En matière de cybersécurité, se réfugier derrière les murailles que constituent les technologies de protection déployées par l'IT ne suffit plus. Il faut se préparer à affronter la crise et à s'en relever. Crise qui, d'ailleurs, peut aussi provenir d'une panne informatique, les systèmes de plus en plus complexes qui font tourner l'activité des organisations étant de plus en plus difficiles à maintenir. La gestion de crise est ainsi devenue, au fil des ans, un incontournable pour les DSI et RSSI. C'est aussi un moyen d'améliorer la prise de conscience de l'organisation, en particulier de sa direction générale, et de l'éclairer sur le rôle clef que jouent les systèmes d'information dans l'activité du quotidien.

Centrée sur la gestion des crises, notre première émission donne d'abord la parole à Bernard Gavgani, le DSI groupe de BNP Paribas. Un établissement qui consacre des moyens importants au sujet de la cybersécurité. « En moyenne, un établissement bancaire alloue au sujet entre 8 et 12% de son budget informatique, qui est lui-même considérable », indique Bernard Gavgani. 3400 collaborateurs de BNP Paribas se consacrent à la cybersécurité. Le DSI insiste sur l'importance de la préparation des crises. D'abord via une veille sur l'évolution de la menace. « L'étude des menaces, l'analyse des motivations des assaillants, la compréhension de leurs modes opératoires sont essentielles pour renforcer notre ligne de défense », dit le DSI. Mais ce dernier insiste également sur l'importance des exercices, pour simuler des crises et vérifier que les procédures prévues pour les traverser sont bien opérationnelles. « Nous avons par exemple éteint une partie de notre cloud dédié pour vérifier la continuité de nos applications. Par ailleurs, nous menons des exercices consistant à arrêter un de nos datacenters pour vérifier la bascule vers d'autres environnements techniques. Ce sont des tests réguliers, auxquels s'ajoute notre participation à des exercices de place (impliquant de nombreuses institutions financières et administrations, NDLR), en France ou ailleurs », indique Bernard Gavgani.

Visionnez l'émission du Monde Informatique et de CIO avec les témoignages de BNP Paribas, du CHU de Brest et d'InterCERT

Quand le CHU de Brest se débranche

RSSI du CHU de Brest et du GHT de Bretagne occidentale, Jean-Sylvain Chavanne revient, de son côté, sur la crise qu'il a récemment traversée, l'établissement ayant été victime d'une attaque en mars dernier. « Le 9 mars, vers 21h, je reçois un appel de l'Anssi qui m'indique que notre IP publique émettait des requêtes apparemment illégitimes vers des serveurs compromis », raconte-t-il. Un comportement que Jean-Sylvain Chavanne recoupe et qui le pousse à qualifier l'incident de critique, entraînant la décision de couper les liens reliant l'établissement à Internet. Objectif n°1 : éviter les déplacements latéraux des assaillants et une compromission plus large des systèmes d'information. Plusieurs cellules de crise - une pour l'analyse des éléments techniques et la gestion des dérogations, une autre sur les impacts médicaux et une dernière pour prioriser les actions - ont été mises en oeuvre, pour assurer le fonctionnement en mode dégradé de l'établissement, qui a duré près d'un mois au total. Avant une reprise progressive couplée à des mesures plus strictes de sécurisation, notamment sur les connexions Internet, sur l'authentification ou encore sur le contrôle des prestataires.


Informé de la compromission de ses SI, Jean-Sylvain Chavanne, RSSI du CHU de Brest, a coupé l'établissement hospitalier d'Internet pour éviter les déplacements latéraux des assaillants.

Enfin, Frédéric Le Bastard, le président d'InterCERT France, soit le réseau français des CERT, les centres d'alerte et de réaction aux incidents, insiste sur le rôle du partage d'information afin de préparer les crises, de reconnaître les techniques des assaillants et d'anticiper leurs procédures de progression pour mieux y faire face. « Lorsqu'on n'a jamais été confronté à ce genre de crise, quand elle survient, prendre les bonnes décisions peut s'avérer très compliqué. D'où l'intérêt du partage d'informations. Au sein de l'association, de nombreux membres ont déjà - malheureusement - subi cette expérience et acceptent de partager les leçons qu'ils en ont retirées », dit Frédéric Le Bastard. Pour ce dernier, un CERT est appelé à jouer un « rôle central » lors de la gestion des crises cyber au sein de son organisation : « en apportant des éléments factuels, il doit aider à éclairer la route des dirigeants et à apporter de la sérénité dans ces situations qui sont souvent assez crispées. »


Frédéric Le Bastard, président d'InterCERT France : « en apportant des éléments factuels, le CERT doit aider à éclairer la route des dirigeants lors des crises. »

Notre seconde web-conférence, également disponible sur notre plateforme Grands Thémas, se penche, elle, sur les mesures préparatoires, en particulier sur l'évaluation des risques et le renforcement de la résilience, avec les témoignages d'Oliver Wild, directeur risques et assurances de Veolia Environnement et président de l'Amrae, et de Guy Duplaquet, responsable du Réseau interministériel de l'État (RIE) au sein de la Direction interministérielle du numérique (Dinum). Dans notre espace Grands Thémas, vous pourrez également retrouver la vision d'un analyste du cabinet Forrester, des entretiens avec Jérôme Notin, directeur général de Cybermalveillance.gouv.fr, ou encore avec Jean-Luc Angibault, expert en intelligence stratégique, ainsi que des modèles de cahiers des charges.

Visionnez l'émission des rédactions du Monde Informatique et de CIO avec les témoignages de BNP Paribas, du CHU de Brest et d'InterCERT (vidéo, 1 h et 19 min.).