Exercice de Cyber-crise organisé par le CLUSIF

Date : 07 Septembre 2017

Le CLUSIF a organisé en juin 2017 un exercice de cyber-crise, baptisé « ECRANS 2017 » : Exercice de Crise Réaliste, Annuel et Nécessaire à la Sensibilisation.

L’exercice simulait une journée de crise, condensée en 3h d’exercices. Le scénario choisi était très réaliste par rapport aux menaces actuelles : un laboratoire d’analyses médicales (PME), basé à Bordeaux, se trouve soudain attaqué par un crypto-ransomware qui bloque un certain nombre des postes de son système d’information. Il ne peut plus délivrer les analyses dont a besoin un hôpital parisien pour lequel il travaille. L’exercice implique donc 2 équipes de joueurs : la cellule de crise du laboratoire et la cellule de crise de l’hôpital.

Nous résumons ci-dessous les présentations faites par le CLUSIF lors de la conférence de restitution organisée à Paris le 28/09/2017. L’ensemble de la conférence de restitution est disponible sur le site web du CLUSIF.

Nota : Le CLUSIF a également diffusé en février 2017 un guide sur la gestion de crise SSI .

 

La Cellule d’Animation doit aussi se préparer…

Une équipe de 10 personnes s’est mobilisée pour concevoir, puis animer l’exercice. Elle incluait en particulier des intervenants de l’ANSSI et de la BEFTI qui ont joué leurs propres rôles. D’autres participants sont intervenus pour générer d’autres stimuli (contacts avec la presse, appels de patients, etc.), de façon à « mettre la pression » sur les équipes de joueurs et rendre l’exercice réaliste.

La création et le test de l’exercice constituent une tâche conséquente.  La phase de test est en particulier indispensable pour s’assurer du bon fonctionnement de l’exercice et si nécessaire l’améliorer. En termes de logistique, un enregistrement vidéo des salles de crise a été réalisé, et le logiciel « OpenEx » (développé à l’origine par des agents de l’ANSSI) a été utilisé (voir le site web du projet, ainsi que cet article du site Luatix.org).

Commentaire du Cert-IST : On peut aussi citer l’outil Hynesim, développé par Diateam, qui permet de simuler des plateformes techniques et réaliser ainsi des exercices techniques de cyber-attaques.

 

Quelle organisation pour la crise, en particulier cyber ?

Cette présentation aborde tout d’abord les aspects théoriques de la gestion d’une crise cyber :

  • Les équipes de gestions de crise : CCD (Cellule de Crise Décisionnelle) et CCO (Cellule de crise Opérationnelle),
  • Les rôles : Directeur de crise, PMO (Project Management Office), Conseillers (pour apporter le point de vue d’experts),
  • La nécessité d’avoir des processus et les moyens.

Elle donne ensuite une série de conseils, comme :

  • Bien identifier les acteurs et leurs remplaçants,
  • Prendre du recul et se mettre dans la peau de l’attaquant, car contrairement à la plupart des autres types de crises (catastrophe naturelle, etc…), l’adversaire est ici un humain,
  • Maitriser sa communication et rester discret sur la stratégie de défense.

 

Obligations légales auprès des institutionnels

La crise cyber est souvent liée à une intrusion dans les réseaux de l’entreprise. Et depuis quelques années, des contraintes légales obligent certaines entreprises à déclarer leurs incidents de sécurité à une autorité compétente. A l’occasion de ce retour d’expérience sur la gestion de crise, l’ANSSI a donc expliqué le « qui, quoi, comment » du domaine de la notification d’incidents de sécurités. En résumé :

  • Les particuliers, les TPE/PME hors OIV, et les collectivités locales hors OIV n’ont pas d’obligation de déclaration. Pour assister ces populations, le site www.cybermalveillance.gouv.fr vient d’être ouvert.
  • Les OIV (Opérateurs d’Importance Vitale) ont l’obligation de notifier leurs incidents à l’ANSSI.
  • En cas d’incident atteignant des données personnelles, les opérateurs de télécommunication ont obligation de notifier les incidents à la CNIL.

Cette dernière catégorie va évoluer avec l’entrée en vigueur en mai 2018 de la RGPD (Règlement Européen sur la Protection des Données).

Nota : l’orateur a indiqué que le LPM (Loi de Programmation Militaire) et les obligations imposées aux OIV serviront de modèle pour transposer dans le droit français la directive NIS (Network Information Security) Européenne. Elle élargira donc (légèrement) le périmètre à laquelle la LPM s’applique : on parlera alors d’OSE (Opérateur de Services Essentiels) plutôt que d’OIV.

 

La communication, une dimension stratégique de la gestion de crise

La communication n’est pas toujours correctement prise en compte au sein des cellules de crise. L’orateur donne les conseils suivants. Il faut:

  • ne pas nier que l’on est en crise. Sinon, on risque de créer une crise dans la crise : crise de communication en plus de la crise cyber.
  • distinguer la communication interne et la communication externe.
  • fixer les points de contact qui ont le droit de communiquer avec l’extérieur.  On évitera ainsi une communication non cohérente, qui se produit inévitablement si plusieurs personnes non coordonnées s’expriment.
  • éviter les maladresses (par exemple ne rien répondre ou en dire trop), et avoir un discours authentique : pour rassurer, il faut dire ce que l’on sait et ce que l’on fait.

 

Cyber attaque ? Et les contrats clients/fournisseurs ?

Cette courte présentation s’intéresse aux aspects contractuels liés aux crises cyber : que prévoit le contrat avec un fournisseur dans le cas où une crise cyber se produit ?

De façon générale, peu de choses sont prévues. S’il a 20 ans ont pouvait considérer cet événement comme un cas de force majeur, maintenant ce n’est clairement plus le cas puisque l’attaque cyber est devenu un événement beaucoup plus courant.

Il faut donc travailler sur ce sujet et réfléchir aux engagements contractuels que l’on peut définir avec ses fournisseurs (engagement de résultat ? coupure de service ? obligation de fourniture de traces ou de ressources, etc…). Le chemin est encore long pour arriver à une situation satisfaisante.

 

Les coûts d’une cyber-crise

Cette présentation donne des exemples de coûts pour des incidents récents (Sony PSN, NotPetya). Ces coûts sont très variables, suivant ce que l’on prend en compte et suivant la taille de la société :

  • Quels coût dont-on prendre en compte ?
  • Comment prendre en compte les coûts non mesurables (par exemple la perte de confiance des fournisseurs, partenaire et clients) ?

En fait on arrive vite à une limite et à la notion de survie de l’entreprise : a-t-on les ressources suffisantes pour couvrir le coût mesurable, mais surtout peut-on survivre au coût non mesurable ?

L’orateur note aussi que l’arrivée l’année prochaine de la RGDP introduira de nouveaux coûts : l’amende (max 4% du CA) et le coût de notification. Enfin, il faut aussi prendre en compte le coût de correction des défauts constatés ayant provoqué la crise (dans le cas d’une faille informatique).

 

La judiciarisation d’une attaque cyber

La BEFTI donne une série de conseils sur le dépôt de plainte et sur les suites judiciaires. Hormis les aspects administratifs (« Qui dans l’entreprise doit faire le dépôt de plainte ? Dans quel délai ? Avec quels éléments administratifs ? » etc.), des éléments très concrets sont aussi proposés :

  • Anticiper la situation de crise en définissant clairement qui sont les interlocuteurs impliqués dans la gestion de la crise, leurs missions et leurs remplaçants (gestion des absences).
  • Identifier clairement les sociétés prestataires sur lesquelles s’appuient les SI (en cas de services externalisés).
  • S’assurer que les logs sont horodatés et non ambigus (sources bien identifiées).
  • Définir avec les prestataires dans quelles conditions (délais et coût) les logs seront fournis en cas de besoin.
  • Créer une adresse mail unique permettant à la BEFTI de contacter l’entreprise lors du traitement de la plainte. Tous les intervenants concernés (juridiques, techniques administratifs) pourront ainsi être joints via ce canal unique.

Nota : pour le crypto-ransomware Locky, sur lequel la BEFTI a été l’organisme centralisateur en France, les chiffres suivants ont été cités par l’orateur : 1 500 victimes en France (estimation Kaspersky) et moins de 100 dépôts de plaintes.

Commentaire du Cert-IST : Si le ratio victime/plainte (<10%) n’est pas vraiment étonnant, le nombre de victimes (1 500) nous parait extrêmement faible. Il nous a été impossible de confirmer ce chiffre, car les chiffres annoncés sur Internet sont extrêmement variables : 469 ? 2372 ? 200 000 tentatives/mois ?

 

Conclusion du Cert-IST :

Avec la multiplication des cas de cyber-attaques, de plus en plus d’entreprises souhaitent se préparer à gérer ce type de crise. Les efforts déployés par le CLUSIF dans ce domaine sont remarquables. Les modèles proposés (cf. le guide mentionné en début d’article) et le partage d’expérience avec la communauté, sont extrêmement utiles à tous.

Précedent Précedent Suivant Suivant Imprimer Imprimer