Gestion de crise cyber : les exercices sectoriels de l'ANSSI

Collectivités territoriales et enseignement supérieur sont les deux premiers publics auxquels l’ANSSI propose des kits d’exercice de gestion de crise cyber.

Comment jauger son niveau de préparation à la gestion de crise cyber ? Par exemple, en utilisant l’outil d’autoévaluation intégré cet été dans la boîte à outils de l’ANSSI.

L’agence recommande de passer par là avant de s’adonner aux exercices sectoriels qu’elle commence à mettre à disposition. Les premiers visent les collectivités territoriales et les établissements d’enseignement supérieur et de recherche.

En fonction du niveau de préparation, on organisera des exercices sur table ou des simulations.
Avec la première option, il s’agira, entre autres, d’aborder la définition d’un schéma d’alerte, la mobilisation d’une cellule de crise décisionnelle ou la construction d’une stratégie de com.
Le deuxième format permet de tester, par exemple, les procédures de continuité d’activité ou le lien entre les cellules de crise décisionnelle et opérationnelle. On peut opter pour une version « avancée », avec une mise en situation sur plusieurs jours, et toucher alors aux mesures de reconstruction ou à la relation avec l’écosystème.

Les exercices sur table se présentent sous la forme d’un jeu de slides utilisables telles quelles mais aussi adaptables. Les participants sont invités à se positionner dans une cellule de crise, avec un fil conducteur : quelles actions mener prioritairement et comment les répartir ?

Ransomware inclus

Le scénario « clés en main » pour les collectivités territoriales implique une commune de 10 000 habitants. Elle se trouve dans une région où des homologues ont déjà subi des cyberattaques. Les élections municipales ont lieu dans trois mois. Les vacances d’été approchant, beaucoup d’administrés renouvellent leurs papiers d’identité.

Le scénario progresse au gré d’une douzaine de « stimuli ». Dans un premier temps, certains employés de la mairie tombent sur un message annonçant que tous leurs fichiers ont été chiffrés. Puis plusieurs services signalent ne plus avoir accès à leur messagerie ni à leurs dossiers paragés. Le service de l’état civil et celui des inscriptions administratives rapportent ensuite tour à tour qu’ils n’ont plus accès à leurs outils d’enregistrement.

Consolider, protéger et valoriser vos données : RDV au Silicon Day le 30 novembre !

Silicon.fr vous invite pour une matinée d’échanges autour des projets d’analyse de données et de services cloud.
Au programme : des retours d’expérience de migrations d’applications vers le cloud, des interactions avec des bâtisseurs et les intégrateurs de solutions pour consolider, protéger et valoriser vos données numériques.
Venez partager vos réflexions et vos retours d’expérience, rendez-vous le le 30 novembre en matinée, à la maison des Polytechniciens (Paris 7e).

Inscrivez-vous gratuitement ici

Plusieurs habitants de la commune commentent alors la situation sur les réseaux sociaux. Du côté du service de gestion des ordures ménagères, on doit organiser les tournées à la main, faute d’accès au logiciel de gestion. L’attaque par ransomware est finalement confirmée : 90 % du parc Windows bloqué, des sauvegardes datant de 48 heures sont disponibles chez un presta. France 3 Régions signale au service communication que le journal de midi ouvrira sur la cyberattaque. Le groupe d’attaquants finit par menacer de publier des données à moins de recevoir un paiement de 10 bitcoins.

Le CERT-FR, averti ou ayant eu vent de l’attaque, joint les équipes techniques. Il souhaite notamment savoir si la mairie reçoit l’aide d’un prestataire. Dans la foulée, un administré, que l’attaquant a menacé sur une messagerie perso, signale être victime d’un vol de données personnelles et reproche à la commune un défaut de sécurisation. Un média national finit par prendre contact avec le service com… et indique que l’opposition devrait lui donner une interview. La préfète demande par ailleurs au maire de lui faire un point de situation…

La simulation « avancée » repose sur un conducteur horodaté. Tout commence, le jour J, par l’envoi d’un mail à la DSI. Expéditeur : le standard, qui signale ne plus avoir accès à l’application de prise de rendez-vous…

Le kit d’exercices à destination des ESR reprend pour l’essentiel le scénario ransomware appliqué aux collectivités.

Lire aussi : À trois mois des JO 2024, le rappel cyber de l’ANSSI