Gestion de crise cyber : l’ANSSI s’attaque à la phase de remédiation

Restaurer au plus vite des services vitaux ? Reprendre le contrôle du SI ? En préparer une maîtrise durable ? Ces trois options font office de « fil rouge » à un corpus documentaire que prépare l’ANSSI. Sujet : la remédiation de crise cyber.

L’agence vient de lancer un appel à commentaires, ouvert jusqu’au 22 juin 2023. Au menu, trois volets : stratégique, opérationnel et technique.

Active Directory, cœur du volet technique

Le premier pose le fil rouge question sous forme de « scénarios », resitue les phases de la remédiation et fournit quelques recommandations génériques (réactivité, flexibilité, vision de long terme…).

Le deuxième volet – le plus exhaustif en l’état – aborde trois grands axes : l’élaboration du plan de remédiation, son exécution et l’éventuel recours à des prestataires. Il inclut également des check-lists correspondant aux trois scénarios.

Le troisième volet est anglé sur la reprise de contrôle du tier 0 Active Directory. C’est-à-dire du cœur de confiance contenant l’ensemble des ressources ayant un contrôle sur les identités de l’entreprise. L’ANSSI fournit, dans ce cadre, des tableaux d’actions techniques à réaliser en fonction des trois scénarios.

Cette documentation doit compléter celle déjà à disposition pour les autres activités que sont la gestion de crise, la communication de crise et l’investigation. Par exemple, la collection « Gestion de crise cyber », en trois tomes :

– Organiser un exercice de gestion de crise cyber
– Crise d’origine cyber : les clés d’une gestion opérationnelle et stratégique
– Anticiper et gérer sa communication de crise cyber

À consulter pour davantage de contexte :

Gestion de crise cyber : l’approche du Cigref en 7 chiffres
Les compétences à attendre d’un prestataire cyber
De Sasser à WannaCry, ces menaces qui ont marqué les RSSI

Illustration principale © VicenSahn – Adobe Stock