Faire face à une crise majeure de cybersécurité

Régulièrement, le Cigref diffuse les résultats des réflexions de groupes de travail réunissant certains des collaborateurs de ses organisations membres. C’est de nouveau le cas avec un sujet bien d’actualité : « Réagir à une cyberattaque massive : Gérer les conséquences d’une crise d’origine cyber ». Au contraire de l’habitude, cependant, la liste des contributeurs n’est pas indiquée, juste leur nombre (54) et les experts externes associés aux travaux (ANSSI…), pas même le nom du pilote du groupe de travail.

Le document commence par définir précisément ce qu’est une cyber-attaque de grande ampleur avant de détailler les réactions rapides à avoir dès la découverte de l’agression. La première phase comprend évidemment un lourd volet organisationnel (mesures d’urgence, cellule de crise, relations entre celle-ci et la direction générale…). Viennent ensuite les actions à mener dans une crise d’ampleur, donc une crise qui s’installe dans une certaine durée avec une réelle perturbation des processus métiers. A ce stade, la communication interne et externe acquiert une réelle importance et la DSI a un rôle essentiel aussi dans ce domaine. Enfin, le document traite aussi de la sortie de crise, y compris les procédures judiciaires ou obligatoires (déclarations CNIL…).

Comme chacun des documents similaires diffusés par le Cigref, celui-ci est très pragmatique et a un texte très structuré, souvent sous forme de listes d’actions. Si des bonnes pratiques et des attitudes exemplaires peuvent être isolées dans des encadrés, aucun retour d’attaque réelle n’est mentionné, tout étant anonymisé (ce qui est cohérent avec l’absence de la liste des contributeurs).