Cybersécurité : à quoi sert un exercice de crise ?

Quand on pense à exercice de crise, comme beaucoup de sujet de cybersécurité, on a tendance à se dire qu’on n’est pas concerné, que c’est un projet lourd à mettre en place, ou qu’on se posera la question le jour où cela arrivera.

Nous savons aussi que l’approche par le risque est une approche lourde pour bon nombre d’organisation, parce qu’elle peut être rapidement anxiogène.

Et pourtant ! Rien de mieux que la mise en situation pour comprendre les enjeux de sécurité ! Et ce, pour plusieurs raisons :

  • Cela permet de se poser les bonnes questions ;
  • Cela implique toute l’entreprise ;
  • Cela permet de visualiser concrètement ce qu’on fait de bien et ce qu’on peut améliorer.

On va vous éviter les expressions bateaux, type « il vaut mieux prévenir que guérir », mais globalement, en sécurité informatique, les coûts du manque d’anticipation ou de sensibilisation peuvent être très importants pour votre entreprise, quelle que soit sa taille.

Alors, dans quel contexte faut-il organiser un exercice de crise ? Sous quelle forme ? Avec qui ? Erwan Moyon vous fait part de son retour expérience, en tant qu’Ingénieur SI, anciennement Consultant en Sécurité des Systèmes d’information.

#1 — Qu’est-ce qu’un exercice de crise en cybersécurité ?

Un exercice de crise est une mise en scène, comme un jeu qui intègre différents acteurs d'une entreprise. Il se veut ludique et accessible.

Son objectif est de tester des situations de crise propre à l’entreprise pour mettre en avant des points d’amélioration, de sensibiliser et former les équipes à ce type d’évènements rares.

Dans le cadre de la cybersécurité, il s’agit d’organiser une mise en situation de cyberattaque ou de cyberincident.

#2 — Dans quel cadre doit-on organiser un exercice de crise ?

Il y a différentes situations qui peuvent justifier l’intérêt d’organiser des exercices de crises :

  • Lorsque l’entreprise devient publiquement connue, cela attire les hackers et personnes malveillantes ;
  • Lorsque l’entreprise a été hackée et a besoin de s’entraîner dans sa gestion de crise ;
  • Lorsque l’entreprise s’apprête à lever beaucoup d’argents, ou dans le cadre d’une fusion-acquisition qui viendrait à modifier l’organisation de l’entreprise

#3 — Est-ce qu’il faut obligatoirement des spécialistes de la cybersécurité pour le faire ?

Les spécialistes sont les garants du suivi et de l’application des procédures de réponses à une crise. Ce n’est pas obligatoire, mais cela reste préférable pour :

- Conseiller la direction ;

- Définir des scénarii basés sur les tendances des cyberattaquants ;

- Investiguer et analyser les incidents qu’on va mettre en scène ;

- Accompagner les équipes IT et métier pour faciliter la communication et la remontée d’information ;

- Analyser les résultats de l’exercice et définir les plans d’amélioration et de sensibilisation

#4 — Quel type d’exercice de crise peut-on organiser ?

Il existe deux types d’exercice de crise : L’exercice sur table et l’exercice en réel.

Leur mise en place diffère en fonction des moyens de l’entreprise et de ses objectifs.

L’exercice sur table consiste à définir un scénario de crise propre à l’entreprise et de suivre une chronologie d’évènements. Ces évènements sont définis sur papier (ou PowerPoint).

Tous les participant•e•s vont devoir répondre à chaque évènement comme s’il était réel.

L’avantage de ce type d’exercice est qu’il est rapide à mettre en place et à simuler car il ne nécessite pas d’utiliser le système d’information.

L’exercice en réel est une mise en situation réelle. Par exemple, on peut installer un vrai sur une copie du système d’information. On va ensuite analyser en temps réel l’évolution du virus, ses impacts, les moyens à déployer pour le mitiger, la réaction des équipes etc.

L’avantage de ce type d’exercice est qu’il permet de tester le fonctionnement des logiciels de sécurité et d’analyser l’organisation de l’entreprise face à une cyberattaque.

En revanche, il nécessite un temps de préparation conséquent.

#5 — C’est quoi le déroulé classique d’un exercice de crise ?  

Un exercice de crise s’organise en plusieurs temps.

Il faut d’abord cadrer et définir des scénarii de crise : que souhaite-t-on évaluer ? Quel est l’objectif de l’exercice de crise ? De quel type d’intervenants a-t-on besoin ? Quels sont les moyens IT qu’on peut mobiliser ? Qui est disponible pour y participer ? En moyenne, il faut bien 1 à 2 mois de préparation

Ensuite, il faut mobiliser les équipes, sur des temps où elles sont réellement disponibles. Il ne faut pas oublier qu’un exercice, c’est comme un jeu de rôle ou une simulation, il faut vraiment être impliqué dedans pour cela fonctionne. Si les équipes ont d’autres priorités ou si elles sont prises de court, l’exercice va les contraindre plus que les sensibiliser.

Pour les mobiliser, il est essentiel de prendre le temps d’expliquer régulièrement l’objectif de l’exercice, mais surtout de présenter les bénéfices que cela peut avoir. Pour cela, il faut aussi prévoir un plan de communication interne, au moins 1 mois à l’avance, avec des rappels. Quitte à mettre en place une permanence, pour répondre aux questions des participants.

L’exercice en lui-même dure de 1 à 3 jours, en fonction des scénarii choisis.

À la fin de l’exercice, on réalise un bilan à chaud, comme à la fin d’une formation. On organise également une enquête quelques temps après l’exercice. Cette enquête permet de comprendre comment l’exercice a été vécu, évaluer le niveau de compréhension, évaluer la culture sécu de l’entreprise en cas de crise…

Enfin, on réalise également un bilan global, à froid, qui comprend les points d’amélioration, mais aussi les bonnes pratiques à maintenir. Ce bilan est censé être décliné en plan d’action.

#6 — Comment faut-il communiquer un exercice de crise ?

La communication est très importante lors de l’organisation d’un exercice de crise

Les personnes mobilisées ne sont pas nécessairement très sensibilisées à ce qu’est un exercice de crise, notamment sur des sujets informatiques. Elles connaissent les risques de leur activité, mais n’y pensent pas tous les jours.

Il faut favoriser une communication en plusieurs temps également, avant, pendant et après. On peut évoquer les enjeux de l’exercice, réfléchir à des messages ludiques, d’autant plus qu’un exercice est assez ludique !

#7 — Qu’est-ce qu’on fait après avoir mis en place l’exercice ?

Après avoir réalisé un exercice il faut :

- Tirer un bilan des points positifs (ce qui a fonctionné) et les points d’amélioration (ce qui a moins bien fonctionné)

- Maintenir une certaine transparence sur les bilans, en évitant d’enjoliver les points d’amélioration ; le but de l’exercice c’est d’apprendre de nos erreurs courantes

- Définir un plan d’action cyber : mise à jour de procédures, renforcement de la communication, amélioration des outils…

- Le must du must, c’est de prévoir d’autres exercices pour s’améliorer continuellement jusqu’à qu’il y ait une vraie culture de la cybersécurité dans l’entreprise

#8 — C’est quoi les bénéfices concrets d’un exercice de crise ?

Concernant la cybersécurité, c’est une opportunité pour l’entreprise de :

- Identifier les points d’amélioration

- Comprendre les problèmes de communication interne et de sensibilisation à la sécurité

- Mettre en place des bonnes pratiques de cybersécurité, en fonction de chaque activité, de chaque outil utilisé

- Sensibiliser l’entreprise à la gestion de crise et instaurer une culture sécurité


Comment mettre en place une feuille de route pour un projet informatique ?

« Alors on en est où ? »

Cette question anodine suscite à la fois de l’enthousiasme (quand on a bien avancé) mais aussi beaucoup de frustration (quand on est en retard ou qu’on ne sait pas).

Pour arriver à y répondre sans stress, il y a un outil imparable, à la fois collaboratif et structurant : le feuille de route (ou roadmap).

Quelle que soit la forme que vous lui donnez, la feuille de route permet à tous les intervenant•es d’un projet informatique :

 

  • Identifier les rôles et les relations entre chaque personne
  • Comprendre les objectifs du projet
  • Suivre les avancées et les communiquer
  • Prioriser et réagir en cas de retard

C’est l’outil qu’il vous faut ? On vous explique en quelques étapes comment définir votre feuille de route IT.

 

#1 — C’est quoi une feuille de route concrètement ?

Une feuille de route, également appelée roadmap, est un document qui présente les principales étapes à suivre pour réaliser un projet. Ces étapes ont pour vocation d’être ensuite planifiées dans le temps.

Pour un projet informatique, à quelques spécificités près, le découpage est assez standard :

 

  1. Analyse de l’existant
  2. Conception
  3. Développement
  4. Test
  5. Déploiement
  6. Maintenance

 

#2 — Comment structurer une feuille de route ?

Une feuille de route se structure en trois grandes parties :

 

  • Tout d’abords, vous définissez des « jalons », c’est-à-dire un ensemble de temps forts et/ou d’objectifs à atteindre
  • Dans ces jalons, vous spécifiez des tâches à réaliser pour atteindre chaque objectif. En fonction des jalons, il y a peut-être un ensemble de tâches à rassembler en « chantier », qui constituent un « sous-jalon »
  • Pour chaque tâche ou chantier, vous associez des personnes qui auront chacune des responsabilités dans la réalisation des tâches
  • Ceci fait, vous inscrivez un niveau de priorité et des échéances pour chaque tâche ou chantier
  • À l’issue de ce découpage, vous avez suffisamment d’éléments pour faire un planning

 

#3 — Quels sont les contenus les plus importants à suivre dans une feuille de route ?

Pour que votre feuille de route soit efficace, il y a plusieurs éléments importants à intégrer, et à valider régulièrement :

 

À intégrer À valider
Les charges temps Combien de temps faut-il pour réaliser une tâche ?
Ce temps a-t-il été respecté ?
Le budget Combien a-t-on investi pour aboutir un jalon ?Combien a-t-on réellement dépensé ?
Les rôles et responsabilités Les rôles sont-ils cohérents ?
Les niveaux de responsabilité sont-ils clairs ?
Les effectifs sont-ils suffisants ?

C’est uniquement sur la base de ces éléments, qu’il est possible de définir une feuille de route claire, et suffisamment précise pour piloter un projet.

 

#4 — Comment mettre à jour une feuille de route ?  

Nous mettons une feuille de route à jour dans les situations suivantes :

 

  • Quand un chantier, une tâche ou un jalon est terminé
  • Quand un risque vient impacter ou remettre en question la réalisation d’un chantier ou d’une tâche
  • Quand une tâche a été mal estimée, ou qu’une nouvelle tâche doit être ajoutée et planifiée

 

#5 — Qui doit avoir la charge du suivi d’une feuille de route ?

Une feuille de route est gérée et pilotée par un•e chef•fe de projet, qui la met à jour en collaborant avec les différents intervenant•es du projet :

 

  • Les équipes métiers ;
  • Les services IT ;
  • Les intervenant•es externes.

 

#6 — Quels sont les supports les plus pertinents pour mettre en forme une feuille de route ?

Il n’existe pas de supports prédominants pour définir une feuille de route, cela dépend des affinités du/de la responsable du projet, avec les outils qu’il/elle utilise habituellement.

En revanche, on peut identifier des usages spécifiques en fonction du support :

 

  • Les outils de bureautique (type Suite Office) :
    • EXCEL : Utiliser pour définir le planning et organiser les chantiers du projet
    • PowerPoint : Utiliser pour communiquer les avancées et réaliser le reporting lié à la feuille de route
    • Sharepoint : Utiliser pour communiquer les avancées de manière plus ludique et visuelle, pour associer des documents
  • Les outils de gestion de backlog type JIRA ou Trello : Outil tout-en-un, très orienté développement informatique, pour planifier et définir les chantiers d’un projet en même temps
  • Les outils de planning type Planner ou Monday : Outil collaboratif, plutôt orienté processus, qui permet à la fois de planifier et de donner une vue d’ensemble au projet

 


Une fois structurée, les rôles clarifiés et les différentes charges du projet définies, le suivi d’une feuille de route offre plusieurs bénéfices :

 

  • Fluidifier la communication : Une feuille de route est facile à lire ce qui permet de rapidement communiquer sur ses avancées, blocages, etc. auprès de n’importe quel interlocuteur d’un projet
  • Renforcer la collaboration : Ce document unique et central permet de renforcer les échanges et le travail entre les équipes IT et les équipes métiers
  • Faciliter la prise de décision : Une feuille de route permet de rapidement mettre en avant des risques capacitaires, financiers ou les conflits de planning, afin de prendre des décisions
  • Prioriser les chantiers : Une feuille de route permet rapidement d’identifier et de définir des priorités vis-à-vis des jalons importants, de leur complexité de réalisation et des délais de livraison

Prêt à mettre en pratique nos conseils ?

Voici un outil signé Cool Kit pour vous exercer à définir votre feuille de route informatique
➡️ https://coolkit.coolitagency.fr/toolspage/details/14 ⬅️

Besoin d’aide ?

Chez Cool IT, nous avons développé nos propres méthodes, largement éprouvées (depuis plus de dix ans !), pour vous aider à mener à bien vos projets informatiques.