L’évolution des PCA et de la gestion de crise face à la menace cyber

(Par Xavier Fauquet, Formind)

Introduction

Les typologies d’attaques cyber récentes et leur multiplication poussent les responsables PCA à revoir leur stratégie de continuité d’activité et de gestion de crise en coordination avec les responsables SSI. Cette évolution vise notamment à répondre aux interrogations suivantes :

• • Mon PCA mis en place pour pallier aux chocs majeurs classiques permet-il aussi de répondre à une crise cyber majeure ?
• • Mon PCA peut-il être un facteur d’aggravation d’une crise cyber ?
• • Ma gestion de crise est-elle adaptée à la gestion d’une crise Cyber ?

Et plus globalement, les RSSI et RPCA doivent aujourd’hui répondre à la question des Directions Générales : «Mon entreprise est-elle cyber-résiliente ? ».

PCA et menace Cyber

Les PCA ont généralement été conçus pour répondre à des sinistres majeurs « classiques » mais prennent peu en compte les spécificités d’une attaque cyber. Ainsi, afin d’évaluer la capacité de son PCA à participer à la réponse à une crise cyber, il est nécessaire d’investiguer les éléments suivants et de le mettre à jour en conséquence :

• • Quels sont les types d’attaques qui pourraient impacter la viabilité de mon plan de secours informatique (PSI) et sur quel périmètre ? Le PSI a généralement été conçu pour permettre la continuité des activités critiques avec des réplications et bascules automatiques de systèmes critiques, voir des réplications temps réelles de données. Ce type de solution peut ainsi favoriser la propagation d’une attaque, rendant in fine inefficace le PSI en cas d’attaque coordonnée.
• • Après le déclenchement d’un PCA, lors de la remontée des systèmes, comment m’assurer de l’intégrité de mes systèmes ? Une attaque cyber coordonnée s’étend généralement sur un temps long, avec compromission de l’intégrité des systèmes bien en amont du déclenchement réelle de la crise.
• • Quelles sont les éventuelles solutions spécifiques complémentaires à mettre en œuvre pour contrer des scénarios d’attaque cyber ? Les technologies du marché évoluent rapidement pour apporter de nouvelles réponses flexibles à des scénarios très spécifiques comme par exemple la mise à disposition rapide de stations de travail virtualisées permettant de remplacer en un temps record un parc vérolé.
• • Les acteurs du PCA sont-ils sensibilisés aux spécificités du déclenchement d’un PCA suite à une attaque cyber :
  • o Pour les acteurs du SI, il s’agit, plus que pour tout autre sinistre, de veiller à conserver un maximum de traces et de vérifier l’intégrité de tous les éléments utilisés pour remonter un système,
  • o Pour les acteurs métiers, il s’agit de participer aux vérifications de l’intégrité des systèmes en prenant en compte les objectifs spécifiques d’une attaque cyber (fraude, déstabilisation, vol de données etc…).
  • • Suis-je à même de détecter des attaques portant spécifiquement sur mon PCA ? Mon PCA peut être un point d’entrée utilisé par l’attaquant, que ce soit pour s’introduire, en dehors d’une crise, dans mes systèmes ou bien pendant un sinistre en profitant des faiblesses introduites par un mode dégradé. Il est nécessaire de s’assurer que la surveillance sécurité mise en place couvre bien aussi les éléments constituant le PCA.
  • • Mon PCA a-t-il été testé pour résister à des attaques cyber ? Les scénarios de test doivent évoluer, permettant de tester autant les capacités d’anticipation des équipes sur détection d’évènements suspects que les réflexes en cas de crise avérée (conservation des preuves, confinement, analyse d’impact etc…)

La réalisation de cette mise à jour nécessite une forte coopération entre les équipes PCA et les équipes Sécurité SI, afin d’obtenir une vision partagée du traitement de ces problématiques spécifiques.

Gestion de crise Cyber

Au-delà des aspects PCA, l’organisation de gestion de crise doit aussi s’adapter pour prendre en compte les spécificités d’une crise cyber sur plusieurs axes :

• • • Capacité à analyser techniquement le sinistre en cours et à proposer des solutions : souvent négligée, une cellule d’expertise sécurité devient un maillon clé pour l’analyse de la situation, la remontée d’informations pertinentes et l’élaboration de solutions de confinement viables pour contrer une attaque.
  • • Capacité à analyser les impacts métiers : les potentiels impacts d’une crise cyber sont souvent plus vastes qu’une crise classique, avec notamment la gestion de fuites massives de données ou bien l’obligation de fermer un service pour préserver une continuité future de l’activité ou limiter les dégâts. Il s’agit alors d’avoir les personnes à même d’effectuer ce type d’analyse autour de la table et surtout de les avoir préparées à faire ce type d’analyse.
  • • Capacité à identifier les motivations de son attaquant. Une attaque cyber n’est généralement pas gratuite et vise un but précis (déstabilisation, demande de rançon, vol de données etc…). La compréhension des objectifs de l’attaquant est un point clé dans la gestion de la crise et nécessite une analyse amont des menaces pesant sur l’entreprise, qu’elles soient internes ou externes.
  • • Une gestion dans la durée : une crise cyber s’étend généralement sur un temps long, avec un risque important d’incertitude sur la réelle résolution de la crise… Ceci nécessite de prévoir une mobilisation des différentes parties prenantes dans la durée mais aussi une communication interne et externe adaptée.

In fine, le traitement de ce type de crise et la montée en puissance du besoin de cyber-résilience passe par :

• • • une étroite coopération entre les acteurs SI, PCA, SSI et métiers, avec en amont la nécessité de réaliser des analyses conjointes coordonnées,
  • • une prise de conscience et un sponsoring fort de la part de la Direction Générale.