Blog ENI : Toute la veille numérique !
🎁 Jusqu'au 25/12 : 1 commande de contenus en ligne
= 1 chance de gagner un cadeau*. Cliquez ici
🎁 Jusqu'au 31/12, recevez notre
offre d'abonnement à la Bibliothèque Numérique. Cliquez ici
  1. Livres et vidéos
  2. Guide juridique de la cybersécurité
  3. Conclusion : avez
Extrait - Guide juridique de la cybersécurité Mettre en place un bouclier légal pour se protéger, se défendre et réagir
Extraits du livre
Guide juridique de la cybersécurité Mettre en place un bouclier légal pour se protéger, se défendre et réagir Revenir à la page d'achat du livre

Conclusion : avez-vous pensé au RETEX cyber ?

Introduction

La gestion d’une crise cyber ne s’arrête pas à la résolution de l’incident. Il est en effet primordial d’effectuer un bilan complet de la crise intervenue afin de limiter les risques qu’un incident similaire ne survienne.

Il est pour cela recommandé de procéder à un retour d’expérience (RETEX).

De manière plus concrète, il convient d’observer deux temps :

  • La sortie de crise tout d’abord qui se définit comme un retour à un état de fonctionnement opérationnel pour l’organisme victime pouvant se caractériser par le fait que les applications prioritaires soient de nouveau fonctionnelles, que les sauvegardes soient en état de fonctionnement ou que la reconnexion des sites soit effective).

  • Le RETEX post crise qui est un outil incontournable ayant pour objet la recherche d’améliorations continues et une volonté de réduire au minimum le risque cyber.

Or, pour qu’un organisme puisse mettre en place efficacement un RETEX, il sera nécessaire d’appréhender l’ensemble des objectifs d’un tel exercice et les actions qui devraient en être le prolongement naturel.

Objectif du RETEX

Le RETEX intervient une fois la crise passée.

La période de sortie de crise doit donc être un moment privilégié pour le partage d’expériences des personnes ayant participé à la gestion de crise depuis sa détection jusqu’à sa remédiation.

Dans un objectif de renforcer la résilience de l’organisme, le RETEX vise à pérenniser les dispositifs de gestion de crise qui ont fait leurs preuves lors de l’incident et à consolider les zones de difficultés et autres signaux faibles identifiés. Comprendre les origines de l’incident, les axes forts sur lesquels l’organisme a pu s’appuyer et les axes faibles ayant pénalisé la réaction à incident seront ainsi au cœur du RETEX.

En se différenciant d’un audit, le RETEX impose une analyse a posteriori du déroulement de la gestion de crise pour rendre compte des axes d’amélioration à prendre dans le futur et ajuster en conséquence les dispositifs de gestion de crise.

Une actualisation du référentiel de sécurité de l’organisme (cartographie des risques, politique de sécurité des systèmes d’information, charte informatique ou encore politique de gestion des sous-traitants) sera souvent nécessaire.

Au niveau organisationnel le RETEX passe généralement par la nomination d’une équipe dédiée accompagnée par la définition d’une méthodologie (interview des parties prenantes) et d’un calendrier. Il s’achève par la remise d’un rapport confidentiel communiqué aux dirigeants de l’organisme. Ce rapport pourra aussi avoir une utilité vis-à-vis des assurances ou d’une manière générale, dans le cadre d’audits extérieurs destinés à analyser le niveau de maturité de l’organisme en matière de sécurité digitale.

images/conclDP01.png

En résumé, voici les objectifs clés d’un RETEX après une cyber attaque :

  • Identifier les vulnérabilités ayant permis à l’attaquant de pénétrer dans le système. Cela peut inclure des failles de sécurité dans les logiciels, les réseaux, les procédures opérationnelles ou les comportements des utilisateurs.

  • Évaluer l’impact de l’attaque sur les activités de l’organisme victime. Cela peut inclure l’analyse des données perdues, la perte de productivité et les coûts financiers.

  • Faciliter l’analyse des mesures prises par l’organisme victime pour répondre à l’attaque, y compris la réaction initiale, les procédures de gestion de crise et la communication avec les parties prenantes.

  • Recommander des mesures pour renforcer la sécurité de l’organisme victime à travers un plan d’action. Cela peut inclure des améliorations des politiques et des procédures de sécurité, la mise en place de nouvelles technologies et la formation des employés.

Le RETEX se déroule en deux temps :

  • Le RETEX « à chaud » (en sortie de crise) :

    La tenue d’un RETEX à chaud est fortement recommandée car les parties prenantes seront encore sous l’effet de l’immersion. Il aura alors une double utilité : (i) recueillir des éléments contextuels pertinents, (ii) présenter les points forts ainsi que les axes d’amélioration. Il peut être organisé sous forme d’entretiens ou d’ateliers de travail.

    Durant cette phase de tensions, le RETEX se présentera sous la forme d’un échange collectif où les personnes concernées vont expliquer leur ressenti sur la gestion de crise. Une large partie des équipes a vocation à y participer. Il convient de donner la parole aux acteurs de l’organisme pour ensuite faire intervenir les personnes en charge du RETEX. Cela permet d’éviter d’influencer le retour des parties prenantes. C’est souvent un moment sensible, il faut donc éviter de brusquer les membres de l’équipe de la gestion de crise. Il est donc préférable d’insister sur les points positifs pour ensuite aborder les points faibles sous la forme d’axes d’amélioration.

    Au cours de ce RETEX, les thématiques suivantes seront utilement abordées :

  • le déroulé du scénario de l’attaque cyber,

  • la qualité des échanges d’information entre les équipes,

  • la qualité de la communication interne et externe,

  • le fonctionnement des équipements et matériels,

  • la logistique (salle de crise, outils, etc.),

  • les ressources humaines (constitution des équipes, relève des équipes, utilisation des compétences, etc.),

  • l’état de la gestion des exigences légales, réglementaires, contractuelles et administratives.

    Si plusieurs cellules de crise étaient impliquées dans la gestion de crise, il est possible de mettre en place des RETEX en parallèle si le temps dédié au RETEX est contraint ou s’il est nécessaire de laisser s’exprimer les cellules de crise de manière indépendante. Cependant, l’option du RETEX en commun devrait être privilégiée afin de capitaliser sur la crise et de rassembler différents profils d’un même organisme autour des questions cyber. Le RETEX peut aussi être complété par des questionnaires...

Les suites du RETEX

Après avoir effectué un RETEX, l’organisme établit un rapport. Ce rapport sera un outil de travail destiné à mettre à niveau la sécurité des systèmes d’information en vue de limiter l’impact de futurs incidents. Il pourra également servir utilement de base au déclenchement de plusieurs sessions de formation et de sensibilisation des équipes.

Au cœur du rapport de RETEX figurera un plan d’action détaillé regroupant un ensemble de mesures destinées à améliorer le dispositif de gestion de crise. Ce plan d’action s’appuiera sur l’ensemble de la documentation associée à la gestion de crise ainsi que sur les entretiens intervenus lors des interviews et autres ateliers de travail menés lors du RETEX. Cela concerne les mains courantes, les mails échangés durant la crise, les prises de note des observateurs et, le cas échéant, les questionnaires d’auto-évaluation.

Classiquement, le plan d’action élaboré dans le cadre d’un rapport de RETEX abordera :

  • la création/correction/amélioration des procédures dites « réflexes »,

  • la correction ou l’amélioration des procédures de gestion de crise et de continuité d’activité,

  • la correction ou l’amélioration des réflexes de la cellule de crise décisionnelle,

  • la correction ou l’amélioration des procédures de communication de crise,

  • la correction ou l’amélioration des mesures préventives de sécurité des systèmes d’information.

Ce plan d’action construit sur les retours d’expérience s’inscrit dans une démarche d’amélioration continue. Il permet à l’organisme de réévaluer l’ensemble des pratiques qu’il a mises en place pour réagir à une cyber attaque.

L’objectif est ici d’enrichir les principes de gouvernance et de gestion de crise, de renforcer la communication de crise, d’assurer une plus grande fluidité des processus décisionnels et de suivi des actions tout en consolidant d’une manière globale les capacités techniques et opérationnelles de l’organisme.

Il s’agira également de définir des axes d’amélioration des interactions entre les équipes mobilisées dans la crise comme des interactions avec les parties prenantes extérieures, etc.

Voici quelques exemples de suites à donner à un RETEX susceptibles d’intégrer un plan d’action :

  • L’amélioration des mesures de sécurité : si le RETEX a permis d’identifier des vulnérabilités, le plan d’action proposera des mesures pour les corriger. Cette amélioration débouchera généralement sur la révision des politiques de sécurité de l’organisme.

  • La sensibilisation du personnel : un manque de formation/sensibilisation du personnel peut ressortir du RETEX. À ce titre, le plan d’action peut prévoir différents moyens afin de faire monter en compétence les collaborateurs de l’organisme en matière de cybersécurité.

  • La réalisation d’audit externe : un manque de compétence pour améliorer le niveau de sécurité peut être...