Notre contribution à la communauté de la sécurité de l'information et des systèmes d'information

Retour sur l’exercice de cyber-crise ECRANS 2017 organisé par le CLUSIF

ECRANS 2017

Les attaques cyber se généralisent et se propagent avec une rapidité aussi exponentielle que déconcertante, l’actualité nous le rappelle tous les jours (ransomware, fuite ou vol de données sensibles, attaque en déni de service, etc.). Hormis les attaques ciblées (APT, …) qui ont un objectif précis, ces attaques ne font pas de différence entre taille d’entreprise (Multinationale, ETI, PME/PMI, TPE, …), secteur d’activité, voire domaine professionnel ou personnel. Résilience oblige, il s’avère essentiel de se préparer à réagir en cas d’attaque effective de son système d’information.

A ce titre, CONIX a été invité le 22 juin 2017 à participer (représenté par l’un de ses consultants) à l’exercice de cyber-crise ECRANS 2017 organisé par le CLUSIF[1], en partenariat avec le Ministère de l’Intérieur, la Préfecture de Police, la BEFTI[2],  l’ANSSI[3], et le CLUSIR Aquitaine.

 

Contexte de l’exercice ECRANS 2017

L’exercice simulait l’attaque par ransomware d’un laboratoire médical, dépositaire de données médicales par nature sensibles avec des conséquences potentiellement majeures pour son principal client, un hôpital ainsi que les patients. Cette crise a ainsi eu lieu (fictivement) sur 2 sites distincts, le site du laboratoire et celui de l’hôpital. Ce dernier s’est retrouvé impliqué dans une fuite d’information et risquait de voir son propre système d’information devenir inutilisable du fait du ransomware se propageant depuis le réseau informatique du sous-traitant.

Damien Lachiver, animateur de l’exercice, rappelle qu’une crise se définit par : « Une situation soudaine, souvent brutale, inattendue, aux conséquences potentiellement très grave pour l’entreprise et pour laquelle les mécanismes et réactions habituels sont inadaptés »

Il est donc important de se préparer en amont pour assimiler les « bons réflexes » en cas de nécessité.

Cet exercice s’est appuyé sur une préparation minutieuse de l’équipe d’animation. Outre les réunions pour établir et consolider le scenario, le logiciel OpenEx a permis de générer les différents « stimuli » durant l’exercice (messages de notifications, emails, sms, appels téléphoniques, …), afin de se rapprocher autant que possible des conditions réelles et ainsi de maintenir les acteurs « sous pression » (stress test).

Cet outil[4] est issu de travaux réalisés pour les besoins de l’ANSSI. Il a été créé entre autres par Samuel Hassine, l’un des animateurs de l’exercice, au travers de l’association Luatix. Il est aujourd’hui déployé au sein du SGDSN (Secrétariat général de la défense et de la sécurité nationale) et est utilisé lors des exercices gouvernementaux de niveau politico-stratégique.

Dix personnes ont préparé cet exercice dans le but de mettre au point un scénario crédible, avec un périmètre identifié et des stimuli en nombre suffisant. Chaque animateur avait un rôle à jouer (journaliste, autorité étatique, …) et a dû se préparer, voire improviser en fonction de la réaction des participants.

L’exercice a duré 3h30 au total.

 

Restitution de l’exercice ECRANS 2017

La restitution de cet exercice s’est tenue jeudi dernier, en présence des partenaires, de participants ainsi que des adhérents du CLUSIF.

La vidéo en ligne présente l’ensemble de la conférence. On retrouve, outre le discours d’ouverture du Préfet de Police et le mot du président du CLUSIF, Jean-Marc Gremy, les retours de l’exercice selon différentes thématiques :

  • La préparation d’un exercice de crise
  • L’organisation de la gestion de crise
  • Les obligations légales (notification d’incident en particulier)
  • La gestion de la communication durant la crise
  • La gestion client-fournisseur sur le plan contractuel (frein potentiel à une réponse à incident efficiente)
  • La difficulté d’évaluer les coûts d’une crise
  • La collecte et préservation des preuves en cas d’attaque et l’utilité d’un dépôt de plainte

Chaque intervenant a explicité sa thématique en l’illustrant par rapport à l’exercice réalisé.

Pour plus d’informations sur les interventions : lien.

À titre informatif, le montage vidéo de l’exercice de crise se situe après 26 minutes de film. Il dure 8 minutes environ et retransmet les grandes lignes de l’exercice.

Principales leçons à retenir de cet exercice : la nécessité de se préparer, tester, et réitérer.

Le top 10 des bonnes pratiques issues de l’exercice ECRANS 2017

  1. Anticiper les bases de l’organisation d’une gestion de crise
  2. Préparer et former toutes les personnes ayant un rôle clé à jouer dans la gestion de crise et s’assurer qu’elles disposent d’un accès fiable à une documentation à jour
  3. Recueillir et sauvegarder l’ensemble des éléments à valeur probante susceptibles d’être utiles à un dépôt de plainte
  4. Inclure dans le pilotage de la crise la rotation des équipes en cas de prolongement
  5. Définir et faire accepter par chaque membre de la cellule de crise les modalités relatives aux permanences et devoir de réserve à assurer
  6. Prévoir la mise en place d’un secrétariat (suivi de la crise)
  7. Si besoin, déposer plainte et/ou avertir les instances nécessaires (CNIL, ANSSI, autorité de tutelle, …)
  8. Informer le personnel, les principaux partenaires et clients de la situation (selon le besoin d’en connaître) et préparer une communication externe spécifique
  9. À défaut de Direction juridique ou de juriste interne, identifier un cabinet d’avocat ou sinon un service juridique qui pourra apporter un soutien le moment venu
  10. Tester régulièrement le dispositif de gestion de crise

 

L’ensemble des informations sont disponibles sur le site du CLUSIF à l’adresse suivante : https://clusif.fr/conferences/conference-de-restitution-de-lexercice-de-cyber-crise-clusif/

Le document d’introduction ainsi que le film vidéo réalisé sont disponibles en accès libre.

 

Afaf FAFI - CONIX - ECRANS 2017Retour à titre personnel de Afaf FAFI, consultante chez CONIX, sur sa participation à l’exercice ECRANS 2017 :

« Pour ma part, ce fut une expérience très enrichissante. Le scenario fut très réaliste et je fus vite prise au jeu avec par moment une montée en pression en sachant malgré tout que ce n’était qu’un exercice sur un périmètre fictif. Une très bonne cohésion des équipes, chacun ayant pris son rôle à cœur, ce qui a permis d’obtenir par la suite un résultat exploitable et de répondre à l’objectif fixé par le CLUSIF, mettre en pratique un exercice réaliste permettant de sensibiliser au-delà du club à la gestion de cyber-crise. »

 

 

 

 

[1] CLUSIF : CLUb de la Sécurité de l’Information Français

[2] BEFTI : Brigade d’Enquêtes sur les Fraudes aux Technologies de l’Information

[3] ANSSI : Agence Nationale de la Sécurité des Systèmes d’Information

[4] https://www.openex.io/fr/ : outil disponible sous licence libre. Vous pouvez le télécharger et le déployer pour la réalisation de vos propres exercices de crise.

By | 2017-10-06T10:22:32+00:00 06/10/2017|Non classé|