Cybersécurité : à quoi sert un exercice de crise ?

Quand on pense à exercice de crise, comme beaucoup de sujet de cybersécurité, on a tendance à se dire qu’on n’est pas concerné, que c’est un projet lourd à mettre en place, ou qu’on se posera la question le jour où cela arrivera.

Nous savons aussi que l’approche par le risque est une approche lourde pour bon nombre d’organisation, parce qu’elle peut être rapidement anxiogène.

Et pourtant ! Rien de mieux que la mise en situation pour comprendre les enjeux de sécurité ! Et ce, pour plusieurs raisons :

  • Cela permet de se poser les bonnes questions ;
  • Cela implique toute l’entreprise ;
  • Cela permet de visualiser concrètement ce qu’on fait de bien et ce qu’on peut améliorer.

On va vous éviter les expressions bateaux, type « il vaut mieux prévenir que guérir », mais globalement, en sécurité informatique, les coûts du manque d’anticipation ou de sensibilisation peuvent être très importants pour votre entreprise, quelle que soit sa taille.

Alors, dans quel contexte faut-il organiser un exercice de crise ? Sous quelle forme ? Avec qui ? Erwan Moyon vous fait part de son retour expérience, en tant qu’Ingénieur SI, anciennement Consultant en Sécurité des Systèmes d’information.

#1 — Qu’est-ce qu’un exercice de crise en cybersécurité ?

Un exercice de crise est une mise en scène, comme un jeu qui intègre différents acteurs d'une entreprise. Il se veut ludique et accessible.

Son objectif est de tester des situations de crise propre à l’entreprise pour mettre en avant des points d’amélioration, de sensibiliser et former les équipes à ce type d’évènements rares.

Dans le cadre de la cybersécurité, il s’agit d’organiser une mise en situation de cyberattaque ou de cyberincident.

#2 — Dans quel cadre doit-on organiser un exercice de crise ?

Il y a différentes situations qui peuvent justifier l’intérêt d’organiser des exercices de crises :

  • Lorsque l’entreprise devient publiquement connue, cela attire les hackers et personnes malveillantes ;
  • Lorsque l’entreprise a été hackée et a besoin de s’entraîner dans sa gestion de crise ;
  • Lorsque l’entreprise s’apprête à lever beaucoup d’argents, ou dans le cadre d’une fusion-acquisition qui viendrait à modifier l’organisation de l’entreprise

#3 — Est-ce qu’il faut obligatoirement des spécialistes de la cybersécurité pour le faire ?

Les spécialistes sont les garants du suivi et de l’application des procédures de réponses à une crise. Ce n’est pas obligatoire, mais cela reste préférable pour :

- Conseiller la direction ;

- Définir des scénarii basés sur les tendances des cyberattaquants ;

- Investiguer et analyser les incidents qu’on va mettre en scène ;

- Accompagner les équipes IT et métier pour faciliter la communication et la remontée d’information ;

- Analyser les résultats de l’exercice et définir les plans d’amélioration et de sensibilisation

#4 — Quel type d’exercice de crise peut-on organiser ?

Il existe deux types d’exercice de crise : L’exercice sur table et l’exercice en réel.

Leur mise en place diffère en fonction des moyens de l’entreprise et de ses objectifs.

L’exercice sur table consiste à définir un scénario de crise propre à l’entreprise et de suivre une chronologie d’évènements. Ces évènements sont définis sur papier (ou PowerPoint).

Tous les participant•e•s vont devoir répondre à chaque évènement comme s’il était réel.

L’avantage de ce type d’exercice est qu’il est rapide à mettre en place et à simuler car il ne nécessite pas d’utiliser le système d’information.

L’exercice en réel est une mise en situation réelle. Par exemple, on peut installer un vrai sur une copie du système d’information. On va ensuite analyser en temps réel l’évolution du virus, ses impacts, les moyens à déployer pour le mitiger, la réaction des équipes etc.

L’avantage de ce type d’exercice est qu’il permet de tester le fonctionnement des logiciels de sécurité et d’analyser l’organisation de l’entreprise face à une cyberattaque.

En revanche, il nécessite un temps de préparation conséquent.

#5 — C’est quoi le déroulé classique d’un exercice de crise ?  

Un exercice de crise s’organise en plusieurs temps.

Il faut d’abord cadrer et définir des scénarii de crise : que souhaite-t-on évaluer ? Quel est l’objectif de l’exercice de crise ? De quel type d’intervenants a-t-on besoin ? Quels sont les moyens IT qu’on peut mobiliser ? Qui est disponible pour y participer ? En moyenne, il faut bien 1 à 2 mois de préparation

Ensuite, il faut mobiliser les équipes, sur des temps où elles sont réellement disponibles. Il ne faut pas oublier qu’un exercice, c’est comme un jeu de rôle ou une simulation, il faut vraiment être impliqué dedans pour cela fonctionne. Si les équipes ont d’autres priorités ou si elles sont prises de court, l’exercice va les contraindre plus que les sensibiliser.

Pour les mobiliser, il est essentiel de prendre le temps d’expliquer régulièrement l’objectif de l’exercice, mais surtout de présenter les bénéfices que cela peut avoir. Pour cela, il faut aussi prévoir un plan de communication interne, au moins 1 mois à l’avance, avec des rappels. Quitte à mettre en place une permanence, pour répondre aux questions des participants.

L’exercice en lui-même dure de 1 à 3 jours, en fonction des scénarii choisis.

À la fin de l’exercice, on réalise un bilan à chaud, comme à la fin d’une formation. On organise également une enquête quelques temps après l’exercice. Cette enquête permet de comprendre comment l’exercice a été vécu, évaluer le niveau de compréhension, évaluer la culture sécu de l’entreprise en cas de crise…

Enfin, on réalise également un bilan global, à froid, qui comprend les points d’amélioration, mais aussi les bonnes pratiques à maintenir. Ce bilan est censé être décliné en plan d’action.

#6 — Comment faut-il communiquer un exercice de crise ?

La communication est très importante lors de l’organisation d’un exercice de crise

Les personnes mobilisées ne sont pas nécessairement très sensibilisées à ce qu’est un exercice de crise, notamment sur des sujets informatiques. Elles connaissent les risques de leur activité, mais n’y pensent pas tous les jours.

Il faut favoriser une communication en plusieurs temps également, avant, pendant et après. On peut évoquer les enjeux de l’exercice, réfléchir à des messages ludiques, d’autant plus qu’un exercice est assez ludique !

#7 — Qu’est-ce qu’on fait après avoir mis en place l’exercice ?

Après avoir réalisé un exercice il faut :

- Tirer un bilan des points positifs (ce qui a fonctionné) et les points d’amélioration (ce qui a moins bien fonctionné)

- Maintenir une certaine transparence sur les bilans, en évitant d’enjoliver les points d’amélioration ; le but de l’exercice c’est d’apprendre de nos erreurs courantes

- Définir un plan d’action cyber : mise à jour de procédures, renforcement de la communication, amélioration des outils…

- Le must du must, c’est de prévoir d’autres exercices pour s’améliorer continuellement jusqu’à qu’il y ait une vraie culture de la cybersécurité dans l’entreprise

#8 — C’est quoi les bénéfices concrets d’un exercice de crise ?

Concernant la cybersécurité, c’est une opportunité pour l’entreprise de :

- Identifier les points d’amélioration

- Comprendre les problèmes de communication interne et de sensibilisation à la sécurité

- Mettre en place des bonnes pratiques de cybersécurité, en fonction de chaque activité, de chaque outil utilisé

- Sensibiliser l’entreprise à la gestion de crise et instaurer une culture sécurité

by Fen Rakotomalala

Comment mettre en place une feuille de route pour un projet informatique ?

« Alors on en est où ? »

Cette question anodine suscite à la fois de l’enthousiasme (quand on a bien avancé) mais aussi beaucoup de frustration (quand on est en retard ou qu’on ne sait pas).

Pour arriver à y répondre sans stress, il y a un outil imparable, à la fois collaboratif et structurant : le feuille de route (ou roadmap).

Quelle que soit la forme que vous lui donnez, la feuille de route permet à tous les intervenant•es d’un projet informatique :


  • Identifier les rôles et les relations entre chaque personne
  • Comprendre les objectifs du projet
  • Suivre les avancées et les communiquer
  • Prioriser et réagir en cas de retard

C’est l’outil qu’il vous faut ? On vous explique en quelques étapes comment définir votre feuille de route IT.


#1 — C’est quoi une feuille de route concrètement ?

Une feuille de route, également appelée roadmap, est un document qui présente les principales étapes à suivre pour réaliser un projet. Ces étapes ont pour vocation d’être ensuite planifiées dans le temps.

Pour un projet informatique, à quelques spécificités près, le découpage est assez standard :


  1. Analyse de l’existant
  2. Conception
  3. Développement
  4. Test
  5. Déploiement
  6. Maintenance


#2 — Comment structurer une feuille de route ?

Une feuille de route se structure en trois grandes parties :


  • Tout d’abords, vous définissez des « jalons », c’est-à-dire un ensemble de temps forts et/ou d’objectifs à atteindre
  • Dans ces jalons, vous spécifiez des tâches à réaliser pour atteindre chaque objectif. En fonction des jalons, il y a peut-être un ensemble de tâches à rassembler en « chantier », qui constituent un « sous-jalon »
  • Pour chaque tâche ou chantier, vous associez des personnes qui auront chacune des responsabilités dans la réalisation des tâches
  • Ceci fait, vous inscrivez un niveau de priorité et des échéances pour chaque tâche ou chantier
  • À l’issue de ce découpage, vous avez suffisamment d’éléments pour faire un planning


#3 — Quels sont les contenus les plus importants à suivre dans une feuille de route ?

Pour que votre feuille de route soit efficace, il y a plusieurs éléments importants à intégrer, et à valider régulièrement :


À intégrer À valider
Les charges temps Combien de temps faut-il pour réaliser une tâche ?
Ce temps a-t-il été respecté ?
Le budget Combien a-t-on investi pour aboutir un jalon ?Combien a-t-on réellement dépensé ?
Les rôles et responsabilités Les rôles sont-ils cohérents ?
Les niveaux de responsabilité sont-ils clairs ?
Les effectifs sont-ils suffisants ?

C’est uniquement sur la base de ces éléments, qu’il est possible de définir une feuille de route claire, et suffisamment précise pour piloter un projet.


#4 — Comment mettre à jour une feuille de route ?  

Nous mettons une feuille de route à jour dans les situations suivantes :


  • Quand un chantier, une tâche ou un jalon est terminé
  • Quand un risque vient impacter ou remettre en question la réalisation d’un chantier ou d’une tâche
  • Quand une tâche a été mal estimée, ou qu’une nouvelle tâche doit être ajoutée et planifiée


#5 — Qui doit avoir la charge du suivi d’une feuille de route ?

Une feuille de route est gérée et pilotée par un•e chef•fe de projet, qui la met à jour en collaborant avec les différents intervenant•es du projet :


  • Les équipes métiers ;
  • Les services IT ;
  • Les intervenant•es externes.


#6 — Quels sont les supports les plus pertinents pour mettre en forme une feuille de route ?

Il n’existe pas de supports prédominants pour définir une feuille de route, cela dépend des affinités du/de la responsable du projet, avec les outils qu’il/elle utilise habituellement.

En revanche, on peut identifier des usages spécifiques en fonction du support :


  • Les outils de bureautique (type Suite Office) :
    • EXCEL : Utiliser pour définir le planning et organiser les chantiers du projet
    • PowerPoint : Utiliser pour communiquer les avancées et réaliser le reporting lié à la feuille de route
    • Sharepoint : Utiliser pour communiquer les avancées de manière plus ludique et visuelle, pour associer des documents
  • Les outils de gestion de backlog type JIRA ou Trello : Outil tout-en-un, très orienté développement informatique, pour planifier et définir les chantiers d’un projet en même temps
  • Les outils de planning type Planner ou Monday : Outil collaboratif, plutôt orienté processus, qui permet à la fois de planifier et de donner une vue d’ensemble au projet


Une fois structurée, les rôles clarifiés et les différentes charges du projet définies, le suivi d’une feuille de route offre plusieurs bénéfices :


  • Fluidifier la communication : Une feuille de route est facile à lire ce qui permet de rapidement communiquer sur ses avancées, blocages, etc. auprès de n’importe quel interlocuteur d’un projet
  • Renforcer la collaboration : Ce document unique et central permet de renforcer les échanges et le travail entre les équipes IT et les équipes métiers
  • Faciliter la prise de décision : Une feuille de route permet de rapidement mettre en avant des risques capacitaires, financiers ou les conflits de planning, afin de prendre des décisions
  • Prioriser les chantiers : Une feuille de route permet rapidement d’identifier et de définir des priorités vis-à-vis des jalons importants, de leur complexité de réalisation et des délais de livraison


Prêt à mettre en pratique nos conseils ?

Voici un outil signé Cool Kit pour vous exercer à définir votre feuille de route informatique
➡️ https://coolkit.coolitagency.fr/toolspage/details/14 ⬅️

by Erwan Moyon

Quels outils pour travailler l'UX de son site soi-même ?

Quand on parle d’UX, on parle d’« expérience utilisateur ». Qu’est-ce que c’est ? Il s’agit de la manière dont votre site guide l’internaute à naviguer sur votre site internet. Selon vos objectifs, l’UX de votre site est censé accompagner l’internaute à aller sur certaines pages et cliquer sur certains liens. Pour guider correctement l’internaute, il faut imaginer, penser, puis créer un parcours. C’est à partir de ce parcours, que l’on décline le « front » d’un site (ce qui s’affiche à l’écran), ainsi que les conditions du « back » (les règles qui font fonctionner les interactions entre le site et l’internaute).

Souvent considéré comme une contrainte de développement supplémentaire, en vérité, l’UX c’est avant tout :


  • Faciliter la navigation et l’accessibilité
  • Définir des interfaces « design », au sens « utiles » et « cohérentes »
  • Créer des parcours efficaces, qui répondent à des objectifs précis



#1 – Qu’est-ce que l’UX et l’UI ?

        L’UX est l’abréviation « User Experience », dit en français « expérience utilisateur ». Il s’agit du parcours réalisé par l’internaute sur un site internet. L’UX Design consiste alors à concevoir des interfaces, afin que cette expérience soit satisfaisante pour vous et pour l’internaute :


  • Pour un site institutionnel, il s’agit de concevoir des pages claires, concises et performantes ;
  • Pour un site marchand, il s’agit de concevoir un parcours d’achat fluide, agréable et facile à comprendre
  • Pour un site type intranet, il s’agit aussi de clarté, de fluidité, notamment pour accéder à la bonne information, au bon moment

Pour cela, il faut être en mesure de répondre aux besoins et habitudes de l’utilisateur.

Le travail côté UI, c’est l’interface visible par l’utilisateur, qui vient après le travail de l’UX. Il s’agit de positionner des éléments comme les boutons, le menu, les images etc. Il s’agit aussi d’associer ces éléments à une charte graphique.

C’est la complémentarité de l’UX, l’UI et du développement informatique, qui permet à un site d’obtenir une optimisation maximale de la navigation.

Avant de vous lancer tête la première dans le développement de votre site, il y a donc des étapes de conception à respecter, basées sur les habitudes de l’internaute, ainsi que vos objectifs (convaincre, vendre, rassembler etc.)

Pour concrétiser cela, il est essentiel de réfléchir à la structure de votre site et au parcours que vous allez proposer aux visiteurs. On parle de wireframe.


#2 – Quelques bases pour une meilleure expérience utilisateur


Faciliter la lecture des textes

Selon la lecture et son sens, il est nécessaire que les zones de textes soient à des endroits stratégiques. La lecture la plus commune est la lecture en Z. Certains sites peuvent aussi utiliser la lecture en T. De plus, pour que la lecture soit agréable, il faut qu’il y ait un équilibre texte / image. Auparavant, la règle disait : 40% image, 60% texte. Maintenant, les choses évoluent et c’est au goût de chacun. Cependant, attention au trop plein de texte condensé, qui peut rapidement noyer l’information.


Adapter la navigation à tous les supports

En un mot : responsivité ! C’est un élément primordial et essentiel pour que tous les navigateurs puissent avoir accès à votre interface, c’est ce qu’on appelle le mobile first. Un site construit sur un écran doit être adapté aux surfaces plus minimes comme celles des smartphones.

Aujourd’hui tout le monde peut se connecter à internet sur son mobile. En fonction de produit que vous vendez, la règle s’impose plus ou moins. Cependant, il n’est plus possible de ne pas le rendre accessible aux mobiles.


Attention au poids des pages

Le poids des pages est important pour qu’elles ne « tournent » pas trop longtemps. Pour cela, il faut veiller à ne pas intégrer trop d’animations, limiter le poids des images et des vidéos. Le choix des éléments visuels de votre site internet doit aussi répondre à des objectifs précis. Si un visuel n’est pas utile à la navigation, qu’il est juste là pour faire « joli », il peut l’alourdir.


Miser sur les CTA

Les CTA, « Call To Action” sont indispensables dans la construction de vos pages. Une page = un objectif = un CTA. De cette façon l’internaute est guidé sur les actions qu’il doit réaliser pour satisfaire ce qui l’a poussé à venir sur votre site. Comme pour les visuels, la place des CTA doit être bien équilibrée, pour ne pas perdre l’utilisateur.


#3 – Quels outils de conception choisir ?

Ces logiciels sont à utiliser en amont si vous, ou une personne tierce, doit se charger de créer des wireframes :


  • Balsamiq 
    • Tarifs accessibles
    • Plusieurs possibilités d’utilisation (en ligne, sur son ordinateur, à synchroniser avec d’autres logiciels de gestion de projet)
    • Possibilité de collaborer à plusieurs
    • Simple d’utilisation
  • Sketch :
    • Tarifs accessibles
    • Utilisation en ligne
    • Très complet et intuitif
    • Possibilités d’y ajouter des plugins complémentaires
    • Demande des connaissances en design

Pour compléter cet article, voici d’autres plateformes qui vous permettront de créer des maquettes et des prototypes :


  • Mockinbird :
    • Outil très facile à prendre en main
    • Possibilité d’animer les wireframes et les maquettes
    • Version gratuite limitée
    • À partir de 12$/mois
  • Axure :
    • Plateforme moins évidente à prendre en main mais plus de liberté d’utilisation
    • Gratuit pour les enseignants et étudiants
    • 29$/mois pour les professionnels
  • Justinmind :
    • Outil de prototypage web et mobile
    • Facile à prendre en main, possibilité d’importer ses propres visuels
    • Possibilité de le télécharger gratuitement ou de choisir un forfait à partir de 9$/mois

Pour créer un site internet, il ne suffit pas de mettre toutes les informations que l’on souhaite. Tenir compte de l’UX, et y réfléchir en amont, facilitent le travail de design et de développement.

De plus, en fonction de vos objectifs, toutes les pages ne se construisent pas de la même manière : il y a des spécificités à prendre en compte, selon si vous voulez informer ou vendre, par exemple.

Enfin, il faut veiller à la fluidité de votre navigation, l’adapter à tous les supports, ne pas surcharger votre site d’images lourdes ou inutiles, et bien positionner les Call-to-action.

Il existe différents outils, en fonction de vos moyens et de vos compétences, pour mieux réfléchir votre site internet, et créer des wireframes.

Psss, un petit secret : les prestations de développement de site internet coûtent moins cher et durent moins longtemps, quand vous avez déjà défini un parcours de navigation et/ou des wireframes en amont 😉


 

by Lina Bouaziz