Plongée au cœur d’une cybercrise
![Image [Rédaction d’une PSSI :] les salariés soulignent le manque d’implication de la direction](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-management-direction-human-rh-885x690.jpg)
![Image [Forum InCyber 2024] Comment l’[IA générative] va « augmenter » le SOC](https://incyber.org//wp-content/uploads/2024/03/incyber-news-threat-cybersecurite-cybersecurity-885x690.jpg)
![Image France : création d’une « Ligue pour la sécurité du [Web3] »](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-web3-exploration-2024-885x690.jpg)
Lors de la deuxième édition du Printemps des DPO au Parc des Princes à Paris, le cabinet de conseil en gestion de crise EH&A a proposé à une soixantaine de Data protection officers (DPO) de vivre une simulation de crise où un hôpital renommé est victime d’une violation de données personnelles et médicales. Les participants devaient se réunir en cellule de crise pour réagir. InCyber a infiltré l’une d’entre elles. Observations et enseignements
Il est 9 heures du matin quand le réseau informatique d’un célèbre hôpital parisien, connu pour être prisé des personnalités politiques et du show-business, subit de graves ralentissements. Il n’est plus possible de procéder aux admissions et aux sorties. Les services de radiologie, de réanimation et de médecine interne ne peuvent plus accéder à leur logiciel professionnel.
Plus aucune donnée n’est consultable ni utilisable. C’est sur ce scénario fictif conçu par les équipes du cabinet EH&A que les groupes de participants ont dû plancher pour apprendre à gérer une cybercrise dans toutes ses dimensions. Et ce sans perdre de vue la dynamique de groupe et la hiérarchisation des priorités.
Les premiers instants sont déterminants
D’emblée, le groupe où s’est invité inCyber s’attelle à définir des rôles à chacun des membres constituant la cellule de crise. En plus des experts, l’un a la charge du suivi des réseaux sociaux. L’exercice comportait en effet un fil Twitter simulé où vont vite apparaître des réactions sur la crise qui survient. Un autre (l’historien) assure la rédaction de la main courante où il doit consigner tous les événements qui se produisent afin de garder trace de ce qui a été réalisé ou mis en attente. Enfin, un directeur de la cellule de crise a été nommé. A lui de coordonner, d’aiguiller, de déléguer, voire d’arbitrer certaines choses pour que le cap soit rivé vers l’essentiel et l’urgent.
L’équipe commence alors un premier état des lieux à la lumière des informations encore partielles dont elle dispose. Elle sollicite l’équipe informatique pour avoir une évaluation de l’impact de l’attaque et son origine éventuelle. En parallèle, elle déclenche le plan de continuité d’activité (PCA) et fait passer les équipes médicales en mode dégradé (avec retour au fax et aux crayons pour communiquer) pour assurer le flux des patients et, si besoin, délester les cas plus graves vers d’autres établissements de santé. Très vite se pose la question de la communication à partager avec les acteurs concernés. L’ambiance est studieuse et appliquée.
La crise s’aggrave
A peine le temps d’armer la cellule de crise que de nouveaux éléments tombent. Le directeur de l’hôpital a reçu un SMS qui exige une rançon d’un million d’euros pour restituer les données subtilisées. Très vite, l’équipe confie à quelques-uns de ses membres l’élaboration d’une cartographie des parties prenantes sous forme de mind mapping pour bien visualiser les différentes entités et s’efforcer de n’oublier personne. En parallèle, un autre groupe échafaude plusieurs scénarios défavorables mais potentiellement plausibles. Ce travail est fondamental pour cadrer et orienter le plan d’action qui va vite en découler.
La personne chargée des réseaux sociaux alerte alors ses camarades de crise. Un tweet d’un collaborateur de l’hôpital s’agace des bugs qu’il rencontre et parle d’une rançon exigée par des pirates informatiques. Le message est relayé plus de 6 000 fois. Ce signal de crise vient rejoindre la liste des crises collatérales qui menacent l’établissement à la suite de la cyberattaque.
Trois risques sont aussitôt identifiés par la cellule : la mort d’un patient à cause d’un système médical défaillant et la réaction des familles, l’implication à divers degrés de personnalités actuellement hospitalisés ou dans un passé récent et enfin la nature exacte des données volées et la rançon à la clé. La cellule demeure toujours calme. Elle applique avec soin les procédures classiques comme celle de prévenir les autorités (forces de l’ordre, Anssi, Agence régionale de santé, etc).
Néanmoins, il y a un premier oubli : celui de se documenter pour savoir s’il y a eu des cas similaires récents dans des hôpitaux et la façon dont ceux-ci ont répondu pour enrayer la crise. Cette recherche permet pourtant de gagner un temps précieux pour agir à son tour surtout quand le minutage est serré.
Médias et réseaux sociaux s’emballent
De circonscrite à quelques influenceurs spécialisés du monde cyber, la crise a maintenant débordé auprès du grand public. Un célèbre chercheur s’indigne. Des patients fulminent car le numéro d’urgence est totalement saturé. Quelques-uns spéculent sur des pirates informatiques chinois. Les chaînes d’information continue s’emparent du sujet et bientôt des noms de figures politiques, d’actrices de premier plan et de présentateurs TV sont cités. Leurs dossiers médicaux figurent parmi les données exportées par les pirates qui tentent de les revendre sur le dark web.
La cellule de crise s’évertue à sérier les priorités mais la fébrilité gagne et la pression monte face aux diverses questions qui se posent. Les membres de la cellule commencent petit à petit à se disperser au point d’oublier d’informer les organisations syndicales de l’hôpital. Certains se cristallisent uniquement sur les aspects informatiques, oubliant par la même occasion qu’il faut se préparer à communiquer les premiers messages concrets aux diverses parties prenantes.
Sous le feu des échéances, les digressions vont bon train. Avant même d’avoir résolu une question, quelques-uns soulèvent d’autres points comme le budget disponible pour faire appel à un cabinet de crise ou le recours aux assurances.
Quelques heures plus tard
L’équipe de crise est devenue plus brouillonne. Chacun essaie de s’activer pour préparer notamment la conférence de presse qui va être donnée en fin de journée par le directeur général. On liste alors toutes les questions critiques et sensibles que pourraient poser les journalistes. Le recensement est décousu. Des discussions intermédiaires interrompent le processus de temps à autre et le directeur de la cellule ne parvient pas à calmer l’agitation et redonner le cap.
La préparation des éléments de réponse se déroule dans le même bouillonnement décousu. On se réfugie derrière des éléments de langage. On glisse dans la parole pieuse qui vise à apaiser et dégonfler la tension mais sans fournir d’arguments solides à même de calmer.
Même l’identité du porte-parole est remise en cause. Certains estiment qu’il faut protéger le directeur général et que ce n’est pas à lui de parler lors de la conférence de presse. On sent la fatigue affleurer parmi les membres qui ont du mal à se focaliser et à se déterminer sur une tactique de communication.
Même si la cybercrise est aujourd’hui un fait notoirement admis du fait qu’elle advient souvent, le sujet demeure malgré tout sous-estimé. Ce genre de formation est pourtant devenu impératif. Au-delà des nécessaires procédures, c’est l’élément humain qui impulse une cellule de crise.
Or sans de régulières simulations pour rôder au mieux la dynamique de groupe, la gestion de la crise peut alors dévier de son but. D’autant plus que celle-ci est physiquement et mentalement éprouvante. Alors autant se préparer et se familiariser avec des exercices adaptés pour être paré au mieux.