Gérer une crise cyber : les étapes clés

Réagir vite : détecter et évaluer la crise

Il est essentiel de savoir repérer la crise le plus tôt possible en identifiant les anomalies dans les outils informatiques (problème d’accès au serveur, modifications anormales de fichiers…). Une fois la crise repérée, il faut savoir l’analyser : s’agit-il d’une violation de données, d’une cyberattaque, d’une faille de sécurité ? Évaluer l’ampleur de l’incident permet de mettre en œuvre des solutions adéquates.

Mettre en place la cellule de crise

Durant l’attaque, le plan de gestion de crise devient le guide à suivre pour limiter les répercussions sur l’organisation et reprendre rapidement les activités. Préalablement établi, il identifie les membres de l’équipe de gestion de crise et leurs rôles. Il permet aussi d’établir des protocoles de communication clairs pour informer les parties prenantes. Cette cellule de crise va coordonner les actions au sein des différentes équipes et tenir le rôle de gestionnaire de crise. 

Isoler l’incident et identifier la source

Pour empêcher la propagation de l’incident, des actions immédiates peuvent être mises en place : mettre en veille les appareils, déconnecter le système d’internet, réaliser des sauvegardes et les protéger.

Identifier la source de l’attaque est également indispensable pour stopper son avancée et répondre aux nouvelles menaces qui peuvent émerger. 

Communiquer sur la situation

Dès le début de la crise, il est important d’en informer rapidement toutes les parties prenantes concernées. En fonction de l’incident, une communication externe peut être mise en place pour informer et rassurer les clients, prestataires, utilisateurs ou partenaires. La communication sur la situation devra être régulièrement mise à jour.

Notifier les autorités compétentes

Pour profiter de la couverture de l’assurance et aider à identifier les responsables, rassembler les preuves liées à l’incident peut s’avérer utile. Si la crise concerne un vol de données personnelles, il est obligatoire de le déclarer à la Commission nationale de l'informatique et des libertés (CNIL).

À noter : Les Opérateurs d’Importance Vitale (OIV) et les Opérateurs de Services Essentiels (OSE) sont tenus de notifier l’Agence nationale de la sécurité des systèmes d'information (ANSSI) de tous les incidents de sécurité qui affectent leur système d’information d’importance vitale (SIIV) via un formulaire de déclaration d’incident.

Bilan et mise à jour des procédures

Une fois l’incident résolu et le système d’information restauré, il est important d’analyser ce qu’il s’est passé et comment l’incident aurait pu être évité. Un bilan peut être organisé par la cellule de crise afin d’identifier les failles et les succès.

Pour prévenir de futures problématiques de sécurité, de nouvelles mesures peuvent être mises en place pour renforcer la protection. Le personnel peut notamment bénéficier d’une nouvelle formation pour reconnaître les menaces cyber et adopter les bons réflexes. 

L’assurance cybersécurité

Souscrire à une assurance cyber peut aider l’entreprise à couvrir les coûts liés à la gestion de la crise, la récupération des données ou encore les dommages subis. L’assurance doit être adaptée à la stratégie de gestion des risques de l’entreprise.

Une communication rassurante et préventive 

Une crise cyber peut nuire à la réputation d’une entreprise et porter préjudice à la confiance des clients et des autres parties prenantes.

Pour gérer au mieux cette méfiance, la communication se doit d’être transparente sur la situation et les mesures prises pour résoudre la crise. Pour cela, l’entreprise peut communiquer sur la manière utilisée pour renforcer la sécurité de ses systèmes et prévenir de futures attaques (formation du personnel, collaboration avec des experts en sécurité, mise à jour des process…).