Académique Documents
Professionnel Documents
Culture Documents
► 1. Introduction
3
Introduction
Gérer une crise efficacement se prépare en amont
4
Introduction
La gestion de crise est axée sur trois piliers
Une organisation
(cellules de crise décisionnelles,
cellules de crise opérationnelles,
rôles et responsabilités…)
Contexte :
Au sein d’un groupe bancaire, vous êtes responsable de
la sécurité de la banque en ligne Client 1
A vous de jouer :
Quels sont les impacts potentiels d’un tel événement pour la banque et ses clients ?
Comment vous organisez-vous pour résoudre cette crise ?
6
Agenda
1. Introduction
► 2. Les dispositifs de gestion de crise
2. 1 Une organisation
2. 2 Des processus
2. 3 Des moyens
2. 4 Exemple de gestion de crise : la Crue de Seine
7
Les dispositifs de gestion de crise : une organisation
Modèle d’organisation de crise
Membres permanents
Cellule de Crise
Membres de la Direction sollicités selon la
Décisionnel
Décisionnelle
nature de la crise, et/ou les Métiers sinistrés
Experts des Métiers ou Fonctions d’appui
Com- RH et pouvant être sollicités par la Cellule de Crise
munication Juridique Décisionnelle
Moyens
IT
Généraux
IT
Généraux Cellule(s) de crise opérationnelle(s) Métier(s)
Cellule de Crise
Opérationnelle Cellule(s) de crise opérationnelle(s) Moyens
Généraux
Métiers
Maitriser les interfaces de communication internes (Communication faite par le directeur général, par le management
de proximité, etc.)
Maitriser les interfaces de communication externes (Communication presse, site web, etc.)
10
Agenda
1. Introduction
► 2. Les dispositifs de gestion de crise
2. 1 Une organisation
2. 2 Des processus
2. 3 Des moyens
2. 4 Exemple de gestion de crise : la Crue de Seine
11
Les dispositifs de gestion de crise : des processus
Le processus de gestion de crise se décline en quatre phases
Déclenchement de Fin de
la crise la crise
Détection et Sortie de
Qualification Déclenchement et traitement
Alerte crise
12
Les dispositifs de gestion de crise : des processus
Processus – exemple de la détection d’un incident SI : détection et alerte
Détection
1
Acteurs Détection de Détection de Détection de
opérationnels l’incident par un l’incident par un l’incident par un
utilisateur externe acteur interne prestataire
2
Pré-diagnostic du
Appel au Helpdesk Pré-diagnostic par Fiche pré-diagnostic
prestataire en
et pré-diagnostic l’acteur interne
interne
Responsable de
Remontée au responsable de domaine
domaine
13
Les dispositifs de gestion de crise : des processus
Processus – exemple de la détection d’un incident SI : qualification
Qualification
Oui
4
Qualification de Non
Responsable de l’incident Fiche Diagnostic
domaine Aggravation de
la situation ?
Incident Traitement de
Responsable de Non
domaine
grave ? l’incident hors
gestion de crise et
Oui
suivi de l’évolution
5
Alerte du
responsable* de
Responsable de coordination Cellule Annuaire de crise
domaine de crise
Décisionnelle de
son périmètre
Oui
6
Responsable de Accusé de réception
coordination et analyse de la
Cellule de crise situation
Décisionnelle alerté
14
Les dispositifs de gestion de crise : des processus
Processus – exemple de la détection d’un incident SI : diagnostic de la crise
15
Les dispositifs de gestion de crise : des processus
Processus – exemple de la détection d’un incident SI : déclenchement
Déclenchement
Oui
6 Non
Analyse de la
Aggravation de
Responsable de situation Fiche Diagnostic
la situation ?
coordination
Cellule de crise Risque Traitement de
Non
Décisionnelle de crise ? l’incident hors
alerté gestion de crise et
Oui suivi de l’évolution
7
Alerte du
Directeur de crise*
* Ou de son
Directeur suppléant
joignable ? Non
Oui
8
Directeur de crise Accusé de réception
Crise
avérée ? Non PV de déclenchement de
crise
Oui
9 Annuaire de crise
Directeur de crise Activation de la CD
Responsables de 10
coordination Activation de la CO
Cellule
Décisionnelle
16
Les dispositifs de gestion de crise : des processus
Processus – exemple de la détection d’un incident SI : traitement
Traitement
11
Validation des
Proposition de plan
CO et CD d’action par la CO
orientations par la CD et
envoi relevé de décisions
12
Lancement des actions
du plan défini
CO Modèle de relevé de
13 décision CD
Point de situation par la
CO à la CD Modèle de reporting CO
14
Journal de bord CD
CD Analyse de la situation
par la CD
Oui
Besoin de revue du
plan d’action?
Non
Oui
17
Les dispositifs de gestion de crise : des processus
Processus – exemple de la détection d’un incident SI : sortie de crise
Sortie de crise et Retour d’expérience
15
16
Réalisation d’un
CO et CD bilan « à chaud » de
la crise
Rex de crise
17
Ensemble des Bilan final « à froid »
acteurs de la crise de la crise
18
Suivi des actions
RSSI correctives et
préventives
18
Agenda
1. Introduction
► 2. Les dispositifs de gestion de crise
2. 1 Une organisation
2. 2 Des processus
2. 3 Des moyens
2. 4 Exemple de gestion de crise : la Crue de Seine
19
Les dispositifs de gestion de crise : des moyens
Exemple de moyens
Des moyens de
communication Téléphone(s) Ordinateur(s)
Audioconf. Fax Mobiles Accès réseau(x)
De la
documentation… Annuaire Procédures (diagnostic,
de crise journal de bord…)
20
Les dispositifs de gestion de crise : des moyens
Exemple de documentation de crise
Pour chaque étape, des documents doivent être disponibles pour servir de support à la gestion de crise.
Ils sont consignées dans un classeur de crise mis à disposition des cellules de crise DSI.
Activation
Détection du Conduite Sortie de
Veille Alerte Analyse Activation CD Gestion de crise
sinistre des actions crise et Rex
PCI
Fiche Pré-
Fiche diagnostic
diagnostic
Annuaire de crise
Point de
situation CO
Légende : Documentation
21
Agenda
1. Introduction
► 2. Les dispositifs de gestion de crise
2. 1 Une organisation
2. 2 Des processus
2. 3 Des moyens
2. 4 Exemple de gestion de crise : la Crue de Seine
22
Exemple de gestion de crise : la Crue de Seine
Des impacts importants sur l’ensemble des réseaux en Île de France…
Transport routier :
Jusqu’à
Télécommunications : • 100% des ponts à Paris et en
Petite Couronne seront
Réseau potentiellement coupé compte
tenu des coupures de l’alimentation
électrique
58
milliards d’€ de
inaccessibles
• Les autoroutes A86, A4 et A6
coupées à certains endroits
dégâts • Engorgement des voies de
circulation
Energie :
Eau potable :
40% des clients ne seraient plus Assainissement :
5 000 000 de personnes seraient
alimentés par le chauffage urbain Les égouts débordent et
privées d’eau potable et 1 300 000
De nombreux centres de distribution l’élimination des déchets
de personnes subiraient une
d’hydrocarbures sont inondés ménagers est rendue très
dégradation de qualité de l’eau
difficile
Un dispositif spécifique
Des impacts forts et rapides
pour ce scénario de crise
Pilotage :
Repli de la cellule de crise et
Traitement de l’alerte, Convocation de la cellule de de la remise en état des
déclenchement et
Gestion de crise Veille sur l’évolution de la crise pour analyse et infrastructures
orchestration du
situation coordination de la reprise des
repli des effectifs clés
activités essentielles
Mémento
Mémento de crise
de crise
SI
« Qui fait quoi ? »
Repli de l’informatique
Journal
Journal de de crise
crise
Moyens logistiques :
• Salle dédiée
• Communication : messagerie et téléphonie habituelles
• Restauration / Hébergement
4m
Phase 1
2m
5/5 Détail
Réseaux et services
Source : dépêches AFP
Annonces & instructions des pouvoirs publics
Source : dépêches AFP
30 000 foyers
Électricité sans électricité « Les habitants des Hauts de Seine invités à
03/02/2014 – 14:36
limiter leurs déplacements »
Énergie …
Eau potable …
02/02/2014 – 19:24 …
Télécommunications …
1. Introduction
2. Les dispositifs de gestion de crise
► 3. S'entraîner avec des exercices de gestion de crise
3. 1 Comment préparer l'exercice ?
3. 2 Attaque informatique : un exercice de gestion de crise cybercriminalité
… à la pratique
S’assurer de
Présenter le dispositif Faire s’approprier le Introduire de nouvelles
l’appropriation
Impliquer les acteurs dispositif aux acteurs crises
Améliorer le dispositif
Prise de conscience de Manipuler / Connaître le Faire évoluer les process
Se rapprocher d’une crise
la problématique dispositif / l’organisation
réelle(stress…)
PLAN 1
Définition des
objectif et
construction du
scénario
4 2
ACT DO
Amélioration du Conduite de
dispositif l’exercice
3
CHECK
Bilan et axes
d’amélioration
Document dans lequel est restitué de façon précise et Document dans lequel est restitué de façon précise et
complète le déroulement de l’exercice par complète le déroulement de l’exercice par
l’observateur l’observateur
Participants
Cellule de crise réels
Observateur
Coordination Animateurs
Responsable
Cellule d’animation d’une entité Journaliste Autres fonctions
simulées
Un bilan de l’exercice: établir des constats et identifier des axes d’amélioration Check
1 2 3 Amélioration
Bilan à chaud Bilan à froid
du dispositif
Collecter, partager et
confronter des Formaliser les Continuer à maintenir,
perceptions des conclusions finales de entraîner et améliorer
participants sur le l’exercice le dispositif de gestion
déroulement de Définir un plan d’action de crise quelles que
l’exercice en vue pour faire évoluer le soient les conclusions
d’aboutir à des premiers dispositif du bilan.
constats
1. Introduction
2. Les dispositifs de gestion de crise
► 3. S'entraîner avec des exercices de gestion de crise
3. 1 Comment préparer l'exercice ?
3. 2 Attaque informatique : un exercice de gestion de crise cybercriminalité
Travailler sur la détection et la qualification La SSI souhaite vérifier que l’équipe ciblée sait
d’un incident technique en « incident de différencier incident de sécurité et incident
sécurité » d’exploitation
Un pirate prend le contrôle d’un poste A partir du poste piraté, le pirate interagit
1 2
d’un administrateur métier avec un des serveurs métier administré
Un utilisateur
On crée les supprime
un répertoire « Secret »:sur
Pasle de réaction…
bureau des postes cibles…
Quelques utilisateurs
On stimule le voient
déclenchement l’alerte
d’alerte : Pas de réaction…
anti-virus…
On crée desne
Personne voit les
dossiers fichiers : Pas
« Anonymous » etde réaction !» sur le bureau…
« TOPSecret
On stimule utilisateurs
Quelques le déclenchement
voientde
les
multiples
alertes alertes
: Pas deanti-virus…
réaction !!
On redémarre
Les utilisateurs
lescommencent
postes cibles à discuter…
distance…
L’incident
On applique
estunenfin
fondqualifié
d’écran et
Anonymous
remonté correctement
à distance… !
L’utilisateur
On ne voit
crée un répertoire rien…
« Secret » sur un serveur contenant des données métiers
!
L’utilisateur
On appelle pour supprime
signaler les les fichiers
répertoires : pas de
suspects sur remontée d’alerte
le serveur dont !
il s’occupe
!!
On appelle pourprévient
L’utilisateur signaler l’existence
son manager…
de logs impliquant sa
responsabilité
!!!
On appelle pour signaler des actions inattendues et graves
L’utilisateur remonte l’alerte…
sur certains processus du serveur à partir de son compte
Réaction et Les utilisateurs ont eu certains bons Une partie des actions menées est
application des réflexes face aux attaques (regarder contraire aux bonnes pratiques
bonnes pratiques les logs de connexions, investiguer sur (suppression de fichiers impliquant la
sécurité l’incident) suppression de certaines traces utiles)
Deux attitudes…
Anticipation Entrainement
Contact
Raphaël BRUN
Consultant senior