• 4 heures
  • Facile

Ce cours est visible gratuitement en ligne.

course.header.alt.is_certifying

J'ai tout compris !

Mis à jour le 26/06/2024

Immergez-vous dans la crise

Bannière décorative pour le chapitre

Nous venons d’aborder les différentes briques de la gestion d’incidents de cybersécurité. Dans ce chapitre, nous aborderons tout d’abord la brique de pilotage, avec la gestion de crise, puis celle de la compréhension, avec notamment les investigations menées.

Graphique composé de trois segments verticaux : Pilotage, Compréhension, et Remédiation. Pilotage et Compréhension sont encadrés.
Les étapes de pilotage et de compréhension d’un incident selon l’ANSSI

Découvrez comment est gérée la crise

La mise en place d’une organisation de gestion de crise

Vous avez vu dans la première partie que le responsable de sécurité des systèmes d’information (RSSI) avait procédé à l’activation de la crise. En effet, les impacts de l’incident de sécurité sont tellement importants qu’une gestion particulière impliquant la direction de l'hôpital doit être mise en place : on parle dès lors de gestion de crise.

OK, donc c’est le moment de mettre tout le monde autour de la même table ?

Il faut déjà identifier qui mettre autour de la table, sinon cela va faire beaucoup de monde ! Il faut aussi garder du personnel disponible pour gérer les activités de l’hôpital. On peut imaginer qu’on aura besoin d’informations de diverses équipes : le personnel soignant pourra donner la vision des patients et activités les plus critiques, l’équipe informatique saura quels composants du système d'information fonctionnent encore, la direction prendra les décisions pour assurer la meilleure prise en charge possible pour les patients…

Comment faire en sorte que toutes ces personnes discutent sans un brouhaha général ?

C’est là que l’organisation de gestion de crise prévue en amont entre en jeu !

Mettre en place une organisation de gestion de crise implique plusieurs éléments.

1. Mobiliser les personnes et ressources nécessaires via une organisation en “cellules de crise”.

Au sein de notre hôpital sont mises en place trois cellules de crise : une cellule de crise stratégique / décisionnelle (gérée par le directeur d’hôpital), une cellule de crise opérationnelle / technique (gérée par le RSSI, et composée de membres de l’équipe informatique et d’experts en investigation numérique), et une cellule de crise opérationnelle / métier (gérée par des membres de l’équipe soignante). Nous nous focaliserons ici sur les deux premières pour simplifier.

Mais comment fait-on pour définir ces cellules de crise ?

Gardez en tête que le modèle de cellules de crise choisi (une ou plusieurs, leur finalité, etc.) dépend totalement de l’organisation et de ce qui a le plus de sens dans un contexte donné. Dans tous les cas, la coordination et la communication entre les différentes cellules de crise sont des éléments clés de la gestion de crise.

2. Mettre en place les outils nécessaires à la communication entre les parties prenantes.

Dans le cas d’un système d'information déconnecté d’internet, il est important d’avoir anticipé les moyens de communication en mode dégradé.

Dans le cas de l’hôpital, il avait été décidé en amont d’utiliser les téléphones mobiles personnels des employés, et un service de messagerie instantanée sécurisé.

L’objectif commun aux équipes gérant la crise est d’assurer la reprise des opérations le plus tôt possible et sans risque pour le système d'information.

Au sein de notre hôpital, les objectifs plus détaillés de chacune des cellules de crise sont les suivants :

Pour la cellule de crise stratégique / décisionnelle, pilotée par le directeur d’hôpital :

  • communiquer sur la crise en interne et en externe ;

  • déclarer l’incident auprès des autorités compétentes avec l’équipe légale, en l’occurrence la CNIL (Commission nationale de l’informatique et des libertés), dès lors qu’une fuite de données à caractère personnel est suspectée ou avérée ;

  • activer le plan de continuité d’activité, ou PCA (vous trouverez plus d’informations dans la suite du cours) ;

  • prendre les décisions et arbitrages requis pour préserver les patients en fonction des conséquences de la crise : les services inopérants, le personnel médical, les ressources humaines nécessaires pour gérer les opérations, le déclenchement du plan blanc pour que les patients puissent être admis dans d’autres établissements, etc. ;

  • valider le fonctionnement de l'hôpital en mode dégradé ou non ;

  • décider des critères de sortie de crise sur la base des critères préalablement définis : lorsque les patients pourront de nouveau être admis à l’hôpital, que leurs données de santé seront accessibles et que les équipements connectés seront de nouveau opérationnels. 

Une frise représentant chacun des objectifs de la cellule de crise stratégique cités juste avant.
Les objectifs de la cellule de crise stratégique

Pour la cellule de crise opérationnelle / technique, pilotée par le RSSI :

  • analyser les impacts de la crise ;

  • limiter la propagation de l’attaque et s’assurer que l’attaquant n’a plus d’accès au système d'information : tous les ordinateurs et serveurs sont déconnectés d’internet, les composants infectés sont isolés, et les sauvegardes de données sont vérifiées et protégées d’une potentielle infection. Ces mesures servent à empêcher Jo de piloter son rançongiciel, et d’infecter encore plus le système d'information ;

  • comprendre et retracer le déroulement de l’attaque avec les experts en investigation numérique (ce que vous verrez en détail plus tard dans la section sur les investigations) ;

  • empêcher une nouvelle intrusion en déployant des mesures de sécurité additionnelles : correction de la vulnérabilité à l’origine de l’intrusion, autres mesures renforçant la sécurité du système d'information de l’hôpital.

Une frise représentant chacun des objectifs de la cellule de crise opérationnelle cités juste avant.
Les objectifs de la cellule de crise opérationnelle

Le plan de continuité d’activité (PCA) doit également être activé afin d’assurer au mieux la continuité des opérations.

Le PCA a pour objectif de réduire les impacts d’une indisponibilité des services menés habituellement par une organisation. Il prévoit des actions permettant de pallier cette indisponibilité : dans le cas de notre hôpital, vers quels autres établissements diriger les patients, comment gérer les cas les plus graves, etc.

La communication pendant la crise

Une partie importante de la gestion de crise réside dans la communication : il est essentiel de communiquer aux bonnes personnes, au bon moment, les bonnes informations, afin d’éviter les rumeurs ou la panique. Il faut à la fois être transparent, sans trahir d’informations que les attaquants pourraient exploiter, et maintenir la confiance (celle des patients de l’hôpital dans notre exemple, mais aussi celle des collaborateurs). Les équipes Communication sont donc des parties prenantes critiques de la crise, et intègrent naturellement la cellule de crise stratégique. Elles sont chargées de répondre aux sollicitations de la presse, de gérer la communication sur les réseaux sociaux, et de préparer les éléments de langage pour toute communication interne ou externe.

En effet, pour notre hôpital, le sujet n’a pas tardé à faire le tour des réseaux sociaux ! Un patient a posté une photo de la salle d’attente pleine à craquer, et a même pris une vidéo du personnel hospitalier courant dans tous les sens… Cela n’a fait qu’amplifier la panique de la population ! Des centaines de réactions, de commentaires ont été partagés. L’équipe Communication, après accord de la cellule de crise stratégique, a dû poster un message sur le compte Twitter de l’hôpital pour reconnaître qu’un incident était en cours, et annoncer que de plus amples informations seraient publiées le plus tôt possible. Au même moment, les téléphones ne cessent de sonner, assaillis par les appels de journalistes. Heureusement que l'équipe de communication de l’hôpital a été impliquée !

Un autre profil essentiel dans une crise est le gestionnaire de crise cyber ou responsable de gestion de crise. Ce profil peut être une personne/équipe dédiée pour les grandes organisations, ou une des casquettes d’un RSSI pour les plus petites. Ses principales missions sont les suivantes :

  • préparer l’organisation de gestion de crise en amont de la survenue d’une crise (procédures, canaux de communication, etc.) ;

  • coordonner et conseiller les équipes chargées de la gestion de la crise ;

  • renforcer l’organisation de la gestion de crise : améliorer les procédures, outils et ressources nécessaires à la gestion de la crise, après les avoir testés en conditions réelles lors d’une crise.

Pour en savoir plus sur ce métier, regardez l'interview de Vincent Nguyen :

Vous avez donc vu que la gestion d’une crise mobilise un nombre important de ressources, et des équipes aux compétences très variées : informatique, juridique, communication, métiers… Lors d’une cyberattaque, tout le monde est impacté, il n’y a pas que la sécurité informatique qui travaille !

Bref, lors d’une attaque par rançongiciel, il est important d’en parler à des professionnels (prestataires de services spécialisés dans la gestion d’incidents de sécurité, cyberassureurs, cybermalveillance.gouv.fr en France), et de contacter les autorités concernées (l’Agence nationale de sécurité des systèmes d’information, ou ANSSI, en France, la police, ou encore la CNIL en cas de fuite de données à caractère personnel).

Découvrez les investigations menées durant une cyberattaque

Une des activités ayant lieu lors des cyberattaques et qui suscite le plus la curiosité, ce sont les investigations. Venez découvrir ce que font les experts en investigation, ça se passe juste ici !

Une fois que la détection a été faite, que l’incident de sécurité a été déclaré, ce sont les équipes d’investigation qui prennent le relais. 

Les équipes d’investigation sont composées d’experts techniques aux compétences très pointues. Le plus souvent, pour les petites organisations notamment, ce sont des personnes externes à l’organisation.

Les équipes d’investigation, ce sont alors comme des enquêteurs qui essaient de trouver un criminel ?

Exactement ! L’idée est d’abord de bien comprendre le périmètre touché par la cyberattaque, et l’importance de ce périmètre. Ensuite les équipes chargées de l’investigation étudient les traces laissées par l’attaquant, et essaient de retracer tout son parcours sur le système d'information, en répondant à ces questions :

  • À quelles données, applications du système informatique, l’attaquant a-t-il eu accès ?

  • Quelles actions a-t-il menées ?

  • Comment est-il entré dans le système d'information ?

Les investigations numériques sont souvent menées par des membres d’équipes de réponse aux incidents de sécurité, qui peuvent être appelées de deux façons différentes :

  • CERT (Computer Emergency Response Team, ou équipe de réponse aux urgences informatiques) ; 

  • ou CSIRT (Computer Security Incident Response Team, ou équipe de réponse aux incidents de sécurité informatique).

L’analyste CERT / CSIRT, ou encore appelé analyste réponse aux incidents de sécurité, est chargé des investigations numériques, et mène notamment les actions suivantes :

  • en amont d’une attaque, il :

    • fait de la veille sur les nouvelles vulnérabilités ou méthodes d’attaque (en lien avec les équipes de threat intelligence) ;

    • développe ou utilise les outils d’investigation ;

  • lors d’une attaque, il :

    • collecte les traces laissées par l’attaquant ;

    • analyse pour retracer toutes les actions ayant été menées ;

  • après une attaque, il :

    • formalise le rapport d’investigation ;

    • propose des pistes d’amélioration pour empêcher une nouvelle attaque similaire. 

Le responsable du CERT ou du CSIRT, plus expérimenté, est chargé d’assurer la gestion de toutes les activités de l’équipe de réponse à incident :

  • s’assurer du bon déroulement des opérations des équipes CERT / CSIRT ;

  • se coordonner avec les équipes SOC dans la gestion des incidents ;

  • s’assurer que les processus de réponse à incident sont à jour, pertinents et communiqués aux bonnes parties prenantes.

Revenons à notre hôpital pour comprendre le rôle de ces équipes.

À la suite de l’activation de la crise par le directeur de l’hôpital et le responsable Sécurité des systèmes d’information, une décision a été prise : l’équipe Sécurité de l’hôpital étant trop petite, des experts en réponse à incident sont nécessaires ! Le CERT d’une entreprise externe est contacté.

Une première réunion est menée entre équipe informatique et sécurité de l’hôpital et 4 experts en investigations numériques. L’objectif ? Bien identifier le contexte de l’incident, via les premières informations à disposition.

Ensuite, les équipes techniques de l’hôpital sont chargées d’envoyer aux experts forensiques une copie des traces récupérées sur les différents composants du système d'information. Cette partie est critique, car il ne faut pas altérer les traces qui sont copiées, afin de ne pas perturber l’enquête en menant vers de fausses pistes !

Enfin, les experts forensiques analysent ces traces avec des outils et techniques très avancés, afin de retracer la chronologie des événements. Après plusieurs heures, plusieurs jours, ou même plusieurs semaines, ils parviennent ainsi à retrouver le “patient zéro”. C'est-à-dire le premier ordinateur qui a été infecté, ainsi que le mail malveillant qui était à l’origine des premières actions de Jo.

La dernière étape est la formalisation d’un rapport présentant le résultat des analyses forensiques, avec la chronologie détaillée de l’attaque.

En résumé

Durant ce chapitre, vous avez découvert que :

  • une organisation de gestion de crise très spécifique est mise en œuvre pour répondre au mieux à la crise : des cellules de crise sont mises en place, une communication de crise est préparée, un plan de continuité d’activité est activé ;

  • le métier en lien avec la gestion de crise est le gestionnaire de crise cyber : ce rôle travaille en amont, pendant et après la crise sur la gestion de la crise ;   

  • les activités d’investigations numériques sont menées par des experts membres du CERT ou du CSIRT, qui tentent de retracer toutes les activités réalisées par les cyberattaquants.

Une cyberattaque et son analyse doivent être utilisées pour renforcer son système d'information et ses pratiques de sécurité. Suivez-nous pour assister à la reconstruction et au renforcement du système d'information de l’hôpital après la cyberattaque !

Exemple de certificat de réussite
Exemple de certificat de réussite