NIS 2 : quels sont les documents indispensables pour gérer une crise cyber ?
Avec la transposition en cours de la directive NIS 2, les entités concernées doivent dès maintenant préparer les documents qu'ils auront à utiliser pour gérer une crise cyber selon les nouvelles règles. Et pour cause, le texte européen les rend obligatoires, tout comme les "politiques" de gestion de crise cyber ou encore l'évaluation de l'efficacité de celles-ci. Aussi, comme le prévoit le projet de transposition en discussion à l'Assemblée nationale, les entités devront fournir des rapports en cas d'incident important.
Autant de documents obligatoires permettant aux entités de "rendre des comptes en amont à leurs dirigeants qui engagent désormais leur responsabilité et en aval aux régulateurs et cela encore plus en cas d'incidents", indique Guillaume Seligmann, avocat au cabinet Hoche et spécialisé en droit du digital. En outre, le projet de transposition prévoit que la consultation de ces documents peut être exigée par l'Agence nationale de la sécurité des systèmes d'information (Anssi) en cas de contrôle. Les posséder permet donc aux entités et à leurs dirigeants d'apporter les preuves qu'ils ont adopté les mesures nécessaires pour gérer une crise cyber et échapper aux sanctions.
C'est pour accompagner les entités dans leur conformité à ces nouvelles obligations que les équipes de Stéphanie Ledoux, fondatrice de la société spécialisée dans la gestion de crise Alcyconie, ont mis au point une stratégie de documentation. Celle-ci s'inspire des documents habituels de la gestion de crise, de NIS 2, de guides de l'Anssi et de référentiels de sécurité basés sur la directive et propose des documents nécessaires avant, pendant et après la crise cyber.
La politique de gestion de crise : un document primordial
Prévue par la directive, la politique de gestion de crise est un document fixant le "cadre général" qu'adopte l'entité pour gérer une crise cyber selon Stéphanie Ledoux. Il doit faire état des mesures techniques, opérationnelles et organisationnelles appropriées que l'entité s'engage à adopter en tenant compte des normes applicables en la matière. Comme l'indique la professionnelle, il est similaire à une constitution à partir de laquelle se déclinent tous les autres documents que doivent établir les organisations.
Les documents à prévoir avant la crise cyber
La directive exige des entités concernées la mise en œuvre de procédures de notification et de communication d'urgence avec tous les acteurs impliqués dans une crise cyber qu'elles doivent gérer. Cela nécessite d'établir un annuaire de crise et une cartographie des parties prenantes internes et externes à l'organisation.
Ces deux documents ont pour objectif d'identifier et de contacter le plus rapidement possible les acteurs impactés ou pouvant l'être par la crise (clients, prestataires, hiérarchie, etc.) et ceux devant être alertés comme les points de contact de la cellule de crise interne ou des autorités concernées (Commission nationale de l'informatique et des libertés, Anssi, préfectures, agences régionales de santé, etc.). Selon Stéphanie Ledoux, l'annuaire doit aussi comporter des contacts de journalistes utiles pour déployer une communication de crise. Aussi, comme le recommande l'Anssi dans son guide sur la gestion opérationnelle et stratégique d'une crise cyber, ces documents doivent être stockés hors ligne pour être toujours accessibles en cas de black-out.
En outre, afin de garantir la continuité des activités et assurer la gestion de crise dans son ensemble, Stéphanie Ledoux préconise de réaliser un schéma de qualification et de mobilisation ainsi que des fiches réflexes et outils. Ces documents ont pour objectif "de connaître la manière dont la crise doit être déclenchée et les actions à engager". C'est pourquoi le schéma de qualification et de mobilisation est le "déclenchement de la fusée permettant de passer sur le mode crise". Celui-ci contient en effet des critères objectifs définis par l'entité lui permettant de savoir si elle fait face à une crise et de connaître les procédures grâce auxquelles les instances pertinentes sont prévenues : "il s'agit de savoir qui doit être mobilisé, par quel groupe Whatsapp ou Signal, par quelle mailing list, etc."
De leur côté, les fiches réflexes et outils répertorient toutes les tâches à accomplir dans les premières heures de la crise. Par exemple, concernant les réflexes, il s'agit de "vérifier les firewalls et l'état des sauvegardes, appeler la Commission nationale de l'informatique et des libertés, etc." Concernant les outils, ils contiennent notamment des modèles de déclaration d'incidents à des autorités : "c'est ce que nous devons sortir de la pochette tout de suite", précise Stéphanie Ledoux.
Les documents à prévoir après la crise cyber
Après une crise cyber qui l'a impactée, l'organisation doit organiser un retour d'expérience (retex) permettant de "décortiquer l'événement qu'elle vient de traverser afin d'en retirer les points positifs et les points négatifs" précise Stéphanie Ledoux. La professionnelle de la gestion de crise préconise de réaliser un retex "à chaud" et un autre "à froid". Tandis que le premier s'effectue directement après la crise, se base sur des "ressentis" et "fait sortir la pression", le second effectué plus longtemps après met en valeur ce qu'il est nécessaire d'améliorer d'un point de vue organisationnel.
Ce retex à froid peut être mis en œuvre par des questionnaires individuels ou une réunion dans laquelle chacun peut s'exprimer selon des règles définies. Enfin, il fait l'objet d'un compte-rendu permettant d'alimenter les rapports obligatoires que les entités doivent fournir à l'Anssi en cas d'incidents importants, comme le prévoit le projet de loi de transposition.