Immersion au cœur d’un exercice de crise cyber
Si la cybersécurité est devenue un enjeu majeur pour les entreprises, la préparation est essentielle pour ne pas se retrouver désarçonné face aux crises. Le Forum InCyber, à Lille, a été l’occasion pour de nombreux responsables de s’essayer à l’exercice. Challenges s’est prêté au jeu.
Mercredi 2 avril, siège du géant des télécommunications Connectis. Autour de la table, une demi-douzaine de responsables s’affairent. L’entreprise est victime d’une panne de logiciel affectant les opérations de l’entreprise : abonnements, service client, opérations de facturation, plus rien ne fonctionne. Très vite, mes collègues et moi-même basculons en cellule de crise : le groupe Medusa revendique la cyberattaque, et demande une rançon pour empêcher la diffusion de 500 gigaoctets de données clients dans la nature.
Pas de panique, il s’agit là d’un exercice proposé à des professionnels à l’occasion du Forum InCyber de Lille, plus grand forum de cybersécurité d’Europe. Et pour l’occasion, Challenges s’est joint aux participants. Tout est fait pour rendre la situation la plus immersive possible : nous disposons d’une plateforme en ligne avec une boîte mail, des réseaux sociaux (« Y » et « Instagrum ») alimentés en temps réel et deux téléphones qui ne cesseront de sonner durant l’heure à venir. Chaque personne dans l’équipe choisit un rôle bien défini : en bon journaliste, je deviens Sam Dubois, directeur de la communication de cette entreprise fictive baptisée Connectis et décrite comme un mastodonte pesant 400 millions de clients dans le monde.
La cyber résilience, exigence phare de NIS 2
“L’objectif de l’exercice est de s’entraîner à prendre des décisions de manière collégiale dans un contexte fortement dégradé”, explique Stéphanie Ledoux, PDG et fondatrice d’Alcyconie, entreprise de formation et d’accompagnement en gestion de crise cyber à l’origine de cet exercice. “On a beau tous lire qu’il y a des cyberattaques, quand on en est victime, c’est extrêmement violent. On se retrouve dans un état de sidération, on peut passer plusieurs heures avant d’accepter que l’on est en crise ; or, il faut prendre des décisions rapidement.”
Un entraînement nécessaire, et qui devrait bientôt devenir obligatoire : la nouvelle réglementation NIS 2, en cours de transposition au Parlement, va imposer à des milliers d’entreprises de devenir plus résilientes face aux cyberattaques. Parmi les exigences du texte, la définition de procédures de gestion de crise codifiées, l’identification et la sensibilisation des personnes et des parties prenantes à mobiliser ou encore l’adoption d’une stratégie d’entraînement face aux menaces.
Fébrilité et coordination
S’entraîner, apprendre à fonctionner en cellule de crise, comprendre le rôle et l’importance de chaque poste : c’est précisément la raison pour laquelle nous sommes actuellement réunis autour de la table. Si la théorie peut sembler assez simple, en pratique, la fébrilité règne. Les décisions à prendre s’enchaînent, les communiqués à rédiger également ; malgré le stress, nous tâchons de garder la tête froide et de faire des points d’étape réguliers pour avancer dans la même direction et ne pas rater d’informations.
Nous avons beau avancer rapidement, les événements s’accélèrent : si le rançongiciel (ou « ransomware ») est identifié et les accès à notre système rapidement coupés, les tweets de clients furieux ou moqueurs s’enchaînent, et l’information fuite dans la presse avant même que j’aie eu le temps de finaliser mon annonce. Oups.
Le sprint se poursuit, et l’heure de simulation s’achève : si nous parvenons à identifier l’origine de la fuite, nous apprenons dans la foulée que Medusa serait déjà en train de revendre les données de nos clients sur le Dark Web. Une situation que je suis bien content de ne pas avoir à gérer.
« C’est très compliqué de faire un bon travail sans préparation »
Parmi les quelques tables réunies dans cette salle du Forum InCyber, les avis sont unanimes quant à la difficulté de l’exercice. Difficulté d’agir sans information, coordination entre les membres de l’équipe, nécessité de disposer de procédures et de supports de communication prêts à l’emploi, mais aussi de connaître les délais maximaux d’interruption des services les plus sensibles : la sensibilisation au besoin d’anticipation des crises est réussie. “C’est très compliqué de faire un bon travail sans préparation”, résume l’un de mes voisins.
Une préparation nécessaire, mais qui n’immunise pas contre le stress de la vraie vie – ni contre les contraintes du monde réel. “En réalité, la plupart des cellules de crise fonctionnent de manière hybride, sans que tout le monde soit autour de la table : certains peuvent être en télétravail, d’autres en déplacement”, souligne Stéphanie Ledoux. Sans compter sur le besoin, en pratique, de collaborer avec les cellules de crise d’autres entités ou, moins connu, de disposer d’un greffier de crise entraîné à centraliser l’ensemble des informations en vue du dépôt d’une main courante. Autant de points à anticiper pour éviter les surprises et limiter les dégâts le jour de l’attaque.
Article écrit par François Vaneeckhoutte pour Challenges.
Lire l'article
Alcyconie obtient la qualification PACS de l’ANSSI, pour son expertise en gestion de crise cyber
15 mai 2025Lire l'article
Alcyconie récompensée parmi les lauréats de France 2030 pour renforcer l’offre industrielle en cybersécurité
29 avril 2025Lire l'article
