7 Min. temps de lecture<\/p>\n
De nombreuses entreprises disposent d\u2019un plan de r\u00e9ponse aux incidents. Tr\u00e8s peu l\u2019ont jamais test\u00e9 sous pression. C\u2019est pr\u00e9cis\u00e9ment cette diff\u00e9rence qui fait la diff\u00e9rence en cas d\u2019urgence : les organisations qui testent r\u00e9guli\u00e8rement leur plan et disposent d\u2019une \u00e9quipe rod\u00e9e subissent des co\u00fbts de dommages nettement inf\u00e9rieurs \u00e0 celles dont le plan reste dans un dossier, selon IBM. Le plan, c\u2019est la th\u00e9orie ; l\u2019exercice sur table, c\u2019est la r\u00e9p\u00e9tition g\u00e9n\u00e9rale.<\/strong><\/p>\n Les points cl\u00e9s en bref<\/p>\n En lien :<\/span>Security Awareness : le taux de clics mesure l\u2019erreur<\/a> \/<\/span> Sauvegarde contre les ransomwares : 3-2-1-1-0 plut\u00f4t que 3-2-1<\/a><\/p>\n Qu\u2019est-ce qu\u2019un exercice sur table ?<\/strong> Un exercice sur table est une simulation encadr\u00e9e o\u00f9 l\u2019\u00e9quipe de crise joue un sc\u00e9nario d\u2019attaque r\u00e9aliste autour d\u2019une table, sans toucher aux syst\u00e8mes r\u00e9els. Les participants prennent des d\u00e9cisions sous pression, identifient les failles du plan de r\u00e9ponse aux incidents et s\u2019entra\u00eenent \u00e0 collaborer avant que l\u2019urgence ne les y oblige.<\/p>\n Sur le papier, un plan de r\u00e9ponse aux incidents semble parfait. Les r\u00f4les sont d\u00e9finis, les \u00e9tapes num\u00e9rot\u00e9es, les listes de contacts \u00e0 jour. Puis le t\u00e9l\u00e9phone sonne \u00e0 03h40 : la moiti\u00e9 des contacts sont en vacances, personne ne sait si la d\u00e9cision d\u2019arr\u00eater la production revient \u00e0 l\u2019astreinte ou au RSSI. C\u2019est l\u00e0 que l\u2019on voit si le plan \u00e9tait un outil ou un simple placebo.<\/p>\n La faille ne r\u00e9side rarement dans le document lui-m\u00eame, mais dans les hypoth\u00e8ses sur la fa\u00e7on dont les gens agissent sous stress. Un plan suppose des esprits clairs, des interlocuteurs disponibles et des responsabilit\u00e9s pr\u00e9cises. La r\u00e9alit\u00e9 offre l\u2019inverse. Un exercice comble cette faille, car il g\u00e9n\u00e8re pr\u00e9cis\u00e9ment les frictions que le document ignore.<\/p>\n Les enseignements les plus pr\u00e9cieux d’un exercice sur table ne figurent dans aucun plan. Qui a le droit d’arr\u00eater la production sans attendre trois niveaux d’escalade ? Qui parle \u00e0 l’autorit\u00e9 de surveillance, qui s’adresse \u00e0 la presse, et qui les emp\u00eache de se croiser ? \u00c0 partir de quand un incident informatique devient-il un sujet pour la direction ? Ces questions se r\u00e9solvent en quelques minutes lors d’une simulation, mais elles co\u00fbtent des heures en cas d’incident r\u00e9el, pendant lesquelles les d\u00e9g\u00e2ts continuent de s’aggraver.<\/p>\n Un bon exercice r\u00e9unit en outre les bonnes personnes autour d’une table, qui ne se rencontrent jamais autrement : s\u00e9curit\u00e9 informatique, service juridique, communication, ressources humaines et direction g\u00e9n\u00e9rale. En cas d’urgence, ces fonctions doivent collaborer en quelques minutes. Si elles se coordonnent pour la premi\u00e8re fois lors de l’exercice, c’est d\u00e9j\u00e0 un grand pas de franchi, bien avant qu’un attaquant ne se manifeste sur le r\u00e9seau.<\/p>\n Au fil de nombreux exercices, les m\u00eames faiblesses se r\u00e9p\u00e8tent. Premi\u00e8rement, l’autorit\u00e9 d\u00e9cisionnelle : personne n’ose prendre seul une d\u00e9cision co\u00fbteuse, alors elle remonte la hi\u00e9rarchie et fait perdre du temps. Deuxi\u00e8mement, la communication externe, soumise \u00e0 des d\u00e9lais dans le cadre de NIS2 et pourtant souvent laiss\u00e9e dans le flou. Troisi\u00e8mement, la d\u00e9pendance \u00e0 l’\u00e9gard de certaines personnes, dont le savoir n’est d\u00e9tenu par personne d’autre.<\/p>\n S’ajoute \u00e0 cela l’interface avec la reprise d’activit\u00e9. Une cellule de crise peut communiquer de mani\u00e8re irr\u00e9prochable et \u00e9chouer malgr\u00e9 tout si la sauvegarde n’a jamais \u00e9t\u00e9 test\u00e9e en conditions r\u00e9elles de restauration<\/a>. C’est pourquoi l’exercice sur table et le test de restauration vont de pair : l’un v\u00e9rifie les d\u00e9cisions, l’autre v\u00e9rifie si la technique peut r\u00e9ellement les soutenir. Les voies de signalement depuis les \u00e9quipes<\/a> doivent \u00e9galement figurer dans le m\u00eame sc\u00e9nario.<\/p>\n En Allemagne, la communication de crise est soumise \u00e0 un d\u00e9lai strict. NIS2 impose aux \u00e9tablissements concern\u00e9s de d\u00e9clarer un incident significatif au BSI dans les 24 heures suivant sa d\u00e9tection, suivie d’une d\u00e9claration plus d\u00e9taill\u00e9e sous 72 heures. Si, durant ce laps de temps, on commence seulement \u00e0 clarifier qui est autoris\u00e9 \u00e0 d\u00e9clarer et quelles informations doivent figurer dans la d\u00e9claration, le d\u00e9lai est g\u00e9n\u00e9ralement d\u00e9j\u00e0 d\u00e9pass\u00e9. Un exercice sur table int\u00e9grant une horloge de d\u00e9claration rend ces 24 heures tangibles.<\/p>\n S’ajoute \u00e0 cela la cellule de crise en tant qu’instance. Dans de nombreuses entreprises du DACH, elle existe sur le papier, mais ne s’est jamais r\u00e9unie. La cod\u00e9termination entre en jeu d\u00e8s que des donn\u00e9es personnelles ou des cons\u00e9quences en droit du travail sont en jeu. Si l’on r\u00e9unit ces acteurs pour la premi\u00e8re fois en situation r\u00e9elle, on perd un temps que le d\u00e9lai de d\u00e9claration ne permet pas.<\/p>\n Le d\u00e9marrage ne n\u00e9cessite pas un environnement de simulation co\u00fbteux. Un sc\u00e9nario r\u00e9aliste suffit, comme une infection par ransomware avec chiffrement des syst\u00e8mes de production, un animateur et deux heures avec les bonnes fonctions dans la salle : s\u00e9curit\u00e9 informatique, service juridique, communication, ressources humaines et un membre de la direction g\u00e9n\u00e9rale. Le sc\u00e9nario est escalad\u00e9 \u00e9tape par \u00e9tape, chaque d\u00e9cision est prise \u00e0 voix haute et consign\u00e9e. \u00c0 la fin, il n’y a pas de note, mais une liste des lacunes que le plan n’a pas couvertes. Cette liste est le v\u00e9ritable r\u00e9sultat. En la traitant et en affinant le processus lors de deux \u00e0 trois exercices par an, le plan dans le dossier se transforme en une capacit\u00e9 op\u00e9rationnelle en cas d’urgence.<\/p>\n En r\u00e8gle g\u00e9n\u00e9rale, deux \u00e0 trois fois par an, compl\u00e9t\u00e9s apr\u00e8s des changements majeurs dans les syst\u00e8mes, l’organisation ou la r\u00e9glementation. Plus importante que la fr\u00e9quence pure est la finalisation de chaque exercice par une liste de lacunes, et que cette liste soit trait\u00e9e avant le prochain exercice. Ainsi, l’entra\u00eenement devient un cycle d’am\u00e9lioration continue plut\u00f4t qu’une simple formalit\u00e9.<\/p>\n Un exercice sur table \u00e9value les d\u00e9cisions, les r\u00f4les et la communication autour d’une table, sans intervenir dans les syst\u00e8mes. Un test d’intrusion examine la vuln\u00e9rabilit\u00e9 technique des syst\u00e8mes eux-m\u00eames. Les deux se compl\u00e8tent : le pentest montre comment un attaquant p\u00e9n\u00e8tre, tandis que l’exercice sur table r\u00e9v\u00e8le si l’organisation ma\u00eetrise l’incident par la suite.<\/p>\n Plus que la seule informatique. Outre la s\u00e9curit\u00e9 IT, le service juridique, la communication d’entreprise, les ressources humaines et un membre de la direction doivent \u00eatre pr\u00e9sents. C’est pr\u00e9cis\u00e9ment \u00e0 ces interfaces que surviennent, en cas d’urgence, les retards co\u00fbteux \u2013 et c’est justement cette collaboration qui ne peut s’exercer qu’ensemble.<\/p>\n La NIS2 impose aux \u00e9tablissements concern\u00e9s de signaler un incident significatif au BSI dans les 24 heures suivant sa d\u00e9tection. Un exercice int\u00e9grant une horloge de d\u00e9claration garantit qu’en cas d’urgence, il est clair qui d\u00e9clare, ce qui est d\u00e9clar\u00e9 et \u00e0 quel moment le compte \u00e0 rebours commence.<\/p>\n La liste des lacunes mises au jour. Un bon sentiment ne constitue pas une pr\u00e9paration. Un exercice qui ne r\u00e9v\u00e8le aucune faille \u00e9tait g\u00e9n\u00e9ralement trop simple. La valeur na\u00eet seulement lorsque les lacunes sont combl\u00e9es par la suite et que le prochain exercice aborde un sc\u00e9nario plus exigeant.<\/p>\n Lectures recommand\u00e9es par la r\u00e9daction<\/p>\n Plus d’articles du r\u00e9seau MBF Media<\/p>\n\n
Le plan dans le dossier face \u00e0 03h40<\/h2>\n
Ce que r\u00e9v\u00e8le vraiment l’exercice<\/h2>\n
Les lacunes qui reviennent syst\u00e9matiquement<\/h2>\n
Le facteur DACH : NIS2 acc\u00e9l\u00e8re le compte \u00e0 rebours<\/h2>\n
Comment r\u00e9ussir le premier exercice dans les 90 prochains jours<\/h2>\n
Foire aux questions<\/h2>\n
\u00c0 quelle fr\u00e9quence faut-il tester un plan de r\u00e9ponse aux incidents ?<\/h3>\n
Qu’est-ce qui distingue un exercice sur table d’un v\u00e9ritable test d’intrusion ?<\/h3>\n
Qui doit participer \u00e0 un exercice sur table ?<\/h3>\n
Quel r\u00f4le joue la NIS2 dans l’exercice de r\u00e9ponse aux incidents ?<\/h3>\n
Quel est le r\u00e9sultat le plus important d’un exercice ?<\/h3>\n
\n