Outils inadaptés, plans inconnus, décisions floues : les erreurs à éviter en cas de cybercrise, révélées par le test Rempar25

Illustration


Jeudi 18 septembre dernier, ils étaient 5680 professionnels pour l’exercice de crise « Rempar25 » organisé par l’Anssi. Trois mois plus tard, le cyber-pompier de l’État vient dévoile son retour d’expérience sur ce test grandeur nature. Un instructif document de dix-sept pages nourri par les réponses des 1263 organisations à avoir participé.

« Les résultats révèlent une maturité contrastée au sein de l’écosystème français », résument les troupes de Vincent Strubel. Si la détection et la réponse à incident « apparaissent globalement mieux intégrées et structurées », la cyber française peut mieux faire sur la communication de crise, l’anticipation et la continuité d’activité.

Les organisations les moins matures ont ainsi été limitées par l’absence de documentation de crise déjà prête, avec aussi des confusions dans la prise de décision et dans la hiérarchisation des priorités. « Des difficultés d’utilisation de la main courante ont également été relevée », signale également l’Anssi.

Des efforts à faire

Tous les participants, quelque soit leur maturité, ont su « identifier rapidement les mesures prioritaires de confinement et de sécurisation », poursuit l'agence. Mais les manques en cartographie du réseau des organisations les moins matures ont rendu plus difficile « l’identification rapide du périmètre de compromission ».

Sur la communication de crise, les supports des organisations les moins préparées étaient « peu adaptés ». Ils n’ont ainsi pas permis « une communication réactive et contextualisée ». L’Anssi appelle à réfléchir davantage sur les canaux et pratiques de communication alternatives en cas d’indisponibilité des outils habituels.

De manière générale, en matière de fonctions supports, « l’appui logistique, les ressources humaines et les moyens juridiques et financiers demeurent insuffisamment organisés pour soutenir une gestion de crise dans la durée », résume l’Anssi. Et même si les organisations plus matures ont « une vision d’ensemble claire », le cyber-pompier a relevé pour ces dernières « l’absence d’une stratégie clairement définie sur les aspects juridiques ».

Le bon sens pas suffisant

Certes, le bon sens a permis à certains des participants de bien progresser dans le scénario de l’exercice. Sauf que cela n’était pas suffisant. « Certaines ont géré la crise de manière réactive, avec peu ou pas d’anticipation de la part des joueurs durant l’exercice, traduisant une dépendance aux événements déclenchés plutôt qu’une démarche proactive de gestion du scénario », souligne l’Anssi.

Enfin, si l’exercice n’a pas vraiment permis de tester la phase de sortie de crise, cela reste visiblement un terrain à défricher.

Pour les organisations les moins matures, « les plans de continuité d’activité existants sont souvent méconnus des équipes, jamais éprouvés ou insuffisamment adaptés ».

La marché compliquée du budget

Bonne nouvelle : pour la quasi-totalité des participants à l’exercice, ce dernier « a été l’occasion de mettre en place des actions sur les volets gestion de crise et/ou de sécurité des systèmes d’information », relève au final l’Anssi.

Dans le détail, 80 % des répondants au questionnaire post-exercice déclarent vouloir mettre sur la table ou à jour leur dispositif de gestion de crise d’origine cyber. Tandis que plus de 60 % « veulent rédiger un plan de continuité d’activité ou intégrer un volet cyber » à un tel plan.

Enfin, près de la moitié des organisations indiquent vouloir « mettre en place des mesures de sécurité complémentaires ». Reste toutefois à trouver le budget, « une marche compliquée à franchir pour la grande majorité des organisations », convient l’Anssi.


Source : Lire l'article original

Read more