Connexion
Continuité d’activité, planning de rotation, veille médiatique… Toutes ces notions sont désormais définies dans le référentiel PRIS (prestataires de réponse aux incidents de sécurité).
En toile de fond, l’intégration d’une nouvelle activité : la gestion de crise d’origine cyber. Sous le code CRISE, elle rejoint :
- Recherche d’indicateurs de compromission (REC)
- Investigation numérique (INV)
- Analyse de codes malveillants (CODE)
- Pilotage et coordination des investigations (PCI)
La gestion de crise était déjà présente dans la version précédente du référentiel (juillet 2024), mais à la marge. Essentiellement à travers une recommandation à sensibiliser les commanditaires sur la mise en place d’un tel dispositif.
Une marge de manœuvre pour déléguer
La prestation peut être effectuée indépendamment des autres – alors que, par exemple, PCI ne peut être livré sans REC et INV, eux-mêmes indissociables.
L’ANSSI laisse la possibilité de déléguer à un autre profil que le gestionnaire de crise certaines tâches d’appui :
- Retranscription et rédaction des comptes rendus de réunions
- Mise en œuvre de l’organisation de crise et des moyens (réservation de salles de réunion et de moyens logistiques, par exemple)
- Retranscription des décisions, actions et arbitrages
- Recueil des entretiens et des aspects logistiques pour la formalisation d’un éventuel retex
Elle ne recommande cependant pas que pour une même prestation qualifiée, une personne physique cumule le rôle de gestionnaire de crise avec celui d’analyste.
Se synchroniser avec l’activité PCI
En conséquence de l’intégration de cette activité dans le référentiel, les missions du pilote d’investigation (associé à PCI) évoluent. On attend désormais formellement de lui qu’il assure une cohérence avec les priorisations de gestion de crise d’origine cyber. C’est même impératif au niveau de qualification élevé (par opposition au niveau dit substantiel) : « Lorsque des opérations d’investigation et de gestion de crise d’origine cyber sont réalisées simultanément […], le prestataire doit s’assurer de la bonne synchronisation de ces opérations sur le périmètre qui l’incombe (sic). »
Le prestataire doit être capable d’aider à identifier, en amont :
- Applications, systèmes, données et périodes critiques de l’organisation
- Impacts relatifs à l’incident de sécurité et conséquences sur l’activité du bénéficiaire
- Tiers éventuels dont l’implication pourrait être nécessaire
- Principaux enjeux à court et moyen terme et obligations juridiques applicables
- Enjeux de communication de crise
Il s’agit aussi d’accompagner la préparation des dépôts de plainte et des déclarations d’incident(s) aux autorités compétentes. Tout en établissant, avec le commanditaire, les critères et indicateurs de suivi et de sortie de crise.
Retex et restitution « à chaud » au niveau élevé de qualification
Concernant l’exécution même de la prestation, quelques éléments ne s’appliquent qu’au niveau élevé de qualification.
- Limiter les objectifs stratégiques définis dans le plan d’action et les baser « sur les priorités du contexte » ; spécifier au moins un délai de mise en œuvre pour les objectifs opérationnels qui en découlent.
- Pouvoir mettre à disposition de la cellule de crise stratégique (ou équivalent) des supports d’aide à la décision.
- Prendre en compte les conséquences et impacts permettant de justifier le déroulement des actions consignées dans le registre que doit tenir le prestataire.
Le niveau élevé de qualification implique d’organiser une restitution « à chaud » à la fin de chaque journée. Et d’être capable de formaliser un retex.
Illustration © VicenSahn – Adobe Stock
The post La gestion de crise cyber consacrée dans le référentiel PRIS appeared first on Silicon.fr.
