Cybersécurité : l’ANSSI met en place des supports pratiques pour s’exercer à la gestion de crise

17.11.2023

Le 14 octobre, l’Agence nationale de sécurité des systèmes d’information (ANSSI) a annoncé la mise en place d’un guide et de kits sectoriels « prêts à l’emploi » pour organiser des exercices de gestion de crise cyber.

Dans son effort d'amélioration de la cybersécurité de l'ensemble de l'écosystème économique français, l'ANSSI insiste sur l'importance de l'anticipation des crises et met en place ces outils pour encourager et faciliter l'organisation des exercices dans tout type de structures.

Animer, jouer, observer

Des premiers kits à l’usage des collectivités territoriales sont déjà en ligne et pensés sur un modèle qui devrait être décliné pour les acteurs d’autres secteurs d’activité. Ils permettent de réaliser effectivement un exercice de gestion de crise à l’aide de « scénarios présent[ant] les problématiques clés » des collectivités territoriales en cas de crise, précise l’Agence.

Les kits sont composés de 4 parties :

Un kit animateur/planificateur : ce kit permet à tout animateur (interne ou externe) de pouvoir animer l’exercice au sein de la structure.
Un kit joueur : ce kit comporte les règles du jeu, les fiches de bonnes pratiques, ainsi qu’un glossaire pour permettre aux participants de se familiariser avec les concepts. Il doit être partagé avec eux en amont de l’exercice.
Un kit observateur : ce kit permet d’appréhender au mieux le rôle d’observateur et propose un modèle de grille d’observation.
Un chronogramme : ce chronogramme prend la forme d’un tableau qui, ligne par ligne, décrit tout le déroulement chronologique de l’exercice du début (DEBEX) à la fin (FINEX). Il précise également les modalités de transmission des « stimuli » (mail, appel téléphonique, SMS, etc.) et les réactions attendues des joueurs afin de définir et de cadrer les actions directement jouées par les joueurs et celles simulées par l’équipe d’animation ».

Mener un exercice adapté à son entreprise

Les kits sont adaptés en fonction de trois niveaux dépendant de la maturité d’une entreprise sur l’exercice en question. Elle pourra ainsi être orientée vers :

la réalisation d’un exercice sur table (niveau 1),
l’organisation d’une simulation de crise (niveau 2),
ou la conduite d’une simulation avancée (niveau 3).

Un guide est également disponible pour faciliter l’organisation de ces différents exercices.

L’Agence propose aussi un outil d’auto-évaluation du niveau de maturité des organisations permettant leur correcte utilisation des différents kits. Il consiste en un questionnaire (de 57 questions) portant sur cinq thématiques relatives aux différents aspects des crises à gérer :

la gouvernance et les interactions entre les équipes mobilisées,

le processus et l’outillage,
la communication de crise et les relations externes,
la détection et la réponse à incidents,
la continuité d’activité et la reconstruction ».

Réaliser cette auto-évaluation permet ainsi de savoir quel type d’exercice mener.

Enfin, l'ANSSI souhaite construire une compréhension globale de la maturité des organisations et invite les acteurs qui le souhaitent à lui transmettre les résultats de leur test.

Cybersécurité : l’ANSSI met en place des supports pratiques pour s’exercer à la gestion de crise

Le 14 octobre, l’Agence nationale de sécurité des systèmes d’information (ANSSI) a annoncé la mise en place d’un guide et de kits sectoriels « prêts à l’emploi » pour organiser des exercices de gestion de crise cyber.

Cybersécurité : l’ANSSI met en place des supports pratiques pour s’exercer à la gestion de crise

Le 14 octobre, l’Agence nationale de sécurité des systèmes d’information (ANSSI) a annoncé la mise en place d’un guide et de kits sectoriels « prêts à l’emploi » pour organiser des exercices de gestion de crise cyber.