer des leçons et améliorer les processus.  Ces étapes indispensables permettent de renforcer la résilience organisationnelle de l’organisation.

12. Cyberattaques en entreprises : les connaître pour s’en protéger - Bouygues Telecom Entreprises, 29 novembre 2023. 

Bibliographie / Webographie 

2. Crise cyber, les clés d’une gestion opérationnelle et stratégique - ANSSI, 6 décembre 2021. 
3. Risques cyber : analyse de la sinistralité - Bessé et Stelliant, octobre 2022. 
4. Panorama de la cybermenace 2023 - ANSSI, 27 février 2024. 
5. Sauvegarde des systèmes d’information - ANSSI, 25 octobre 2023. 
6. Kit de sensibilisation - Cybermalveillance.gouv.fr, date non spécifiée. 
7. IBM Threat Intelligence Report - IBM, date non spécifiée. 
8. Kaspersky Security Awareness - Kaspersky, date non spécifiée. 
9. Communication de crise - LaFrenchCom, date non spécifiée. 
10. Conférence APSSIS 2022 - APSSIS, avril 2022. 
11. Gestion de crise - C-Risk, date non spécifiée. 
12. Cellule de crise - CIGRE INESJ, 2015. 
13. Guide de gestion de crise cyber - ANSSI, 2021. 
14. Crise cyber : comment gérer l’après - Orange Cyberdefense, Date non spécifiée. 
15. Cybersécurité : comment gérer la communication en cas d’incident - Plus que PRO, Date non spécifiée. 
16. Cybersécurité : comment s’organiser en cas de crise - Sopra Steria, Date non spécifiée. 
17. Que faire après avoir subi une cyberattaque ? - Cybercape, Date non spécifiée. 
18. Gestion de crise : comment se préparer à une cyberattaque - Orange Cyberdefense, Date non spécifiée. 
19. Cellule de crise - LaFrenchCom, Date non spécifiée. 
20. Crisis Management Plan - Smartsheet, Date non spécifiée. 
21. Gestion de la communication lors d’une cyber-crise - Allistic, Date non spécifiée. 
22. L’importance de la communication interne en temps de crise - Catherine Besse, 30 avril 2020. 
23. Qu’est-ce que la réponse aux incidents ? - IBM, Date non spécifiée. 
24. La collaboration en gestion de crise cyber : un principe de gouvernance et d’efficacité - Jean-Philippe Cassard, 13 septembre 2021. 
25. Cybersécurité : Top 10 des cyberattaques fréquentes en 2024 - Anissa Baali, 15 avril 2024. 
26. Les 12 types d’attaques de cybersécurité les plus courantes actuellement - Netwrix, 21 mars 2024. 
27. Règlement européen : quand faut-il notifier une violation de données à la CNIL ? - CNIL, Date non spécifiée. 
28. Les 10 types de cyberattaques les plus courants - Netwrix, 4 juillet 2018. 
29. Analyse de risques - C-Risk, Date non spécifiée. 
30. Comment préparer son entreprise à une cyberattaque - Plus que PRO, Date non spécifiée. 
31. Analyse de risques cybersécurité - Digitemis, Date non spécifiée. 
32. Prévention des cyberattaques : méthodes pour protéger votre PME - Capterra, Date non spécifiée. 
33. OWASP Top 10 - OWASP, Date non spécifiée. 
34. Services de cybersécurité : Audits - SecuriteInfo, Date non spécifiée. 
35. Informer sur l’actualité de la cybersécurité - Groupe Ozitem, Date non spécifiée. 
36. Gestion de crise cyber - Appvizer, Date non spécifiée. 
37. Cybersécurité et sauvegarde informatique - Foliateam, Date non spécifiée. 
38. La sauvegarde régulière comme stratégie de cybersécurité - Bonjour Cyber, Date non spécifiée. 
39. Cyber-attaques : quels risques sur les sauvegardes et comment s’en protéger - Wavestone, 23 novembre 2021. 
40. Guide de sensibilisation à la cybersécurité - ANSSI, Date non spécifiée. 
41. Cellule de crise - C-Risk, Date non spécifiée. 
42. Modèle de rapport d’incident - Insecurity Insight, mars 2020. 
43. Guide de communication en cas de crise cyber - ANSSI, décembre 2021. 
44. Plan de continuité d’activité informatique - FC Micro, Date non spécifiée. 
45. Les 4 dimensions de la cyber-résilience - Erium, Date non spécifiée. 
46. Gestion de crise cyber - AMI Gestion, Date non spécifiée. 
47.  Attaques par déni de service :  

Glossaire 

Une attaque par déni de service (DDoS pour Distributed Denial of Service en anglais) à pour but de rendre inaccessible un serveur par l'envoi de multiples requêtes jusqu'à le saturer afin de provoquer une panne ou un fonctionnement fortement dégradé. 

2. Interdépendances : 

L’interdépendance en informatique consiste à la capacité que possède un système à fonctionner avec d'autres produits ou systèmes informatiques, existants ou futurs, sans restriction d'accès ou de mise en œuvre. 

3. IDS : 

Un IDS (Intrusion Detection System) est une solution permettant la détection d’activités suspectes ou malveillantes sur un réseau ou un système informatique. Il analyse le trafic réseau afin d’identifier des comportements anormaux. L'IDS génère des alertes pour signaler les anomalies détectées, mais il n'intervient pas pour bloquer ou arrêter l'attaque. 

4. IPS : 

Un IPS (Intrusion Prevention System) permet non seulement de détecter les intrusions comme le fait l’IDS, mais peut aussi prendre des mesures actives pour prévenir ces intrusions. Après détection d’une activité malveillante, il peut immédiatement bloquer le trafic associé, modifier les règles de pare-feu ou effectuer d'autres actions pour arrêter l'attaque en cours. 

5. Endpoint :  

Un Endpoint est défini comme le point de contact d’une communication entre une API et un sytème.  

6. Equipe Helpdesk :  

Équipe d'assistance, conçu pour accompagner les utilisateurs dans la résolution d'un problème en fournissants des informations et des solutions techniques. 

7. Checksums : 

La somme de contrôle en anglais checksum est un procédé utilisé afin de vérifier l'intégrité de données. 

8. Wazuh :  

Plateforme de sécurité gratuite et open source qui unifient la protection XDR et SIEM pour les terminaux. 

9. Backdoor :  

Une « backdoor » (ou porte dérobée) est un programme malveillant exécuté par les pirates afin de maintenir un accès à distance non autorisé sur le système infecté. 

10.  NAS : 

Un NAS (Network Attached Storage) est un serveur de stockage en réseau, dont la principale fonction est le stockage de données en un volume centralisé (RAID) pour des clients réseau hétérogènes. 

11. Synology : 

Synology est une l’une des entreprises les plus spécialisée dans les serveurs Network Attached Storage. 

12.  Snort :  

Snort est un système de détection d'intrusion et de prévention d'intrusion gratuit et open-source, aujourd'hui maintenu par Cisco Systems. 

13.  Active Directory : 

Un serveur ayant pour rôle « Active Directory » a pour objectif de centraliser l'authentification et l'accès à un réseau de ressources.  

14.  SSH : 

SSH, ou Secure Socket Shell, est un protocole réseau qui permet d'accéder à distance à un système, en toute sécurité. 

15.  DSM : 

DSM est le système d'exploitation utilisé sur les NAS de chez Synology. 

16.  VPN : 

Un VPN ou (Virtual Private Network) permet de créer une connexion réseau privée entre des appareils via Internet. L’objectif est de transmettre des données de manière sûre et anonyme sur des réseaux publics, masquant les adresses IP des utilisateurs et en chiffrant les données.  

17.  Windows Defender :  

Microsoft Defender est le composant antivirus native de Windows. 

18.  ACL (Acces controle List) : 

Les acl sont des listes de contrôle d’accès, et peut être définie comme un ensemble de règles ayant pour but, de pour fournir un certain niveau de contrôle sur l’accès à un réseau ou à un système.