Qu’est-ce qui se passe quand une crise cyber se déclenche ?

Article écrit par Amine Baba Aissa pour Numerama

Qu’est-ce qui se passe quand une crise cyber se déclenche ?

Nous avons eu l’opportunité de vivre de l’intérieur une crise cyber majeure, du moins en simulation, dans des conditions proches du réel. Une méthode d’entraînement inspirée des stratégies militaires, de plus en plus adoptée dans l’univers de la cybersécurité, jusqu’au ministère des Armées.

Esplanade de la Défense, Campus Cyber, 13ème étage. Postée sur l’estrade du Skylounge, Stéphanie Ledoux, fondatrice d’Alcyconie, une agence spécialisée en gestion de crise, explique ce qui attend les participants dans l’heure et demie qui vient.

Face à elle, des responsables IT de grands groupes, des dirigeants de PME et des salariés venus se former à la gestion de crise cyber. Le panel, très majoritairement masculin, est studieux et attentif à cette mise en situation grandeur nature.

Il faut rapidement faire abstraction du beau soleil de juillet qui inonde les baies vitrées des tours de la Défense : la société fictive de transport d’électricité qui les emploie est au cœur d’une crise cyber majeure. Deux logiciels critiques ne répondent plus.

Comme dans une partie de Loup-Garou, les rôles sont attribués au hasard. « Je suis un peu stressé, je ne suis pas technique et je me retrouve RSSI » confie un participant du groupe qui constituera celui des PME.

Dispersés dans d’autres coins de la salle, deux autres groupes d’une dizaine de personnes se retrouvent autour de tables rondes. Ils sont composés d’employés de grands groupes français, parfois de secteurs très stratégiques, comme les transports. Cette fois-ci, ce sont des responsables de la sécurité des systèmes d’information (RSSI) qui endossent le rôle de directeur de la communication ou DRH pour un peu moins de deux heures. Le même scénario est distribué aux trois équipes. Le silence se fait rapidement.

Entrer dans la crise, adopter les bons réflexes

Les premières minutes sont celles des présentations. La majorité des participants ne se connaissent pas ou très peu. Une des équipes composées de grandes entreprises commence par un tour de table où chacun annonce le rôle qu’il devra jouer dans la crise. « Ça peut paraitre scolaire, mais c’est très important dans un début de crise, en particulier cyber, de rappeler le champ d’action de chacun. Même dans les entreprises où les gens se connaissent. Ça permet de s’organiser et ça crée une bascule : on entre dans la crise », nous confie à voix basse Stéphanie Ledoux, forte d’une expérience de 10 ans en gestion de crise dans des secteurs critiques.

À quelques mètres, les notifications affluent sur la plateforme PIA, l’outil de simulation d’Alcyconie qui reproduit les outils de communication du monde réel. Sur les réseaux sociaux « Y » et « Instagrum », le hashtag #panne prend de l’ampleur. « Quelqu’un d’autre a une coupure d’électricité dans le coin de Toulouse Sud ? » demande @Kim_b365, déjà 19 retweets.

« Quelqu’un d’autre a une coupure d’électricité dans le coin de Toulouse Sud ? »

Partout en France, les utilisateurs fictifs signalent des coupures de courant dans des quartiers entiers et le compte de l’entreprise est mentionné publiquement. Les téléphones se mettent aussi à sonner. Au bout du fil ? Des animateurs d’Alcyconie qui incarnent tour à tour un journaliste, un partenaire commercial inquiet ou un informaticien tentant de résoudre le problème.
« La pollution de l’attention est démultipliée en crise. C’est important de former à avoir de bons réflexes. On les submerge volontairement de notifications et d’appels. (…) Une des pires erreurs serait de mettre le téléphone en haut-parleur », nous explique Anaïs Fauré, team leader chez Alcyconie. Savoir séparer les tâches, gérer son périmètre d’action et ne pas perturber ses partenaires autour de la table est essentiel. L’exercice se concentre sur les rôles décisionnels, chacun ayant des priorités différentes.

Bon élève, le RSSI d’un des groupes sort de la salle pour prendre l’appel de ses équipes techniques tandis que le niveau sonore commence à monter dans la salle à côté. Le diagnostic tombe : il s’agit d’un ransomware du groupe Medusa. Que faire et par où commencer ? Relancer les opérations ? Vérifier les sauvegardes ? Prévenir la CNIL ? L’ANSSI ? Communiquer ?

Agir vite, sous l’oeil des nouvelles Directives européennes

Comme dans la réalité, chaque rôle tente d’influencer les décisions selon ses responsabilités. L’opérationnel pousse à une remise en marche rapide des logiciels, tandis que le service juridique s’inquiète des conséquences. Quelles données ont été volées ? Pourquoi est-ce impossible de générer des factures ? On entend même que des consommateurs ont été directement contactés par les pirates, qui les menacent de divulguer leurs informations personnelles s’ils refusent de leur envoyer l’équivalent de 150 euros en bitcoins.

Le but de l’exercice ? S’extraire au mieux de cette situation, mais aussi se former aux nouvelles directives européennes qui encadreront bientôt la gestion des crises cyber.

La nouvelle directive NIS2, qui couvre plus de 18 secteurs d’activité (contre 6 pour NIS 1), est déjà en vigueur en France, et les entreprises concernées ont jusqu’à fin 2027 pour se mettre en conformité. Parmi les nouvelles obligations : prévenir l’ANSSI dans les 24 heures suivant la découverte de l’incident, ou encore informer rapidement les personnes concernées sur la nature de l’incident, ses conséquences potentielles et les mesures prises.

« On a décidé de pas du tout communiquer », confie un participant pas très NIS2-friendly. Pas facile de trouver des solutions en moins de deux heures. Une véritable crise cyber peut durer plusieurs mois, et le format du jour est particulier. « Souvent, les ateliers durent au minimum 3-4 heures voire jusqu’une semaine entière », souligne Stéphanie Ledoux.

Personne n’est vraiment parvenu au bout de l’incident, mais il est déjà temps pour les trois groupes de faire le bilan. Certains se félicitent d’avoir identifié la source de la fuite, d’autres d’avoir parfaitement tenu à jour le journal d’incident, si précieux lorsqu’il s’agit de présenter la gestion de l’incident aux autorités ou aux assurances.

Différentes stratégies et méthodes ont émergé, mais tous les groupes s’accordent sur un point : ne pas payer la rançon. « On n’a même pas cherché à entrer en contact avec les pirates. Ce serait un premier pas vers eux qu’il ne faudrait pas faire », nous glisse un participant. Dernier retour d’expérience sur l’estrade, un salarié d’un grand groupe du CAC 40 salue l’initiative : « Ça ne s’improvise pas, c’est de l’entraînement ». Anaïs Fauré prend le micro pour conclure :