Lors d’une crise cyber, il y a les réflexes à adopter, que vous trouverez dans toutes les publications – comme celui de déconnecter du réseau les machines infectées – et il y a les gestes salutaires qu’on ne découvre qu’en vivant la situation. Voilà ce qui ressort des témoignages mis en avant par l’Agence nationale de la sécurité des systèmes d'information (Anssi) lors d’une conférence organisée, le 6 décembre, à l’occasion de la publication du guide "Crise d’origine cyber, les clés d’une gestion opérationnelle et stratégique".
Dans son récit, le responsable de la sécurité des systèmes d’information (RSSI) de Bouygues construction, victime d’une cyberattaque en janvier 2020, a notamment insisté sur l’importance de l’enquête, appelée analyse forensique dans le jargon. «Notrepremier appel a été passé à notre assureur, le deuxième à l’Anssi et le troisième à des experts forensiques, a confié Thomas Degardin. Si vous ne voulez pas que les attaquants reviennent par les mêmes vulnérabilités, vous avez absolument besoin de comprendre ce qui s’est passé, d’identifier ce qui est sain et compromis... Une cellule forensique « à mettre sous cloche », estime le RSSI, pour assurer la confidentialité de l’enquête.
Cellule ressources et gestion des déchets
Autre astuce à adopter en prévention : avoir un outil de communication d'urgence et un endroit où retrouver tous ses contacts. «Quand il n’y a plus de SI, il n’y a plus d’annuaire téléphonique : il faut penser à avoir des sauvegardes externes de ses contacts, mises à jour régulièrement», préconise Thomas Degardin. Une évidence, mais ça va mieux en le disant ! L'Anssi conseille ainsi de disposer d'« un annuaire de crise des parties prenantes internes et externes (dont les contacts hiérarchiques, géographiques, infogérants, fournisseurs, autorités) stocké hors ligne ».
Les bons gestes de ce type sont listés à travers 18 fiches pratiques. Thomas Degardin met l’accent sur des aspects plus méconnus. «Gérer une crise cyber s’apparente à un marathon, mais vous la démarrez comme un sprint. Vos équipes s’épuisent donc très rapidement», insiste-t-il. Pour soulager ses collaborateurs, Bouygues Construction a mis en place une cellule ressources, centralisant les demandes des personnes mobilisées, synthétisées sour forme de post-its. Pour trouver un expert de tel firewall (pare-feu), cette "task force" a pu contacter toutes les ESN de France... et de Belgique !
La logistique est primordiale pour préserver le moral des troupes. « Le premier week-end d'après crise, on avait plusieurs centaines de personnes sur site ; cela signifie des déchets et des repas à gérer, explique le RSSI. Or on ne se nourrit pas de pizzas pendant des semaines ! » Presque deux ans après les faits, Thomas Degardin se souvient encore d’une soupe Phô réconfortante, qui lui a permis de reprendre le travail et tenir jusque tard dans la nuit. Une bonne gestion de crise se joue aussi sur de petits détails.
