Gestion de Crise Cyber : Vincent Desroches (Chef de division Adjoint de l’ANSSI) partage ses recommandations

Les (principales) recommandations de l’ANSSI pour se préparer à une crise cyber ? Comment bien communiquer en cas de crise cyber ?

Quelle place pour les sous-traitants quand on est OIV / OSE ? Réponses dans un entretien avec Vincent Desroches (Chef de division Adjoint de l’ANSSI).

Les (principales) recommandations de l’ANSSI pour se préparer à une crise cyber ?

La gestion de crise se prépare et se planifie au quotidien. La première recommandation est d’avoir une organisation spécifique en matière de gestion de crise, qui inclut un PCA et un PRA, ces derniers ne suffisant pas. Car si la crise sort du cadre PCA/PRA, on ne sait plus quoi faire. Cette organisation de gestion de crise doit donc inclure le fait de pouvoir

  • prendre des décisions,
  • comprendre ce qu’il se passe,
  • communiquer,
  • se préparer et conduire la crise,
  • activer son réseau de partenaires et de prestataires,
  • anticiper les évolutions de la crise et les besoins logistiques.

 

Ensuite, c’est le processus d’escalade où l’on est capable de mesurer comment la situation évolue et de savoir à quel moment il est possible d’activer des partenaires. Cela permet de mieux gérer les ressources surtout si la crise dure longtemps. Or quand elle dure, la fatigue arrive. Donc ce processus d’escalade permet d’optimiser les ressources engagées en fonction des impacts subis, mais également de la perception de la situation et de son évolution.

Le troisième point est d’avoir un plan annuel d’exercice, c’est-à-dire d’entraîner individuellement ou collectivement les cellules de gestion de crise du dispositif. Il convient d’inclure également dans certains exercices élargis les parties prenantes de son écosystème d’activités (partenaires, principaux sous-traitants).

                                                                

Comment bien communiquer en cas de crise cyber ?

Une bonne communication de crise ne garantit pas que tout se passera bien – en revanche, une mauvaise communication garantit que tout se passera mal… Un conseil à retenir : si on communique, on ne doit pas mentir. C’est une règle d’or. On peut le faire évidemment et croiser les doigts pour que ça ne se sache pas… Il faut d’autre part maîtriser le tempo plutôt que d’en être victime : si l’organisation ne s’exprime pas, les autres le feront sans doute à sa place et c’est là qu’on ne maîtrise plus rien.

Il faut enfin disposer d’un plan de communication qui définit les postures, les éléments de langage. Ce plan doit avoir été pensé en fonction des différents acteurs et publics auxquels on s’adresse. Comment communiquer vers son client ? En interne ? Eventuellement vers le grand public si on est une entreprise qui fournit des produits grand public ? Vers la presse ? Pour ça, il faut faire de la veille et de l’analyse médiatique renforcées pendant la crise afin d’orienter et adapter au mieux sa communication.

 

Quelle place pour les sous-traitants quand on est OIV / OSE ?

C’est une préoccupation de l’agence. Ces sous-traitants ont souvent un accès auprès des OIV / OSE. Ils sont dans leur écosystème et actuellement ils ne sont pas régulés. Pour les particuliers et PME/TPE victimes de cyberattaques, qui ne sont pas directement dans le mandat de l’Anssi, un dispositif national ad hoc d’assistance aux victimes a été mis en place en 2017 : « Cybermalveillance.gouv.fr », porté par le groupement d’intérêt public « ACYMA. Pour les FSN critiques (fournisseurs de services numériques), l’ANSSI va mettre en place un nouveau référentiel de prestataires qualifiés (les PAMS pour Prestataires d’Administration et de Maintenance Sécurisées). Par ailleurs, un OIV, un OSE doit évaluer la menace liée aux parties prenantes de son écosystème. C’est ce que propose La nouvelle méthode EBIOS Risk Manager.