Les entreprises font preuve d’une certaine maturité en termes d’organisation de gestion de crise Sécurité du Système d’Information (SSI) : existence de cellules de gestion de crise, tenue d’exercices de crise réguliers… Pourtant, la détection et la qualification des crises SSI ne sont que rarement éprouvées, ceci malgré leur importance au sein du dispositif global.
Et pourtant, le temps est un facteur clé dans la gestion de toute crise. Dans le cas d’une crise Sécurité SI, une détection et une remontée d’alerte tardive auront des impacts importants pour l’organisation (cf. notre synthèse « Cybercriminalité, comment agir dès aujourd’hui »). Pour cette raison, mettre en place et éprouver les outils et processus de ces phases est un enjeu fondamental pour la filière SSI. Suite à la mise en place d’une organisation de gestion de crise SSI, l’exercice « sur table » constitue un premier niveau de test permettant de valider une procédure sur son principe mais les conclusions en termes d’efficacité du dispositif sont limitées. Il convient donc d’aller plus loin dans le réalisme en simulant à la fois l’aspect technique et le facteur de surprise engendré par une attaque.
Exercice cybercriminalité : mimer les symptômes et les comportements d’une vraie attaque
Pour se rapprocher d’un cas réel, la meilleure solution reste de simuler techniquement des symptômes au bon niveau :
- Des stimulations « faibles », représentatives d’une attaque, pour tester la détection par l’outillage et les processus en place
- Des stimulations « fortes », plus détectables, afin de susciter une réaction et pouvoir tester la bonne sensibilisation des acteurs ciblés
Les attaques ciblées subies par nos clients s’étendent généralement sur plusieurs semaines voire mois. Afin d’en mimer la dynamique, ces stimulations pourront donc s’étaler sur plusieurs jours.
Adopter une telle démarche permettra aux collaborateurs participants à l’exercice d’appréhender les signaux faibles d’un incident de sécurité majeur qui restent souvent peu concrets pour eux.
Et même organiser un exercice impromptu !
Pour aller plus loin, une fois que l’organisation aura été sensibilisée à la détection et au traitement d’incident SSI, la réalisation d’un exercice techniquement simulé, sans prévenir les acteurs ciblés, permet de se rapprocher encore davantage d’un cas réel. Cette méthode présente de nombreux avantages :
- L’évaluation de la capacité de détection de symptômes types d’un incident sécurité
- La vérification de la connaissance et de la bonne application des procédures de sécurité, les collaborateurs ciblés n’ayant pas nécessairement le réflexe de s’y référer
- La mise à l’épreuve des circuits de remontée d’alerte définis, les collaborateurs ciblés ayant le plus souvent recours à la solution la plus naturelle pour eux.
En contrepartie, ce type d’exercice demande une préparation logistique plus poussée. En premier lieu, il s’agit d’éviter que les acteurs ciblés lancent des actions de traitement de l’incident susceptibles de perturber la production. Pour ce faire, il est souhaitable de mobiliser des complices au sein du management qui seront en charge de surveiller et contrôler le bon déroulé des évènements. En complément, il conviendra de bien préciser le contexte RH de la démarche afin de ne pas susciter une réaction négative de l’utilisateur évalué à son insu. Une consultation des IRP est conseillée avant d’entreprendre un tel exercice au sein de l’organisation.
L’exercice de gestion de crise cybercriminalité : un levier de sensibilisation efficace pour la fonction SSI
Ce type d’exercice est riche d’enseignements pour la fonction SSI. Il est un révélateur de failles dans les dispositifs de détection et d’alerte. Il est surtout un formidable vecteur de sensibilisation des utilisateurs. Suite à un tel exercice, la perception de la sécurité change fondamentalement : initialement ressentie comme une contrainte, elle devient un besoin exprimé directement par les utilisateurs impliqués.