Anticiper la gestion de crise IT : les clés du succès

La gestion de crise IT, un exercice pas si simple

Une fois n’est pas coutume, nous n’aborderons pas, dans cet article, de solutions purement techniques afin d’anticiper ou même gérer une crise IT. Au contraire, nous nous concentrerons sur les éléments organisationnels permettant de faire face à cette situation difficile : en effet, la gestion de crise IT est un exercice périlleux, générateur de stress et de tensions, qui nécessite de se projeter dans l’évènement – nous tenterons donc de vous donner quelques clés afin d’améliorer votre résilience et votre préparation.

Les évènements rattachés à une crise IT ?

La vie d’une direction informatique n’est pas un long fleuve tranquille… les activités opérationnelles peuvent être fortement perturbées par des évènements non planifiés, enchainant vers un arrêt global d’activités.

Les crises IT peuvent intervenir dans des situations diverses et variées : incendie, inondation, vol, etc. Mais la raison évidente qui saute aux yeux de tous, en ce moment est bien sûr l’attaque de ransomwares suivie du chiffrement généralisé des données.

Par définition, il est impossible de prévoir quand surviendra ce type d’évènement, il est donc primordial de se renseigner en amont sur les techniques de gestion de crise IT car tout dirigeant ou manager doit avoir la capacité de mettre en œuvre un plan d’urgence visant à gérer ladite crise.

Malheureusement, quelles que soient leurs tailles, il n’est pas rare de constater que les organisations n’anticipent que très peu ce type de situations dramatiques et que le plus souvent, la gestion de crise se réalise dans la plus grande impréparation.

L’anticipation : la clé de la gestion de crise IT

Pour maîtriser une gestion de crise et être en mesure de faire face à l’adversité, il n’y a qu’un seul mot à garder en tête : anticipation

La plupart des éléments peuvent être anticipés et contrôlés avant la crise elle-même, ce qui permettra généralement de garder son calme et d’obtenir un retour à la normale bien plus rapide que si rien n’a été préparé en amont. Nous allons donc parcourir ensemble les éléments que vous devez anticiper et déterminer comment réviser votre « checklist » de préparation à la pire des situations.

A – War-Room et équipements

La première chose à laquelle vous devez penser est le lieu depuis lequel vous gérerez la crise. Cela parait basique, mais faites-moi confiance, il s’agit certainement de l’élément le plus complexe à gérer dans l’urgence s’il n’a pas été anticipé et pensé.

Vous devez donc définir la salle, dite « war-room » dans laquelle vous pourrez tout installer afin de gérer la crise sereinement. Les équipements techniques de la salle ne sont pas forcément installés par défaut, mais il faut pouvoir les installer en moins de 30 minutes, ce qui sous-entend que vous maitrisez les emplacements de stockage des différents équipements afin de pouvoir les rapatrier et les installer en un temps record.

Voici les équipements nécessaires dans une war-room :

• Table en longueur avec un nombre de chaises suffisant

pour accueillir l’équipe de crise (Pour donner un chiffre, disons au minimum 6 chaises, mais certaines war-room en possèdent plusieurs dizaines)

• Prévoir les équipements de connexion réseau

pour s’assurer que toutes les personnes présentes dans la pièce pourront se connecter à un réseau commun : switch, câbles réseau, borne wifi (garder le mot de passe de configuration et l’adresse IP de la borne dans un classeur papier, nous reviendrons sur ce point plus tard)

• Routeur 4G/5G qui pourra se connecter au switch et qui permettra une connexion directe à Internet

si la connexion principale ne fonctionne plus (rappelez-vous, lors d’une crise IT, toutes les fonctions qui nous semblent évidentes peuvent ne plus fonctionner). Vérifiez que la war-room est bien sous couverture de la connexion opérateur (carte SIM) configurée dans votre routeur 4G/5G

• Prévoir des prises électriques et des multiprises en nombre suffisant

lors d’une crise vous aurez besoin d’alimenter un nombre important d’équipements électriques : ordinateurs, chargeurs de téléphones portables, etc.

• Téléphones 

partez du postulat que si vous utilisez des téléphones IP, ils ne fonctionneront plus pendant une crise majeure– prévoyez plutôt de vérifier si la war-room est bien sous couverture des opérateurs mobiles principaux

• Moyen visuel de partager des écrans et documents

prévoyez un vidéoprojecteur ou un écran sur pied, prévoyez aussi la connectique (câble HDMI)

• Partage d’idées et de procédures

il est important que la salle contienne un paperboard, ainsi que des feutres adéquats. En effet, pendant une crise vous aurez besoin d’un moyen simple pour partager des idées ou les étapes d’un projet de remédiation – le mieux est d’avoir un outil manuel pour cela. Privilégiez un paperboard avec du papier multi-feuilles plutôt qu’un tableau effaçable, le papier a l’avantage de pouvoir se conserver et de permettre de revenir sur des sujets déjà évoqués

B – Gestion de la logistique pendant la crise

Une gestion de crise maîtrisée rime globalement avec gestion du temps et efficacité – vous devrez être prêt à gérer la logistique complète durant les évènements. Rappelez-vous un point crucial, la crise peut s’étendre pendant la nuit et ce sur plusieurs jours, la logistique doit donc pouvoir épauler les personnes se trouvant dans la war-room quel que soit l’horaire.

Voici les éléments à prévoir :

• Prévoir une personne à l’entrée de la porte afin de filtrer les accès à la war-room

la gestion de crise va occasionner une tension que l’on a du mal à imaginer tant que vous n’avez pas vécu une telle situation. Comprenez que tout le système d’information peut être arrêté et que de nombreuses personnes estimeront que c’est « leur » application ou « leur » service qu’il faudra remettre en route en premier – ces personnes viendront régulièrement perturber les opérations en cours dans la war-room, et vous devez les bloquer en filtrant l’accès. Quel que soit leur niveau hiérarchique, ces personnes devront comprendre qu’ils ne maitrisent pas les opérations et que leur intervention ne pourra que rendre les choses encore plus compliquées.

• Organiser les transports et l’hôtellerie

la gestion de crise IT nécessitera vraisemblablement l’intervention de personnes extérieures à votre organisation afin de compléter votre « task-force » interne : consultants techniques, experts IT, etc. Ces personnes peuvent venir de géographies diverses et variées, pour simplifier les choses, prévoyez d’organiser les transports et les hébergements : trains, avions, taxis, chambres d’hôtel – cela peut paraitre superflu, mais vous gagnerez en rapidité de réaction et en efficacité.

• Restauration

comme décrit plus haut, les intervenants devant résoudre la crise devront passer beaucoup de temps dans les locaux, même pendant des horaires très tardifs. Il faudra prévoir d’amener sur place la restauration afin de ne pas perdre de temps à l’extérieur. Privilégiez les repas simples et prenez en compte les allergies ou les choix alimentaires de chacun. Bien sûr, prévoyez un nettoyage régulier de l’espace de travail.

• « L’individu à tout faire »

nommez une personne dont le rôle sera de gérer ce que vous avez oublié ! Quel que soit votre niveau de préparation, vous allez oublier quelque chose, cette personne devra gérer les urgences et oublis – elle devra posséder le permis B et avoir accès à un véhicule en cas de nécessité.

C – Prévoir une version non numérique des informations IT importantes

Oui, je sais, cela peut paraitre paradoxal… Mais il faut considérer que vous n’aurez plus accès à aucun fichier pendant la crise : pas de fichier Excel avec les IPs des machines, plus de systèmes PAM pour la rotation des mots de passe, plus de fichiers Visio avec vos plans réseau, etc.

Il vous faut donc prévoir une version papier des informations importantes qui vous permettront de revenir rapidement à la normale – ces éléments papiers contiennent potentiellement des informations extrêmement confidentielles : mots de passe, numéros de téléphone, etc. vous devez donc prévoir un espace sécurisé pour les stocker, par exemple un coffre, mais en prévoyant un accès direct en cas de crise majeure.

Voici certaines des informations que vous devrez conserver au format papier :

• Mots de passe « administrateur » :

au sens large du terme, il s’agit ici de tous les mots de passe permettant d’accéder aux interfaces d’administration des outils IT qui resteront accessibles : comptes d’administration Active Directory, mots de passe locaux sur les systèmes sensibles, interfaces des routeurs, etc.

• Liste des adresses IP des machines importantes :

vous devez ici répertorier les adresses IP des machines les plus importantes, notez les adresses IP, pas les noms DNS, car l’infrastructure DNS sera peut-être inutilisable. Quelques exemples de machines importantes : Les contrôleurs de domaine, les serveurs hébergeant des applications critiques pour le business, équipements réseau, etc.

• Numéros de téléphones portables et adresses électroniques personnelles des managers :

le système de téléphonie et les emails professionnels seront vraisemblablement inaccessibles – il faudra trouver un moyen rapide et efficace pour que les managers puissent échanger entre eux, mais encore faut-il avoir conserver quelque part les informations pour un démarrage rapide de la cellule de crise et permettre les premiers échanges – vous devrez certainement avoir l’accord de ces personnes en amont pour conserver ces informations qui portent un caractère personnel

Finalement, gardez à l’esprit que vous devrez mettre à jour ces informations régulièrement, vous devrez être certain de l’exactitude des informations notées sur le papier le jour où vous en aurez besoin. N’hésitez pas à faire une re-certification mensuelle des informations conservées.

D – Contractualiser en amont avec un prestataire de réponse à incident

Vous aurez certainement besoin d’aide afin de résoudre la crise au plus vite. Certaines sociétés sont spécialisées dans les missions d’accompagnement pendant une crise IT majeure. Cela peut prendre la forme d’un accompagnement organisationnel et/ou technique. Certains prestataires gèrent la crise pour vous et sauront trouver les prestataires techniques compétents en fonction de vos besoins et de votre environnement informatique.

Il sera plus efficace de vous renseigner sur ces sociétés en amont, avant la crise, afin de contractualiser avec elles un contrat de réponse à incident que vous exercerez uniquement en cas de besoin. Il y a de bonnes chances que votre système IT achat soit complètement inutilisable pendant la crise, de plus vous aurez certainement d’autres choses à gérer que de sélectionner un prestataire, autant anticiper ces éléments.

E – Vérifier et adapter votre contrat d’assurance

Nous rentrons ici dans une partie complexe… que je vais tenter de résumer à l’extrême.

Ils existent deux types de couverture d’assurance liés aux risques informatiques :

• Contrat d’assurance multirisques professionnelle
• Contrat d’assurance cyber risque

Dans certains cas, les contrats d’assurance multirisques couvrent les incidents IT, mais il faut lire entre les lignes car très souvent la prise en couverture est dépendante de l’incident lui-même, par exemple, l’ensemble des dégâts reliés à une attaque de ransomware ne sont pas toujours couverts par ce type de contrat.

Il existe des contrats d’assurance complémentaires, dits « contrat d’assurance cyber risque » – selon les compagnies d’assurance, il est nécessaire de rajouter ce contrat pour une couverture plus complète.

A ce stade, il faut bien comprendre que les différents types de contrat ne sont pas harmonisés parmi les différentes compagnies d’assurance, il est donc très important de prendre rendez-vous avec votre assureur ou courtier afin de bien évaluer ce qui est couvert ou non par votre contrat actuel et éventuellement décider d’une acquisition d’option ou de contrat complémentaire.

De plus, je vous conseille fortement l’écoute de l’épisode du podcat « no limit secu » traitant du sujet de l’Assurance Cyber.

Encore une fois, prenez le temps d’évaluer ces éléments avant que la crise ne survienne !

Dernier conseil !

Je vous conseille finalement de lire deux documents complémentaires à cet article 

• Document de l’Institut National des Hautes Etudes de la Sécurité et de la Justice « Comment organiser une cellule de crise en cas d’attaque cyber ? » accessible sur le site du CIGREF 
• Document de l’ANSSI « ORGANISER UN EXERCICE DE GESTION DE CRISE CYBER » accessible sur le site de l’ANSSI

L’objectif de cet article n’est pas de fournir un plan exhaustif de gestion de crise (il faudrait plusieurs centaines de pages !) mais plutôt de vous donner des pistes afin d’améliorer votre niveau anticipation.

Rappelez-vous que la question n’est pas si vous allez devoir gérer une crise IT, mais quand vous devrez la gérer. Il est donc très important de vous préparer en amont afin d’être prêt quand l’évènement surviendra.

Mon dernier conseil sera autour de la « discussion » avec vos pairs : participez à des salons, consultez des webinars, lisez des articles, bref constituez-vous votre propre opinion à propos de ce que vous devez réaliser afin d’anticiper une crise majeure impactant votre système informatique.

L’échange dans les communautés numériques est une source inépuisable d’informations et de conseils, profitez-en !

Sylvain Cortes – Microsoft MVP & Security Evangelist

sylvaincortes@hotmail.com