Tlpclear - Anssi - Questionnaire D - Evaluation A La Maturite en Gestion de Crise Cyber - v1.0.2

Guide utilisateur
Condition d'évaluation
Afin de remplir le questionnaire dans les meilleures conditions, nous vous recommandons de procéder
déroulé lors d’ateliers avec les parties prenantes impliquées dans les processus de gestion de crise cyb
votre organisation, tant du point de vue stratégique qu’opérationnel (ex. RSSI, membres de la cellule st
SOC, équipes techniques etc.).
Pour chaque question, vérifiez si vous possédez des preuves attestant de votre réponse et n’hésitez pa
servir de la colonne « Commentaires » pour procéder à d’éventuels renvois.
Nous vous recommandons de réserver au moins 3 heures pour la complétion du questionnaire afin de
assurer de la justesse des notes que vous vous attribuez.
Présentation du questionnaire de maturité
Le présent questionnaire est fondé sur le guide publié par l’ANSSI en partenariat avec le CDSE en déc
2021, intitulé Crise d’origine cyber, les clés d’une gestion opérationnelle et stratégique.
Ce questionnaire reprend l’essentiel des recommandations du guide sous la forme de questions, auxqu
attachées quatre niveaux de maturité. Ces questions ont été regroupées en cinq thématiques générale
- Gouvernance et interactions entre équipes mobilisées
- Processus et outillage
- Communication de crise et relations externes
- Détection et réponse à incidents
- Continuité d'activité et reconstruction
Ce questionnaire est composé de 3 onglets :
- Onglet « Questionnaire d’évaluation »

Dans cet onglet, l’utilisateur du questionnaire auto-évalue la maturité de son organisation. Pour l’aider d
notation, 4 niveaux de maturité (0-1-2-3) ont été définis et exemplifiés d’activités et/ou d’outils attendus
de ces niveaux. L’utilisateur s’attribue une note entière allant de 0 à 3 dans la colonne « Note » de la fe
l’aide de la colonne « Preuves » qui indique les documents pouvant justifier la réponse. La colonne «
Commentaire » pourra servir à justifier les notes auto-évaluées en cas de relecture.
- Onglet « Résultat global »

Les notes sont consolidées et arrondies au dixième le plus proche dans la feuille « Résultat global ». V
retrouvez :
» Une note globale, reprenant la moyenne de l’ensemble des notes attribuées par l’utilisateur pour tout
questions ;
» Une note détaillée pour les différentes temporalités de la crise (en préparation et en réaction) ;
» Une note détaillée pour les 5 thématiques définis plus haut ;
» Une note détaillée pour chaque fiche du guide avec une appréciation selon la note.
- Onglet « Recommandations »
La feuille « Recommandations » reprend la note attribuée sur chaque question par l’utilisateur et propo
actions du niveau de maturité supérieur afin de donner des pistes d’amélioration. Pour certaines questi
trouverez des ressources supplémentaires pour vous accompagner dans la colonne « Outils / Accéléra
vous redirige vers des guides thématiques.
L’évaluation que vous allez réaliser vous permettra d’identifier les forces et points d’amélioration de vos
de gestion de crise et d’avoir une vision directe et concrète des actions que vous pouvez mettre en plac
vous permettre de mieux vous préparer à l’éventualité d’une crise cyber.
- Détection et réponse à incidents
- Continuité d'activité et reconstruction
Ce questionnaire est composé de 3 onglets :
- Onglet « Questionnaire d’évaluation »

Dans cet onglet, l’utilisateur du questionnaire auto-évalue la maturité de son organisation. Pour l’aider d
notation, 4 niveaux de maturité (0-1-2-3) ont été définis et exemplifiés d’activités et/ou d’outils attendus
de ces niveaux. L’utilisateur s’attribue une note entière allant de 0 à 3 dans la colonne « Note » de la fe
l’aide de la colonne « Preuves » qui indique les documents pouvant justifier la réponse. La colonne «
Commentaire » pourra servir à justifier les notes auto-évaluées en cas de relecture.
- Onglet « Résultat global »

Les notes sont consolidées et arrondies au dixième le plus proche dans la feuille « Résultat global ». V
retrouvez :
» Une note globale, reprenant la moyenne de l’ensemble des notes attribuées par l’utilisateur pour tout
questions ;
» Une note détaillée pour les différentes temporalités de la crise (en préparation et en réaction) ;
» Une note détaillée pour les 5 thématiques définis plus haut ;
» Une note détaillée pour chaque fiche du guide avec une appréciation selon la note.
- Onglet « Recommandations »
La feuille « Recommandations » reprend la note attribuée sur chaque question par l’utilisateur et propo
actions du niveau de maturité supérieur afin de donner des pistes d’amélioration. Pour certaines questi
trouverez des ressources supplémentaires pour vous accompagner dans la colonne « Outils / Accéléra
vous redirige vers des guides thématiques.
L’évaluation que vous allez réaliser vous permettra d’identifier les forces et points d’amélioration de vos
de gestion de crise et d’avoir une vision directe et concrète des actions que vous pouvez mettre en plac
vous permettre de mieux vous préparer à l’éventualité d’une crise cyber.
Abréviations pertinentes
Sigle FR Sigle EN Signification
AND NDA Accord de non-divulgation
ANSSI / Agence nationale de la sécurité des systèmes d'information
/ AD Active Directory
BDGC CMDB Base de données de gestion de configuration
CNIL / Commission nationale de l'informatique et des libertés
/ CTI Connaissance de la menace cyber (Cyber Threat Intelligence)
DMIA RTO Durée maximum d'interruption d'activité
/ DNS Systèmes de noms de domaines
GDC CM Gestion de crise
IGC PKI Infrastructures de gestion des clés
PDMA RPO Perte de données maximale admissible
PCA BCP Plan de continuité d'activité
PRA DRP Plan de reprise d'activité
/ RACI Matrice "Responsible, Accountable, Consulted, Informed"
RETEX / Retour d'expérience
RH HR Ressources humaines
RSSI CISO Responsable de la Sécurité des Systèmes d'Information
TAMT MTD Temps d'arrêt maximal tolérable
SI IS Système d'information
TI IT Technologies de l'information
TRD WRT Temps de récupération des données
recommandons de procéder à son
essus de gestion de crise cyber de
SSI, membres de la cellule stratégique,
votre réponse et n’hésitez pas à vous

s.
ion du questionnaire afin de vous
turité
enariat avec le CDSE en décembre

stratégique.
la forme de questions, auxquelles sont

n cinq thématiques générales :
on organisation. Pour l’aider dans sa

tivités et/ou d’outils attendus à chacun
s la colonne « Note » de la feuille, à
er la réponse. La colonne «
relecture.
feuille « Résultat global ». Vous
ées par l’utilisateur pour toutes les
ration et en réaction) ;
on la note.
stion par l’utilisateur et propose les

oration. Pour certaines questions, vous
a colonne « Outils / Accélérateurs », qui
t points d’amélioration de vos processus

e vous pouvez mettre en place pour
on organisation. Pour l’aider dans sa
tivités et/ou d’outils attendus à chacun
s la colonne « Note » de la feuille, à
er la réponse. La colonne «
relecture.
feuille « Résultat global ». Vous
ées par l’utilisateur pour toutes les
ration et en réaction) ;
on la note.
stion par l’utilisateur et propose les

oration. Pour certaines questions, vous
a colonne « Outils / Accélérateurs », qui
t points d’amélioration de vos processus

e vous pouvez mettre en place pour
s d'information
reat Intelligence)
d, Informed"
ID THEMATIQUE VOLET PREPARATION
Gouvernance et interactions entre équipes mobilisées
FICHE 4 : ADAPTER SON

Gouvernance et
ORGANISATION DE
1.1 interactions entre STRATEGIQUE
CRISE AU SCENARIO
équipes mobilisées
CYBER
Gouvernance et FICHE 7 : S’ENTRAINER

1.2 interactions entre STRATEGIQUE POUR PRATIQUER ET
équipes mobilisées S’AMELIORER
Gouvernance et FICHE 7 : S’ENTRAINER

OPERATIONNEL
1.3 interactions entre POUR PRATIQUER ET
CYBER ET IT
équipes mobilisées S’AMELIORER

Gouvernance et
ORGANISATION DE
CRISE AU SCENARIO
CYBER
Gouvernance et
OPERATIONNEL
2.2 interactions entre
CYBER ET IT
Gouvernance et
ORGANISATION DE
CRISE AU SCENARIO
CYBER

Gouvernance et
OPERATIONNEL ORGANISATION DE
CYBER ET IT CRISE AU SCENARIO
CYBER
Gouvernance et FICHE 5 : PREPARER

2.5 interactions entre STRATEGIQUE SES CAPACITES DE
équipes mobilisées REPONSE A INCIDENT
Gouvernance et FICHE 5 : PREPARER

OPERATIONNEL
2.6 interactions entre SES CAPACITES DE
CYBER ET IT
équipes mobilisées REPONSE A INCIDENT
Gouvernance et
Gouvernance et
OPERATIONNEL
CYBER ET IT

Gouvernance et
ORGANISATION DE
CRISE AU SCENARIO
CYBER

Gouvernance et
ORGANISATION DE
CRISE AU SCENARIO
CYBER

Gouvernance et
CYBER
Gouvernance et
Processus et outillage
ORGANISATION DE
4.1 Processus et outillage STRATEGIQUE
CRISE AU SCENARIO
CYBER
FICHE 2 : METTRE EN
PLACE UN SOCLE DE
CAPACITES
OPERATIONNELLES
GARANTISSANT UN
NIVEAU ADAPTE DE
RESILIENCE
NUMERIQUE

ORGANISATION DE
CRISE AU SCENARIO
CYBER

ORGANISATION DE
CRISE AU SCENARIO
CYBER

4.5 Processus et outillage
CYBER

5.2 Processus et outillage
CYBER
FICHE 6 : METTRE EN
PLACE DES POLICES
D’ASSURANCE
ADAPTEES
Communication de crise et relations externes
Communication de crise
5.6 STRATEGIQUE
et relations externes
FICHE 3 : FORMALISER
Communication de crise UNE STRATEGIE DE
6.1 STRATEGIQUE
et relations externes COMMUNICATION DE
CRISE CYBER
FICHE 2 : METTRE EN
PLACE UN SOCLE DE
CAPACITES
Communication de crise OPERATIONNELLES
6.2 STRATEGIQUE
et relations externes GARANTISSANT UN
NIVEAU ADAPTE DE
RESILIENCE
NUMERIQUE
Communication de crise UNE STRATEGIE DE
7.1 STRATEGIQUE
et relations externes COMMUNICATION DE
CRISE CYBER
Communication de crise OPERATIONNEL UNE STRATEGIE DE
7.2
et relations externes CYBER ET IT COMMUNICATION DE
CRISE CYBER
7.3 STRATEGIQUE
7.4 STRATEGIQUE
Communication de crise OPERATIONNEL
7.5
et relations externes CYBER ET IT
Détection et réponse à incidents

Détection et réponse à ORGANISATION DE
8.1 STRATEGIQUE
incidents CRISE AU SCENARIO
CYBER

Détection et réponse à OPERATIONNEL ORGANISATION DE
8.2
incidents CYBER ET IT CRISE AU SCENARIO
CYBER
FICHE 5 : PREPARER
Détection et réponse à OPERATIONNEL
9.1 SES CAPACITES DE
incidents CYBER ET IT
REPONSE A INCIDENT
FICHE 5 : PREPARER
REPONSE A INCIDENT
FICHE 5 : PREPARER
REPONSE A INCIDENT

9.4
Détection et réponse à
9.5 STRATEGIQUE
incidents
Détection et réponse à
9.6 STRATEGIQUE
incidents
Continuité d'activité et reconstruction
FICHE 1 : CONNAITRE
Continuité d'activité et ET MAITRISER SES
10.1 STRATEGIQUE
reconstruction SYSTEMES
D’INFORMATION
FICHE 1 : CONNAITRE
Continuité d'activité et OPERATIONNEL ET MAITRISER SES
10.2
reconstruction CYBER ET IT SYSTEMES
D’INFORMATION
FICHE 1 : CONNAITRE
Continuité d'activité et OPERATIONNEL ET MAITRISER SES
10.3
reconstruction CYBER ET IT SYSTEMES
D’INFORMATION
FICHE 2 : METTRE EN
PLACE UN SOCLE DE
CAPACITES
Continuité d'activité et OPERATIONNELLES
10.4 STRATEGIQUE
reconstruction GARANTISSANT UN
NIVEAU ADAPTE DE
RESILIENCE
NUMERIQUE
FICHE 2 : METTRE EN
PLACE UN SOCLE DE
CAPACITES
Continuité d'activité et OPERATIONNEL OPERATIONNELLES
10.5
reconstruction CYBER ET IT GARANTISSANT UN
NIVEAU ADAPTE DE
RESILIENCE
NUMERIQUE
FICHE 2 : METTRE EN
PLACE UN SOCLE DE
CAPACITES
10.6 STRATEGIQUE
NIVEAU ADAPTE DE
RESILIENCE
NUMERIQUE
FICHE 2 : METTRE EN
PLACE UN SOCLE DE
CAPACITES
10.7
NIVEAU ADAPTE DE
RESILIENCE
NUMERIQUE
FICHE 2 : METTRE EN
PLACE UN SOCLE DE
CAPACITES
10.8 STRATEGIQUE
NIVEAU ADAPTE DE
RESILIENCE
NUMERIQUE
FICHE 2 : METTRE EN
PLACE UN SOCLE DE
CAPACITES
10.9
NIVEAU ADAPTE DE
RESILIENCE
NUMERIQUE
FICHE 2 : METTRE EN
PLACE UN SOCLE DE
CAPACITES
11.1
NIVEAU ADAPTE DE
RESILIENCE
NUMERIQUE
FICHE 2 : METTRE EN
PLACE UN SOCLE DE
CAPACITES
11.2
NIVEAU ADAPTE DE
RESILIENCE
NUMERIQUE
FICHE 2 : METTRE EN
PLACE UN SOCLE DE
CAPACITES
11.3
NIVEAU ADAPTE DE
RESILIENCE
NUMERIQUE
FICHE 2 : METTRE EN
PLACE UN SOCLE DE
CAPACITES
11.4
NIVEAU ADAPTE DE
RESILIENCE
NUMERIQUE
Continuité d'activité et
11.5 STRATEGIQUE
reconstruction
Continuité d'activité et OPERATIONNEL
11.6
reconstruction CYBER ET IT
Continuité d'activité et OPERATIONNEL

11.7
reconstruction CYBER ET IT
TEMPORALITE - TEMPORALITE -
REACTION OBJECTIF
PREPARATION REACTION
Mettre en place des

FICHE 8 : ACTIVER SON Réagir - Phase 1 : critères et des
Se préparer à affronter
DISPOSITIF DE CRISE Alerter, mobiliser et procédures
une crise cyber
CYBER endiguer d'activation des
cellules de crise
Définir un plan
d'entraînement de
une crise cyber
crise cyber
Définir un plan
d'entraînement de
une crise cyber
crise cyber
Mettre en place des

une crise cyber
cellules de crise
FICHE 10 : SOUTENIR Réagir - Phase 1 :

Créer des "équipes"
SES EQUIPES DE Alerter, mobiliser et
cyber
GESTION DE CRISE endiguer
FICHE 8 : ACTIVER SON Réagir - Phase 1 : Organiser ses
DISPOSITIF DE CRISE Alerter, mobiliser et cellules de crise
une crise cyber
CYBER endiguer cyber

une crise cyber
FICHE 8 : ACTIVER SON Réagir - Phase 1 : Identifier les experts

DISPOSITIF DE CRISE Alerter, mobiliser et à solliciter en temps
une crise cyber
CYBER endiguer de crise
Réagir - Phase 1 : Identifier les experts

FICHE 11 : ACTIVER SES Se préparer à affronter
Alerter, mobiliser et à solliciter en temps
RESEAUX DE SOUTIEN une crise cyber
endiguer de crise
FICHE 8 : ACTIVER SON Réagir - Phase 1 :
Mobiliser les
DISPOSITIF DE CRISE Alerter, mobiliser et
équipes
CYBER endiguer
FICHE 12 : Réagir - Phase 2 : Informer la cellule

COMMUNIQUER Maintenir la confiance et stratégique de la
EFFICACEMENT comprendre l'attaque situation

une crise cyber
Organiser ses
cellules de crise
une crise cyber
cyber
Organiser ses
cellules de crise
une crise cyber
cyber
Réagir - Phase 4 : Tirer

FICHE 18 : TIRER LES
les leçons de la crise et Organiser le RETEX
LEÇONS DE LA CRISE
capitaliser
Mettre en place des
critères et des
procédures
une crise cyber
d'activation des
cellules de crise
Mettre en place des

outils de conduite
une crise cyber
de crise résilients

une crise cyber
Mettre en place des

une crise cyber
cellules de crise
Mettre en place des

une crise cyber
cellules de crise
FICHE 8 : ACTIVER SON Réagir - Phase 1 :

Mobiliser les
DISPOSITIF DE CRISE Alerter, mobiliser et
équipes
CYBER endiguer
Réagir - Phase 1 : Organiser ses

FICHE 9 : PILOTER SON Se préparer à affronter
Alerter, mobiliser et cellules de crise
DISPOSITIF DE CRISE une crise cyber
endiguer cyber
FICHE 17 : ORGANISER Adapter des seuils
les leçons de la crise et
SA SORTIE DE CRISE de sortie de crise
capitaliser

Mettre en place un
support RH adapté
Réagir - Phase 1 : Adapter l'assurance

FICHE 11 : ACTIVER SES Se préparer à affronter
Alerter, mobiliser et aux besoins de
RESEAUX DE SOUTIEN une crise cyber
endiguer l'organisation
Réagir - Phase 1 :
FICHE 11 : ACTIVER SES Activer son
Alerter, mobiliser et
RESEAUX DE SOUTIEN assurance cyber
endiguer
Réagir - Phase 1 : Etablir une liste des

Alerter, mobiliser et parties prenantes à
endiguer contacter
FICHE 10 : SOUTENIR Réagir - Phase 1 : Mettre en place des
SES EQUIPES DE Alerter, mobiliser et outils de conduite
une crise cyber
GESTION DE CRISE endiguer de crise résilients
Anticiper la
FICHE 12 : Réagir - Phase 2 :
Se préparer à affronter stratégie de
COMMUNIQUER Maintenir la confiance et
une crise cyber communication de
EFFICACEMENT comprendre l'attaque
crise
Anticiper la
Réagir - Phase 1 :
FICHE 9 : PILOTER SON Se préparer à affronter stratégie de
DISPOSITIF DE CRISE une crise cyber communication de
endiguer
crise
Assurer un support
aux volets
communication et
juridique
Déclarer son
Réagir - Phase 1 :
FICHE 11 : ACTIVER SES incident auprès des
RESEAUX DE SOUTIEN autorités
endiguer
compétentes
Déclarer son
Réagir - Phase 1 :
FICHE 11 : ACTIVER SES incident auprès des
RESEAUX DE SOUTIEN autorités
endiguer
compétentes
Mettre en place des

une crise cyber
cellules de crise
Mettre en place des

une crise cyber
cellules de crise
Mettre en place les

FICHE 13 : CONDUIRE Réagir - Phase 2 : capacités de
L’INVESTIGATION Maintenir la confiance et réactions
une crise cyber
NUMERIQUE comprendre l'attaque techniques face aux
différentes menaces
Mettre en place les

capacités de
réactions
une crise cyber
techniques face aux
Mettre en place les
capacités de
Se préparer à affronter réactions
une crise cyber stratégiques face
aux différentes
menaces
Reprendre le
contrôle des
Réagir - Phase 3 :
systèmes et durcir
FICHE 15 : DURCIR ET Relancer les activités
pour
REMEDIER métiers et durcir les
empêcher de
systèmes d'information
nouvelles
compromissions
Réagir - Phase 3 : Objectiver les

FICHE 15 : DURCIR ET Relancer les activités orientations sur le
REMEDIER métiers et durcir les durcissement et la
systèmes d'information remédiation
Réagir - Phase 1 :
FICHE 9 : PILOTER SON
Alerter, mobiliser et Endiguer l'attaque
DISPOSITIF DE CRISE
endiguer
Cartographier ses
Réagir - Phase 1 :
FICHE 9 : PILOTER SON Se préparer à affronter applications et
DISPOSITIF DE CRISE une crise cyber ressources métiers
endiguer
critiques
Réagir - Phase 1 :
Alerter, mobiliser et Cartographier ses SI
endiguer
Réagir - Phase 1 :
endiguer
Adapter le plan de
Se préparer à affronter continuité d'activité
une crise cyber au scénario de crise
cyber
Adapter le plan de
cyber
FICHE 14 : METTRE EN
Adapter le plan de
PLACE UN MODE DE Réagir - Phase 2 :
FONCTIONNEMENT Maintenir la confiance et
DEGRADE POUR LES comprendre l'attaque
cyber
METIERS IMPACTES
FICHE 14 : METTRE EN
Adapter le plan de
PLACE UN MODE DE Réagir - Phase 2 :
FONCTIONNEMENT Maintenir la confiance et
DEGRADE POUR LES comprendre l'attaque
cyber
METIERS IMPACTES
Réaliser un plan de
Se préparer à affronter reprise d'activité
une crise cyber pour le scénario
cyber
Adapter le plan de
cyber
cyber
Réagir - Phase 3 : Adapter le plan de

FICHE 16 : PREPARER
Se préparer à affronter Relancer les activités continuité d'activité
ET INDUSTRIALISER LA
une crise cyber métiers et durcir les au scénario de crise
RECONSTRUCTION
systèmes d'information cyber
cyber
cyber
Réagir - Phase 3 : Organiser et adapter

FICHE 16 : PREPARER
Relancer les activités le
ET INDUSTRIALISER LA
métiers et durcir les comportement des
RECONSTRUCTION
systèmes d'information utilisateurs
Réagir - Phase 3 :
FICHE 16 : PREPARER Sécuriser
Relancer les activités
ET INDUSTRIALISER LA l’industrialisation
métiers et durcir les
RECONSTRUCTION de la reconstruction
Réagir - Phase 3 :
FICHE 16 : PREPARER Sécuriser
ET INDUSTRIALISER LA l’industrialisation
RECONSTRUCTION de la reconstruction
FONCTIONS POUVANT ÊTRE
QUESTION PREUVES
SOLLICITEES (si existantes)
Les fonctions
décisionnelles de
- Direction cybersécurité / RSSI - Supports de sensibilisation
l'organisation sont-elles
- Formations
sensibilisées aux enjeux
cyber ?
- Cartographie des risques et de

Quelle est la stratégie
- Direction cybersécurité / RSSI l'état de la menace
d'entraînement de
- Direction de la sécurité / responsable - Stratégie d'entraînement de
gestion de crise au
GDC gestion de crise
niveau stratégique ?
- Exercice de crise
Quelle est la stratégie

- Direction cybersécurité / RSSI - Stratégie d'entraînement de
d'entraînement de
- Direction de la sécurité / responsable gestion de crise cyber
gestion de crise au
GDC - Exercice de crise
niveau opérationnel ?
L'ensemble du dispositif
de crise est-il formalisé - Direction cybersécurité / RSSI
- Référentiel de management des
dans un référentiel de - Direction de la sécurité / responsable
crises cyber
management (politique GDC
globale) ?
Comment le processus - Direction cybersécurité / RSSI - Processus RH sur la

de gestion de crise - Direction de la sécurité / responsable régularisation du temps de travail
prévoit-il l'organisation GDC - Processus de rotation
des équipes cyber ? - Responsable RH - Identification des back-ups
Comment est formée la
- Direction de la sécurité / responsable - Dispositif de gestion de crise
cellule de crise
GDC - RACI
stratégique ?
Comment s'organisent
- Direction cybersécurité / RSSI
les équipes - Dispositif de gestion de crise
- Direction de la sécurité / responsable
opérationnelles en cas de - RACI
GDC
crise ?
Quelles sont les - Liste des expertises

expertises identifiées au - Contrats
GDC
niveau stratégique? - NDA
Quelles sont les - Direction cybersécurité / RSSI - Liste des expertises

expertises identifiées au - Direction de la sécurité / responsable - Contrats
niveau opérationnel? GDC - NDA
Comment la cellule de
crise stratégique
communique-t-elle avec - RACI
les équipes - Dispositif de gestion de crise
GDC
opérationnelles cyber et
IT ?
Comment sont anticipées

les interactions entre les - Comitologie de crise
équipes techniques et les - Eléments de langages
GDC
cellules opérationnelles ?
Comment sont prises en

compte les
- Direction cybersécurité / RSSI - Processus de coordination des
problématiques
- Direction de la sécurité / responsable équipes internationales
internationales ? (si non
GDC - Coordinateurs dédiés
applicable, ne pas
répondre)
Comment l'anticipation
- Direction cybersécurité / RSSI - Fiche de poste "Anticipation"
est-elle intégrée à la
- Direction de la sécurité / responsable - Méthodologie d'anticipation de
cellule de crise
GDC crise dédié au cyber
stratégique?
-Fiche de poste "Anticipation"

Comment l'anticipation et - Direction cybersécurité / RSSI
- Méthodologie d'anticipation de
la connaissance de la - Direction de la sécurité / responsable
crise au niveau opérationnel
menace est-elle intégrée GDC
- Procédure de consolidation de la
au niveau opérationnel? - Responsable CTI
connaissance de la menace (CTI)
- Processus de RETEX
Comment est organisé la - Direction cybersécurité / RSSI - Bonnes pratiques de RETEX
phase de RETEX de - Direction de la sécurité / responsable - Méthodologie d'analyse du
crise? GDC RETEX
- Grille d'entretien
Un dispositif d'astreinte - Direction de la sécurité / responsable
- Procédure d'astreintes
est-il existant? GDC
- Responsable RH
La cellule de crise
dispose-t-elle d'outils
- Direction de la sécurité / responsable - Outils numérique alternatifs
numériques dédiés à la
GDC
gestion de crise?
Comment circule - Direction cybersécurité / RSSI

- Outils de communication
l'information au sein de - Direction de la sécurité / responsable
alternatifs
la cellule de crise ? GDC
Les critères d'activation - Direction cybersécurité / RSSI

- Processus d'activation de la
de la cellule stratégique - Direction de la sécurité / responsable
cellule stratégique
sont-ils formalisés ? GDC
Comment sont définis les

critères d'activation et de
- Direction de la sécurité / responsable - Processus de sortie de crise
désactivation du
GDC
dispositif opérationnel ?
Comment le processus - Dispositif de gestion de crise

de gestion de crise - Modèle de présentation pour la
prévoit-il le premier état réunion de lancement
GDC
des lieux de la situation ? - Outillage de gestion de crise

Un suivi de crise est-il
- Direction de la sécurité / responsable - Main courante
mis en place ?
GDC
Les conditions de sortie
de crise sont-elles pré - Processus de sortie de crise
définies et évaluées - Critères de sortie de crise
GDC
durant la crise ?
Quels sont les moyens - Processus logistique

logistiques prévus pour - Salles de réunions de crise pré-
une gestion de crise identifiées
GDC
cyber ? - Contacts des équipes logistiques
- Etat des lieux des assurances

- Contrat d'assurance
- Seuil d'activation
Les besoins en - Direction cybersécurité / RSSI
- Procédure de retour d'expérience
assurance en cas de - Direction de la sécurité / responsable
- Exercice de crise
crise cyber sont-ils GDC
- Cartographie des risques cyber
correctement couverts ? - Responsable Assurance
- Fiche de bonnes pratiques
d'utilisation de la police
d'assurance

Comment est activée - Direction de la sécurité / responsable - Processus d'activation de
l'assurance cyber ? GDC l'assurance
- Responsable Assurance
Les parties prenantes à - Annuaire de crise

contacter ou tenir - Processus de remontée d'alerte
informées en cas de crise contenant les contacts des
GDC
sont-elles identifiées ? principales parties prenantes
L'organisation dispose-t-
elle de moyens de - Outils de communication
communication alternatifs
GDC
alternatifs ?
- Direction cybersécurité / RSSI - Plan de communication de crise

La stratégie de
- Direction de la sécurité / responsable cyber interne et externe
communication cyber
GDC - Messages types
est-elle formalisée ?
- Responsable Communication - Eléments de langage
Comment est réalisée

l'analyse de risque
communicationnelle
(pour identifier les risques
- Direction de la sécurité / responsable - Analyse de risque
provenant de
GDC communicationnelle
communications de
- Responsable Communication
médias, de salariés, de
concurrents, d'autorités,
etc.) ?
- Contrats
Comment est préparée - Contacts des clients /
l'équipe juridique à une partenaires / fournisseurs critiques
GDC
crise cyber ? - Fiche de bonnes pratiques dédiée
- Responsable Juridique
aux équipes juridiques

- Processus de déclaration
Comment sont anticipées - Direction de la sécurité / responsable
d'incident
les actions de déclaration GDC
- Modèles de déclaration d'incident
d'incident ? - Responsable Juridique
(ANSSI, CNIL, autorités judiciaires)
- Responsable CERT/CSIRT
Quelle est la procédure - Direction de la sécurité / responsable - Processus de déclaration
de déclaration GDC d'incident
d'incident ? - Responsable Juridique - Preuves de compromission
Les modalités d'escalade

d'une alerte vers la - Direction de la sécurité / responsable
- Processus de remontée d'alerte
cellule stratégique sont- GDC
elles formalisées ?
Un processus d'alerte, de
gestion et de réponse - Processus d'alerte, de gestion et
dédié aux incidents cyber de réponse aux incidents
GDC
est-il formalisé ?
Comment sont menées - Direction cybersécurité / RSSI

- Outils de détection
les actions de détection - Responsable CERT/CSIRT
- Supports de formation
et d'investigation? - Responsable SOC
Comment sont
formalisées les
- Direction cybersécurité / RSSI - Procédures de confinement
procédure de
- Responsable CERT/CSIRT - Mémos techniques
confinement en amont de
la crise ?
Des mémos techniques
- Direction cybersécurité / RSSI - Mémos techniques
sont-ils à disposition des
- Responsable CERT/CSIRT - Exercices de crise
équipes ?
Comment est défini le

plan de durcissement
durant la crise ? - Procédure de durcissement des
Comment les systèmes
investigations sont-elles - Fiches réflexes
intégrés dans le travail
de durcissement ?
Quelle gouvernance est

mise en place dans le - Direction cybersécurité / RSSI - Gouvernance de crise
cadre du durcissement et - Responsable CERT/CSIRT - Fiches réflexes
de la remédiation des SI?
Comment les mesures

conservatoires et de - Processus de validation des
remédiation sont-elles mesures conservatoires et de
validées par la cellule remédiation
GDC
stratégique durant la - Supports de formation
crise ?

Comment est établie et - Liste des services critiques
priorisée la liste des - Catalogue d'infrastructures et
GDC
services critiques ? d'applications à jour
- Responsable Continuité d'Activité
- Direction cybersécurité / RSSI - Cartographie des actifs

Comment sont
- Direction de la sécurité / responsable technologiques
cartographiés les actifs
GDC - Catalogue d'infrastructures et
technologiques ?
- Responsable Continuité d'Activité d'applications à jour
Comment sont - Direction cybersécurité / RSSI - Cartographie des services
cartographiés les - Direction de la sécurité / responsable numériques externalisés
services numériques GDC - Catalogue d'infrastructures et
externalisés ? - Responsable Continuité d'Activité d'applications à jour
- Plan de continuité d'activité

- Plan de reprise d'activité
Quelles informations - Dépendances avec les
sont inclues dans le plan infrastructures impliquées dans la
GDC
de continuité d'activité ? fourniture de services essentiels
- Stratégie de sauvegarde
- Documents d'architecture
Comment sont consultés - Plan de continuité d'activité

les métiers pour - Analyse de risques
l'intégration des aspects - Plan d'action post analyse de
GDC
cyber dans les PCA risque
"Métiers"? - Matrices d'impacts
Comment l'activité des

prestataires de services
- Direction cybersécurité / RSSI - Dépendances avec les
numériques
- Direction de la sécurité / responsable infrastructures impliquées dans la
(hébergement, nuagique,
GDC fourniture de services essentiels
administration/maintenan
- Responsable Continuité d'Activité - Annexes sécurité dans les
ce, etc.) est inclue dans
contrats
le PCA ?
Comment est envisagée - Direction cybersécurité / RSSI

l'indisponibilité des - Direction de la sécurité / responsable
- Processus de mise en place des
services numériques GDC
solutions alternatives
dans le PCA ? - Responsable Continuité d'Activité
Comment est définie les - Direction cybersécurité / RSSI

métriques de continuité - Direction de la sécurité / responsable
- TAMT, DMIA, PDMA, TRD
(TAMT, DMIA, PDMA, GDC
TRD) ? - Responsable Continuité d'Activité
Comment est surveillé - Direction cybersécurité / RSSI - Rapport de veille
l'évolution de l'état de la - Direction de la sécurité / responsable - Presse cyber
menace cyber ? GDC - Benchmark
Comment sont priorisées

les actions à mener pour
- Direction de la sécurité / responsable - Plan de reprise d'activité
relancer les services
GDC - Priorisation des actifs
numériques et l'activité
des métiers ?

Comment est défini le
- Direction de la sécurité / responsable - Plan de sauvegarde
plan de sauvegarde des
GDC - Plan de continuité d'activité
données ?
Les procédures de - Direction cybersécurité / RSSI

basculement sur un - Direction de la sécurité / responsable - Procédures de basculement
réseau SI de secours GDC - Réseau de secours SI
sont-elles formalisées ? - Responsable Continuité d'Activité
Les processus de - Direction cybersécurité / RSSI

restauration des données - Direction de la sécurité / responsable - Procédures de restauration des
et de réinstallation des SI GDC données et de réinstallation des SI
sont-ils formalisés ? - Responsable Continuité d'Activité
Quelles gouvernance est - Direction cybersécurité / RSSI

mise en place dans le - Direction de la sécurité / responsable - Gouvernance de crise
cadre de la GDC - Fiches réflexes
reconstruction des SI? - Responsable Continuité d'Activité
Comment - Direction cybersécurité / RSSI
l'industrialisation de la - Direction de la sécurité / responsable - PRA
reconstruction est-elle GDC - Fiches réflexes
effectuée? - Responsable Continuité d'Activité
Comment les travaux de - Direction cybersécurité / RSSI

reconstruction et - Direction de la sécurité / responsable - PRA
d'industrialisation sont- GDC - Fiches réflexes
ils vérifiés et sécurisés? - Responsable Continuité d'Activité
NIVEAU DE MATURITE
0 1
Une partie des fonctions

Les fonctions décisionnelles de
décisionnelles est sensibilisée aux
l'organisation ne sont pas
enjeux cyber. Un dispositif de
sensibilisées aux enjeux cyber.
gestion de crise est présent.
Des exercices testant des

Aucun entraînement à la gestion
scénarios cyber sont organisés
de crise n'est organisé.
au niveau stratégique.
Des exercices testant des

Aucun entraînement à la gestion
scénarios cyber sont organisés
de crise cyber n'est organisé.
au niveau opérationnel.
Un référentiel de management
des crises intégrant une
description de l’ensemble du
Il n'existe pas de référentiel de
dispositif de crise (organisation,
management des crises cyber.
gouvernance, ressources, outils,
annuaire) existe mais n'intègre
pas le volet cyber.
Le roulement des équipes est

anticipé et l'activité
opérationnelle des
collaborateurs (en particulier
La gestion des équipes est
l'intervention en heures non
identique à la normale.
ouvrées) est suivie afin de
préserver leur capacité à opérer
dans la durée et de régulariser
leur temps de travail.
Les membres de la cellule de crise
sont identifiés et sont informés
ne sont pas identifiés.
de leur nomination au dispositif.

Les membres de la cellule de crise opérationnelle sont identifiés et
opérationnelle ne sont pas sont informés de leur nomination
identifiés. L'organisation usuelle au dispositif. Une organisation
est maintenue. alternative des équipes est mise
en place.
Des expertises sont identifiées,

et couvrent au moins l'un des
Aucune expertise en matière de domaines suivants :
crise n'a été pré-identifiée. - gestion et conduite de crise ;
- communication de crise cyber ;
- gestion de projet.
Des expertises sont identifiées,

et couvrent certains des domaines
suivants :
Aucune expertise en matière de - réponse à incidents ;
crise n'a été pré-identifiée. - supervision de sécurité ;
- remédiation technique
- infrastructure informatique.
Les différents rôles des Les différents rôles des
interlocuteurs des cellules interlocuteurs des cellules
opérationnelles et de la cellule opérationnelles et de la cellule
stratégique et leur manière de se stratégique sont définis et se
réunir ne sont pas définis. réunissent ponctuellement.
Il est prévu que les équipes

Il n'y a pas de comitologie
techniques communiquent avec
définie entre les équipes
les autres cellules sur la base de
techniques et les autres cellules.
réunions ad-hoc.
Les problématiques internationales

Les problématiques internationales
sont prises en compte de manière
ne sont pas prises en compte.
informelle.
L'anticipation n'est pas intégré Une équipe est en charge du

danse les fonctions de la cellule volet anticipation dans la cellule
de crise stratégique. de crise.
Les équipes cyber et IT ne Une fonction CTI existe au sein

travaillent pas sur la des équipes cyber. Elle n'est pas
connaissance de la menace prise en compte en prévision ou
cyber. durant les crises.
L'équipe en charge du RETEX

est identifiée. Cette équipe
Aucun processus n'est mis en
identifie les acteurs à interroger,
place pour le RETEX.
la grille d'entretien et organise les
aspects pratiques du RETEX.
Des personnes sont identifiées
Aucun moyen d'astreinte n'existe
pour intervenir en heures non-
pour la gestion de crise cyber.
ouvrées, de manière informelle.
La cellule de crise ne possède

La cellule de crise possède des
pas d'outils numériques dédiés
outils numériques dédiés.
à la gestion de crise.
La cellule de crise ne dispose pas La cellule de crise communique à

de moyens (outils) pour faire l'aide de différents moyens
circuler l'information. (outils) de communications.
Les critères d'activation de la Les critères d'activation de la

cellule stratégique ne sont pas cellule stratégique sont définis de
définis. manière informelle.
Les critères d'activation et de

désactivation des dispositifs
Les critères d'activation et de
opérationnels prévoient en
désactivation des dispositifs
particulier l’activation par effet de
opérationnels ne sont pas
seuil (par le bas) et l’activation sur
définis.
décision du dispositif
stratégique (par le haut).
Il n'existe aucun document de Les personnes conviées au

préparation de la réunion de lancement de crise sont définies
lancement de crise. en amont d'une crise.
Les décisions prises pendant la Les décisions prises pendant la

crise ne font pas l'objet d'un crise font l'objet d'un suivi
suivi. informel.
Aucun processus d'évaluation Les processus prévoient
des critères de sortie de crise n'est l'évaluation des critères de sortie
mis en place. de crise au démarrage de la crise.
Des salles de réunions

permettant aux différentes cellules
La logistique de crise n'a pas été
de crise de se retrouver et de
formalisée.
travailler ensemble sont
identifiées et mobilisables.
Les besoins en cas de crise

cyber sont identifiés pour
Les besoins d'assurance en cas compléter les dispositifs
de crise cyber ne sont pas opérationnels existants
identifiés. L'étendue de la (expertise, couverture des frais,
couverture d'assurance n'est pas etc.). Un état des lieux est mené
clairement identifiée. pour identifier la couverture et les
polices existantes au sein de
l’organisation.
L’assurance cyber est activée sur

Il n'existe pas de processus pour
décision de la cellule
activer l'assurance cyber.
stratégique.
La liste des parties prenantes est

pré-identifiée avec leurs
La liste des parties prenantes à contacts.
contacter ou tenir informées n'est Les contacts suivants sont
pas formalisée. notamment identifiés:
- contacts internes
- autorités
L'organisation ne possède pas de L'organisation possède des
moyens de communication moyens de communication
alternatifs. alternatifs internes.
La stratégie de communication de Une stratégie de crise en cas

crise en cas d'incident cyber n'est d'incident cyber est établie de
pas formalisée. manière informelle.
Les grandes orientations

Aucune méthode d'analyse de permettant d'identifier les
risque communicationnelle n'est risques communicationnelles
disponible. sont identifiées mais non
formalisées.
L'équipe juridique est mobilisée

dans la gestion de crise cyber afin
L'équipe juridique n'est pas
d'identifier les obligations qui ne
mobilisée dans la gestion de la
pourront pas être respectées
crise cyber.
auprès des partenaires, clients et
fournisseurs.
Les déclarations obligatoires sont

Les déclarations obligatoires ne
anticipées dans un processus
sont pas prévues.
informel.
Les équipes cyber et SI partagent
Aucun processus de déclaration les informations nécessaires à
d'incident cyber n'est mis en place. la déclaration selon un processus
informel.
Les modalités d’escalade de Les modalités d’escalade de

l’alerte vers le niveau stratégique l’alerte vers le niveau stratégique
n'est pas formalisée. est définie de manière informelle.
Un processus d'alerte, de gestion

Il n'existe pas de processus et de réponse aux incidents
d'alerte, de gestion et de réponse intégrant un volet « sécurité du
aux incidents. numérique » existe de manière
informelle.
L'organisation ne possède pas

Des outils sont mis en place pour
d'outils de détection,
faciliter les actions de détection
d'investigation et de réponse à
et d'investigation.
incident.
Les actions à réaliser par les

Les procédures de confinement ne
équipes techniques sont définies
sont pas identifiées.
de manière informelle.
Les mémos techniques intègrent
Des mémos techniques ne sont
des listes d'actions à mener par
pas formalisés.
les différentes équipes métiers.
Des actions de durcissement

sont mises en place sur la base
Aucun plan de durcissement
de fiches réflexes, sans tenir
n'est défini ou mis en place.
compte des résultats
d'investigation.
Un plan d'action consolide la

liste des mesures à
Aucune gouvernance n'est défini
entreprendre pour durcir les
pour suivre le plan de
systèmes et isoler l'attaquant. Les
durcissement des SI.
mesures sont mises en place et
consolidés dans le document.
Les mesures conservatoires et de Les cas où les mesures

remédiation mises en place par les conservatoires et de remédiation
équipes cyber IT ne font jamais font l'objet d'une validation par la
l'objet d'une validation par la cellule stratégique sont définis
cellule stratégique. informellement.
Les services critiques et Une liste des services critiques et

applications associés ne sont pas des applications associées est
listées. informelle ou incomplète.
Les principaux actifs

Les principaux actifs
technologiques et leurs
technologiques ne sont pas
dépendances sont listés de
listés.
manière informelle.
Les interconnexions avec les Les interconnexions avec les
services externalisés ne sont pas services externalisés sont listées
listées. de manière informelle.
Un ou plusieurs PCA inclut

Il n'existe pas de PCA couvrant l’analyse, l’évaluation et le
les risques numériques et cyber. traitement des risques
numériques et cyber.
Les métiers ne sont pas Les métiers sont consultés de

consultés lors de l'intégration des manière informelle lors de
aspects cyber dans les PCA l'intégration des aspects cyber
"Métiers". dans les PCA "Métiers".
Le PCA ne prévoit pas de Le PCA ne prévoit qu'une partie

situation en lien avec l'activité des des situations liées à l'activité des
prestataires. prestataires.
En cas d'indisponibilité des

Les PCA métiers ne prévoit pas services numériques, des
l'indisponibilité des services solutions de continuité d'activité
numériques. métier ont été définies de manière
informelle.
Les métriques de continuité

Les métriques de continuité
d'activité sont définies pour
d'activité ne sont pas définies.
certains services critiques.
L'état de la menace cyber fait
L'état de la menace cyber n'est
l'objet d'une surveillance
pas surveillé.
ponctuelle.
Les actions à réaliser ne sont pas La liste des actions à réaliser est
définies. établie sans priorisation.
Aucun plan de sauvegarde des Le plan de sauvegarde est défini

données n'a été défini. de manière informelle.
L'organisation possède un réseau

de secours SI et les procédures
L'organisation ne possède pas de
de basculement sur ce réseau
réseau de secours SI.
sont définies de manière
informelle.
Il n'existe pas de processus de Le processus de restauration des

restauration des données ou de données et de réinstallation des SI
réinstallation des SI. est défini de manière informelle.
Une stratégie de reconstruction

est définie. Elle conduit à un état
La reconstruction des SI n'est des lieux régulièrement partagé
pas formellement suivie. à la cellule opérationnelle cyber et
IT et la
cellule stratégique.
Une procédure consolide les
principales règles
La reconstruction des systèmes d'industrialisation de la
d'information n'est pas reconstruction. Un plan d'action
industrialisée. consolide les actions à
entreprendre et l'avancée du
chantier.
Une checklist de sécurité

Aucune vérification de sécurité
standard est définie pour la
n'a lieu sur les systèmes
reconstruction, et est vérifiée
reconstruits.
avant mise en production.
NIVEAU DE MATURITE
2 3 NOTE

Les fonctions décisionnelles de l’organisation sont
l’organisation sont sensibilisées aux
sensibilisées aux enjeux cyber. Les fonctions
enjeux cyber. Un dispositif de crise est
cyber et IT sont systématiquement représentées
présent. Les fonctions cyber et IT sont
dans la gouvernance de crise (cyber et hors
systématiquement représentées dans la
cyber).
gouvernance de crise cyber.
Une stratégie d’entraînement de gestion de crise

est définie et des exercices testant des scénarios
cyber sont régulièrement organisés au niveau
stratégique. Les exercices impliquent des
Une stratégie d’entraînement de gestion
périmètres d’impacts et des scénarios en ligne
de crise est définie et des exercices
avec la cartographie des risques et l'état de la
testant des scénarios cyber sont
menace. La cellule stratégique s'entraîne à
régulièrement organisés au niveau
prendre des décisions dans l'incertitude.
stratégique. Les exercices impliquent des
La stratégie d'exercice intègre le sujet de la
périmètres d’impacts et des scénarios en
coordination avec son écosystème et prend en
ligne avec la cartographie des risques et
compte l'articulation avec les exercices
l'état de la menace.
opérationnels.
La stratégie est alignée avec un plan de
montée en compétence sur les savoir-faire liés à
la gestion de crise cyber.
Des exercices testant des scénarios cyber sont

organisés. Certains exercices testent
Des exercices testant des scénarios cyber l’articulation entre les volets opérationnel et
sont organisés au niveau opérationnel. stratégique.
Certains exercices testent l’articulation La complexité technique des exercices est
entre les volets opérationnel et adaptée à la maturité de l’organisation. Ils tendent
stratégique. progressivement vers plus de réalisme pour
entraîner les équipes d’investigation (type
entraînement sur Cyber Range).
Un référentiel de management des crises

Un référentiel de management des crises cyber
contenant d'un volet cyber intégrant une
intégrant une description de l’ensemble du
description de l’ensemble du dispositif de
dispositif de crise (organisation, gouvernance,
crise (organisation, gouvernance,
ressources, outils, annuaire) est formalisé, promu,
ressources, outils, annuaire) est formalisé
maintenu à jour et testé. Il est lié aux autres
et validé. Il est lié aux autres dispositifs
dispositifs de crise existant.
de crise existant.
Le roulement des équipes est anticipé et l'activité

Le roulement des équipes est anticipé et
opérationnelle des collaborateurs (en particulier
l'activité opérationnelle des collaborateurs
l'intervention en heures non ouvrées) est suivie
(en particulier l'intervention en heures non
afin de préserver leur capacité à opérer dans la
ouvrées) est suivie afin de préserver leur
durée et de régulariser leur temps de travail. Les
capacité à opérer dans la durée et de
prestataires mobilisés font également un suivi
régulariser leur temps de travail. Les
équivalent pour les ressources utilisées. Les
prestataires mobilisés font également un
collaborateurs sans activité peuvent être mobilisés
suivi équivalent pour les ressources
pour fournir de l’aide sur les différentes actions à
utilisées. Les collaborateurs sans
réaliser.
activité peuvent être mobilisés pour
Le travail est organisé sous forme d’équipes-
fournir de l’aide sur les différentes actions
projet, afin de répondre à plusieurs objectifs dans
à réaliser.
un délai réduit.
Les membres de la cellule de crise sont Les membres de la cellule de crise sont identifiés
identifiés et sont informés de leur et sont informés de leur nomination au dispositif.
nomination au dispositif. Ils sont informés Ils sont informés de leur rôle, leurs missions et leur
de leur rôle, leurs missions et leur périmètre d'action, qui ont été définis en amont, et
périmètre d'action, qui ont été définis en y sont formés. Ils participent à au moins un
amont. exercice par an. Des suppléants sont identifiés et
Des suppléants sont identifiés. intégrés aux formations et aux exercices.
Les membres de la cellule de crise opérationnelle

sont identifiés et sont informés de leur nomination
au dispositif. Ils sont informés de leur rôle, leurs
missions et leur périmètre d'action, qui ont été
opérationnelle sont identifiés et sont
définis en amont, et y sont formés.
informés de leur nomination au dispositif.
Des suppléants sont identifiés et intégrés aux
Ils sont informés de leur rôle, leurs
formations et aux exercices.
missions et leur périmètre d'action, qui
La cellule intègre des experts clés capables de
ont été définis en amont. L'organisation
fournir des orientations ainsi qu’un relais pour la
des équipes est pensée pour être la plus
communication de crise. L'organisation des
efficace possible.
équipes est pensée pour être la plus efficace
Des suppléants sont identifiés.
possible de manière à réaliser les actions
d’investigation/endiguement, de
durcissement/remédiation et de reconstruction.
Des expertises sont identifiées et mises à jour.

Des expertises sont identifiées et mises
Elles couvrent les domaines suivants :
à jour. Elles couvrent les domaines
- gestion et conduite de crise ;
suivants :
- gestion de projet ;
- communication de crise cyber.
- expertise juridique.
En cas d'externalisation, des accords
En cas d'externalisation, des accords de non
de non divulgation sont mis en place
divulgation sont mis en place pour l’ensemble des
pour l’ensemble des experts sollicités.
experts sollicités.
Des expertises sont identifiées et mises à jour.

Elles couvrent les domaines suivants :
- réponse à incidents ;
- supervision de sécurité ;
Des expertises sont identifiées et mises
- remédiation technique ;
à jour. Elles couvrent les domaines
- infrastructure informatique ;
suivants :
- annuaires et accès privilégiés (souvent Active
Directory) ;
- restauration de données ;
- remédiation technique ;
- recouvrement de données ;
- infrastructure informatique ;
- solutions nuagiques ;
- annuaires et accès privilégiés
- réseaux ;
(souvent Active Directory) ;
- administration Linux/Windows ;
- restauration de données ;
- pare-feu.
- recouvrement de données.
En cas d'externalisation, des accords de non
En cas d'externalisation, des accords
divulgation sont mis en place pour l’ensemble
de non divulgation sont mis en place
des experts sollicités.
pour l’ensemble des experts sollicités.
Tous les prestataires mobilisés travaillent
ensemble, sous la coordination de la cellule
opérationnelle, avec des objectifs et des
périmètres clairement définis.
Les différents interlocuteurs des cellules
Les différents interlocuteurs des cellules
opérationnelles et de la cellule stratégique
opérationnelles et de la cellule stratégique
connaissent leurs rôles et se réunissent en
connaissent leurs rôles et se réunissent en
respectant un rythme régulier défini en amont. Des
respectant un rythme régulier défini en
coordinateurs sont désignés pour permettre une
amont.
meilleure circulation de l'information.
Le rythme des remontées d’information adapté à

la crise est formalisée et partagée.
En particulier, leurs réunions servent à partager
Le rythme des remontées d’information
l’avancement, les priorités, les difficultés et
adapté à la crise est formalisée et
incertitudes et les besoins. Les éléments
partagée.
techniques sont vulgarisés afin de s'adapter à des
Des éléments de langages vulgarisés
publics non-experts. Des collaborateurs des
sont préparés en amont afin de s'adapter
équipes techniques travaillent avec les équipes
à des publics non experts.
de communication afin de participer à la
rédaction des communications internes ou
externes.
Des processus dédiés aux problématiques

Des processus dédiés aux
internationales sont mis en place et couvrent tous
problématiques internationales sont
les aspects, y compris les questions culturelles.
définis, validés et couvrent la majorité
Des relais de communication sont identifiés. Ces
des aspects, par exemple la gestion des
processus sont stockés hors-ligne et mis à jour
fuseaux horaires.
régulièrement.
Une équipe est en charge du volet anticipation

Une équipe est en charge du volet
dans la cellule de crise. Elle s'appuie sur une
anticipation dans la cellule de crise. Elle
méthodologie d'anticipation qui prend en compte
s'appuie sur une méthodologie
les spécificités des attaques cyber ainsi que sur
d'anticipation qui prend en compte les
des modèles de restitution des travaux. Ses
spécificités des attaques cyber. Ses
travaux sont pris en compte dans la résolution de
travaux sont pris en compte dans la
la crise. L'équipe est régulièrement entrainée via
résolution de la crise.
des exercices de crise.
Une fiche de poste précise son rôle.
Une fiche de poste précise son rôle.
Une fonction CTI existe au sein des équipes

cyber. Elle est contribue à l'identification des
scénarios de menace à couvrir et à la définition
Une fonction CTI existe au sein des
des fiches réflexes.
équipes cyber. Elle est contribue à
La fonction CTI est mobilisée durant les
l'identification des scénarios de
entrainements et durant les crises pour
menace à couvrir et à la définition des
identifier les comportements possibles de
fiches réflexes.
l'attaquant et pour identifier les actions de
durcissement et de remédiation à mettre en
place.
L'équipe en charge du RETEX est identifiée. Cette

L'équipe en charge du RETEX est équipe identifie les acteurs à interroger, la grille
identifiée. Cette équipe identifie les d'entretien et organise les aspects pratiques du
acteurs à interroger, la grille d'entretien et RETEX, pour le volet stratégique et
organise les aspects pratiques du RETEX. opérationnel.
Le processus de RETEX est prévu pour se Le processus de RETEX est prévu pour se
terminer maximum 30 jours après la fin terminer maximum 30 jours après la fin de la crise.
de la crise. Un rapport d'investigation numérique est demandé
Un rapport d'investigation numérique aux prestataires mobilisés.
est demandé aux prestataires mobilisés. Les axes d'amélioration identifiés à l'issue de la
restitution font l'objet d'un suivi spécifique.
Des personnes sont identifiées au niveau Des personnes sont identifiées au niveau
opérationnel et stratégique pour opérationnel et stratégique pour intervenir en
intervenir en heures non-ouvrées, et sont heures non-ouvrées, et sont informées qu'elles
informées qu'elles pourraient être pourraient être jointes. La politique d'astreintes
jointes. La politique est celle du est cadrée et formalisée, et est testé une fois
"meilleur effort". par an.
La cellule de crise possède des outils numériques

La cellule de crise possède des outils dédiés accessibles hors ligne, maintenus en
numériques dédiés accessibles hors conditions opérationnelles et de sécurité. Ces
ligne. outils sont utilisés et testés lors d'exercices de
crise.
La cellule de crise dispose d'une interface unique

L'information circule au sein de la cellule (type tableau de bord) pour uniformiser la
de crise à l'aide d'un moyen de circulation de l’information. Une communication
communication défini. descendante est mise en place pour fournir de la
visibilité sur l'évolution de la situation.
Les critères d'activation sont formalisés et Les critères d'activation et de désactivation de la

validés. Des objectifs et des critères de cellule stratégique sont validés. Des objectifs et
sortie de crise atteignables sont pré- des critères de sortie de crise atteignables sont
identifiés. lls sont connus des membres pré-identifiés, en lien avec les équipes métiers,
du dispositif. Ils prennent en compte cyber et IT. lls sont connus des membres du
les besoins de notification d'incidents dispositif. Ils prennent en compte les besoins de
vers les autorités. notification d'incidents vers les autorités.
Les critères d’activation et de désactivation du

Les critères d'activation et de désactivation dispositif opérationnel sont définis en fonction
des dispositifs opérationnels prévoient en des scénarios cyber de référence. Ils prévoient
particulier l’activation par effet de seuil (par en particulier l’activation par effet de seuil (par le
le bas) et l’activation sur décision du bas) et l’activation sur décision du dispositif
dispositif stratégique (par le haut). Ils sont stratégique (par le haut). Ils sont connus des
connus des membres du dispositif de membres du dispositif de crise et des équipes de
crise et des équipes de gestion d’incident. gestion d’incident. Ils permettent d’objectiver la
Ils prennent en compte les besoins de mobilisation et la démobilisation d’une cellule
notification d'incidents vers les stratégique.
autorités et font lien avec la politique de Ils prennent en compte les besoins de notification
réponse à incident numérique de d'incidents vers les autorités et font lien avec la
sécurité. politique de réponse à incident numérique de
sécurité.
Les personnes conviées au lancement de crise

Les personnes conviées au lancement de sont définies en amont d'une crise. L'organisation
crise sont définies en amont d'une crise. dispose d'un modèle de présentation modèle de
L'organisation dispose d'un modèle de présentation (fonctionnement du dispositif rappel
présentation (fonctionnement du des rôles et responsabilités, premières orientations
dispositif rappel des rôles et / priorités, etc.) ainsi que d'autres modèles utiles
responsabilités, premières à la gestion de crise (points de situation,
orientations / priorités, etc.). graphique de résolution, présentation de suivi
de crise, etc.).
Un registre (type main courante) est mis en place

Un registre (type main courante) est mis pour suivre les risques, les dérogations, et les
en place pour suivre les décisions prises communications internes et externes, y compris
pendant la crise. les sollicitations des clients, des partenaires et des
autorités.
Le processus de réévaluation des critères de
Les processus prévoient une réévaluation sortie de crise prend en compte, en particulier,
des critères de sortie de crise pendant la les connaissances sur l’attaque, le
crise. rétablissement des services et la remise en
production des systèmes affectés.
Des salles de réunions permettant aux différentes

cellules de crise de se retrouver et de travailler
Des salles de réunions permettant aux ensemble sont mises à disposition. Si des
différentes cellules de crise de se prestataires sont mobilisés, une liste nominative
retrouver et de travailler ensemble sont des personnes est communiquée aux équipes
mises à disposition. Si des prestataires logistiques pour fournir des badges et un accès
sont mobilisés, une liste nominative des aux locaux.
personnes est communiquée aux équipes Une personne est dédiée au suivi RH. Des
logistiques pour fournir des badges et un moyens de restauration, de logement, de
accès aux locaux. transport sont mis à disposition des équipes
Une personne est dédiée au suivi RH. impliquées, y compris en dehors du temps de
travail habituel. Les besoins familiaux sont pris
en compte voire solutionnés.
Un état des lieux est mené pour identifier la

Les besoins en cas de crise cyber sont
couverture et les polices existantes au sein de
identifiés pour compléter les dispositifs
l’organisation.
opérationnels existants (expertise,
Ces besoins en cas de crise cyber sont identifiés
couverture des frais, etc.). Un état des
pour compléter les dispositifs opérationnels
lieux est mené pour identifier la couverture
existants (expertise, couverture des frais, etc.).
et les polices existantes au sein de
Une fiche de bonnes pratiques est formalisée pour
l’organisation.
faciliter l’utilisation de la police d’assurance en cas
Un seuil d’activation des polices
de crise : contacts de l’assureur, conservation des
d’assurance est défini. Sa mise en œuvre
justificatifs etc.
est testée dans le cadre d’un exercice de
Un seuil d’activation des polices d’assurance est
gestion de crise cyber.
défini. Sa mise en œuvre est testée dans le cadre
Une fiche de bonnes pratiques est
d’exercice de gestion de crise cyber avec le
formalisée pour faciliter l’utilisation de la
cyber assureur.
police d’assurance en cas de crise :
L’utilisation du contrat d’assurance fait l’objet
contacts de l’assureur, conservation des
d’un retour d’expérience après chaque
justificatifs etc.
activation.
L’assurance cyber est activée sur décision de la

L’assurance cyber est activée sur décision cellule stratégique, selon les critères préétablis.
de la cellule stratégique, selon les Une synthèse des évènements et de la situation
critères préétablis. actuelle est formalisée pour la partager avec
l’assureur.
La liste des parties prenantes est pré-identifiée

avec leurs contacts avec une contribution des
équipes IT. Le contact d'urgence ainsi que le
moyen de communication de secours des
La liste des parties prenantes est pré- clients et fournisseurs les plus critiques est prévu
identifiée avec leurs contacts, avec une dans les contrats. Un fichier presse (liste des
contribution des équipes IT. contacts des journalistes ainsi que les supports
Les contacts suivants sont notamment pour lesquels ils rédigent) est disponible et
identifiés: stocké hors ligne.
- contacts internes Les contacts suivants sont notamment identifiés:
- autorités - contacts internes
- public / média - autorités
- public / média
- clients importants
- fournisseurs
- partenaires techniques (CSIRT, etc.)
Des moyens de communication alternatifs internes
et externes sont identifiés. Ils peuvent servir à
L'organisation possède des moyens de
atteindre les différentes cibles de la
communication alternatifs internes et
communication de crise. Ces solutions sont
externes.
maintenues en conditions opérationnelles et
de sécurité, et testées une fois par an.
Une stratégie de communication de crise en cas

d'incident cyber est formalisée et validée et testée
Une stratégie de communication de crise lors d'exercices de crise cyber. Les équipes sont
en cas d'incident cyber est formalisée et familiarisées et entraînées à la communication
validée sur la base de scénarios de de crise cyber et assurent une formation régulière
référence cyber sont disponibles. Des auprès des agents et des responsables de l’entité.
éléments de langage sont formalisés en Des scénarios de référence cyber sont
fonction des scénarios cyber de référence disponibles. Des éléments de langage sont
identifiés. Plusieurs sujets médiatiques formalisés en fonction des scénarios cyber de
spécifiques sont anticipés (e.g. attribution référence identifiés. Plusieurs sujets médiatiques
de l'attaque). spécifiques sont anticipés (e.g. attribution de
l'attaque).
Un porte-parole de crise a été pré-identifié.
Les grandes orientations permettant

Une veille médiatique est mise en place pour
d'identifier les risques
alerter en cas de sujets crisogènes dans les
communicationnelles définis dans un
médias ou sur les réseaux sociaux. Une
document (procédure, méthode, etc.).
méthode d'analyse de risque
L'analyse de risque médiatique s'appuie
communicationnelle est disponible.
sur les scénarios de référence cyber.
L'équipe juridique est mobilisée dans la L'équipe juridique est mobilisée dans la gestion de
gestion de crise cyber afin d'identifier les crise cyber afin d'identifier les obligations qui ne
obligations qui ne pourront pas être pourront pas être respectées auprès des
respectées auprès des partenaires, clients partenaires, clients et fournisseurs. Elle s'assure
et fournisseurs. Elle s'assure en lien avec en lien avec les équipes communication, achats
les équipes communication, achats et et commerciales de la transmission des
commerciales de la transmission des informations nécessaires aux partenaires. Les
informations nécessaires aux délais et informations à transmettre sont prévus
partenaires. dans tous les contrats critiques.
Les actions de déclaration d’incident (ANSSI,

CNIL, autorités judiciaires) sont centralisées et
Les actions de déclaration d’incident
coordonnées par la cellule stratégique. En cas de
(ANSSI, CNIL, autorités judiciaires) sont
violation des données personnelles (règlement
centralisées et coordonnées par la
général sur la protection des données), une
cellule stratégique. En cas de violation
notification de l’incident est réalisée par le délégué
des données personnelles (règlement
à la protection des données. Dans le cadre d’une
général sur la protection des données),
crise d’ampleur internationale, les équipes
une notification de l’incident est réalisée
juridiques prennent en compte la législation en
par le délégué à la protection des
vigueur et coordonnent la notification d’incident
données.
aux autorités locales. En lien avec les équipes
juridiques, un dépôt de plainte est envisagé.
Les équipes cyber et SI partagent les informations
nécessaires à la déclaration selon un processus
validé, stocké hors ligne et mis à jour
Les équipes cyber et SI partagent les régulièrement. En fonction des obligations
informations nécessaires à la déclaration légales, une déclaration d’incident est réalisée et
selon un processus formalisé et validé. les éléments de compromission sont partagés
En fonction des obligations légales, une avec l’ANSSI.
déclaration d’incident est réalisée et les Les preuves de compromission (serveurs,
éléments de compromission sont partagés données) sont conservées pour la justice (si
avec l’ANSSI. judiciarisation) et pour l’assureur (si activation
d’un contrat d’assurance). En cas de
judiciarisation, un huissier spécialisé est sollicité
pour établir le constat.
Les modalités d’escalade de l’alerte vers le niveau

Les modalités d’escalade de l’alerte vers stratégique est validée. Plusieurs modes sont
le niveau stratégique est validée. Elle prévus dont un mode « alerte » et un mode «
prévoit un mode « alerte » et un mode « crise ». Le dispositif de crise peut s'adapter au
crise ». mode choisi. La chaine de remontée d'alerte est
testée régulièrement lors d'exercices de crise.
Un processus d'alerte, de gestion et de réponse

Un processus d'alerte, de gestion et de aux incidents, s’appuyant notamment sur un
réponse aux incidents, s’appuyant dispositif de réponse à incident et des outils de
notamment sur un dispositif de réponse détection et de gestion d’incident et intégrant un
à incident et des outils de détection et volet « sécurité du numérique » est validé, stocké
de gestion d’incident et intégrant un volet « hors-ligne et testé régulièrement.
sécurité du numérique » est formalisé et Le processus prévoit une classification des
validé. incidents, en prenant en compte la nature, le
Le processus prévoit une classification périmètre et l'impact des incidents. Elle est
des incidents. accompagnée de fiches pratiques pour
accélérer la réponse à incident.
Des outils de détection et d'endiguement sont

mis en place et testés régulièrement lors
d'exercice pour faciliter les actions de détection
Des outils de détection et
et la réponse à incident.
d'endiguement sont mis en place pour
Des outils numériques déconnectés, sont
faciliter les actions de détection et la
disponibles pour réaliser les investigations
réponse à incident.
numériques.
Les équipes sont formées à l'utilisation de ces
outils.
Des listes d'actions à réaliser par les

équipes techniques sont formalisées et Des listes d'actions à réaliser par les équipes
validées. Des mémos techniques sur les techniques sont formalisées et validées. Des
procédures de confinement et mémos techniques sur les procédures de
d’éradication d’une menace cyber active confinement et d’éradication d’une menace cyber
sont définis. Ces procédures sont active sont formalisés et testés. Ces procédures
adaptées aux différents types de sont adaptées aux différents types de menaces
menaces cyber (DDoS, rançongiciel, cyber (DDoS, rançongiciel, fuite de données, etc.).
fuite de données, etc.).
Les mémos techniques sont complétés par les
Les mémos techniques sont complétés par aspects fonctionnels et stratégiques de la gestion
les aspects fonctionnels et stratégiques de crise et intègrent en particulier des listes
de la gestion de crise et intègrent en d’actions à mener par les différentes équipes
particulier des listes d’actions à mener par métiers.
les différentes équipes métiers. Ces mémos sont testés lors d’exercices de
Ces mémos techniques sont adaptés gestion de crise. Ils font l’objet d’une mise à jour
aux différents types de menaces cyber après chaque exercice ou d’une utilisation en
(DDoS, rançongiciel, fuite de données, situation de crise. Ces mémos techniques sont
etc.). adaptés aux différents types de menaces cyber
(DDoS, rançongiciel, fuite de données, etc.).
Un plan de durcissement et de remédiation est

élaboré de façon itérative en fonction des retours
des investigations numériques. Les fiches réflexes
Un plan de durcissement et de
sont adaptées aux différents types de menaces
remédiation est élaboré de façon
cyber (DDoS, rançongiciel, fuite de données, etc.).
itérative en fonction des retours des
Une bulle sécurisée est mise en place pour les
investigations numériques. Les fiches
opérations les plus sensibles et la reconstruction
réflexes sont adaptées aux différents
du système d'information. Cette bulle, ainsi que
types de menaces cyber (DDoS,
les systèmes reconstruits sont suivi via des
rançongiciel, fuite de données, etc.).
outils de surveillance, en particulier ceux
identifiés comme précédemment compromis par
l’investigation.
Un plan d'action consolide la liste des Un plan d'actions consolide la liste des actions à
actions à entreprendre pour durcir les entreprendre pour durcir les systèmes et isoler
systèmes et isoler l'attaquant. Les l'attaquant. Les mesures sont mises en place et
mesures sont mises en place et consolidés dans le document, ainsi que les risques
consolidés dans le document. et impacts associés à l'application ou non-
En cas de mesures structurantes, les application des mesures.
risques et impacts sur les SI et les Un plan de conduite du changement, soutenu
métiers sont identifiés et validés en par la cellule décisionnelle, est mis en place pour
amont de leur déploiement, et les risques aider les utilisateurs suites aux changements
de ne pas appliquer les mesures sont nécessaire dans les pratiques d'utilisation ou
consolidés. d'administration des systèmes.
Les cas où les mesures conservatoires et de

Les cas où les mesures conservatoires et
remédiation font l'objet d'une validation par la
de remédiation font l'objet d'une
cellule stratégique sont formalisés en amont et
validation par la cellule stratégique sont
incluent en particulier toutes les mesures qui ont
formalisés en amont et incluent en
des conséquences sur la continuité de l'activité
particulier toutes les mesures qui ont des
(isolement, déconnexion d’applicatifs ou serveur,
conséquences sur la continuité de
blocage des accès Internet, etc.). La cellule
l'activité (isolement, déconnexion
stratégique est formée sur les conséquences de
d’applicatifs ou serveur, blocage des
continuité de certaines mesures, et des exercices
accès Internet, etc.).
sur tables testent leur prise de décision.
Sur la base d'un bilan d'impact, la cartographie

Sur la base d'un bilan d'impact, la liste des des services, des applications et des activités
services critiques et des applications critiques, ainsi que des données essentielles a
associées est formalisée. Elle est été établie. Cette cartographie est régulièrement
classée selon la criticité des services. mise à jour et sauvegardée hors ligne. Elle est
classée selon la criticité des services.
La cartographie des principaux actifs Une cartographie des principaux actifs

technologiques et leurs dépendances est technologiques et leurs dépendances est à jour et
formalisée et sauvegardée hors-ligne. sauvegardée hors-ligne tous les ans.
Les interconnexions sont cartographiées, la
Les interconnexions sont cartographiées, cartographie est à jour et disponibles hors-
la cartographie est à jour et disponibles ligne. La liste de contacts d'urgences des
hors-ligne. prestataires est également formalisée et
disponible-hors ligne.
Un ou plusieurs PCA inclut l’analyse, l’évaluation

Un ou plusieurs PCA inclut l’analyse, et le traitement des risques numériques et cyber et
l’évaluation et le traitement des risques prend notamment en compte une perte totale ou
numériques et cyber. un fonctionnement très dégradé des services et
Ces PCA prennent notamment en compte des processus critiques de l’organisation.
une perte totale ou un fonctionnement Des mesures relatives au PCA, tel que le temps
très dégradé des services et des d’arrêt maximal tolérable et le temps de
processus critiques de l’organisation. récupération des données sont définies en
Des mesures relatives au PCA, tel que le intégrant les scénarios cyber.
temps d’arrêt maximal tolérable et le Des solutions de continuité d’activité sont
temps de récupération des données sont identifiées en lien avec les équipes cyber et IT.
définies en intégrant les scénarios cyber. Elles sont testées.
Des solutions de continuité d’activité sont Des dispositifs opérationnels métiers sont
identifiées en lien avec les équipes cyber envisagés et maintiennent à un seuil minimum
et IT. le fonctionnement des processus critiques de
l’organisation. Les dispositifs sont testés.
Les équipes cyber et SI accompagnent les métiers

Les équipes cyber et SI accompagnent les
pour l’analyse, l’évaluation et le traitement des
métiers pour l’analyse, l’évaluation et le
risques numériques et cyber via une
traitement des risques numériques et
compréhension des impacts pour l’activité métiers,
cyber via une compréhension des
afin d'intégrer les ressources SI dans les PCA
impacts pour l’activité métiers, afin
métiers. Les équipes cyber et SI mettent à jour
d'intégrer les ressources SI dans les PCA
régulièrement, avec les métiers, l'analyse et le
métiers.
traitement des risques.
Les périmètres du PCA intègrent également la

perte d’une solution nuagique, d’un partenaire ou
Les périmètres du PCA intègrent prestataire de l’entité.
également la perte d’une solution Les modalités de gestion de crise cyber sont
nuagique, d’un partenaire ou prestataire intégrées dans les contrats d’infogérance et
de services numériques de l’entité. d’externalisation.
Le PCA est maintenu à jour tous les ans et
stocké hors-ligne.
En cas d'indisponibilité des services En cas d’indisponibilité des services et outils

numériques, des solutions de continuité numériques, des solutions de continuité d’activité
d'activité métier ont été définies et sont définies, testées et mises à jour
validées. régulièrement.
Les métiers définissent pour chaque service Les

Les métriques de continuité d'activité sont métriques de continuité d'activité intégrant un
définies pour chaque service. temps d’indisponibilité long, lié au scénario de
risque cyber.
L’état de la menace cyber est L’état de la menace cyber est revu et analysé
régulièrement revu et alimente la régulièrement. Il conditionne les choix de
réflexion sur la résilience des solutions solutions et de processus mis en place dans les
et des processus mis en place. plans de continuité d'activité.
Le planning des actions prioritaires inclut les

Les actions à réaliser sont formalisées reconstructions de l’Active Directory, des
dans un planning avec une priorisation serveurs, des postes de travail, des systèmes de
(P0 – P1 – P2 – P3) des applications et noms de domaines (DNS), des infrastructures de
des systèmes en fonction de leur criticité. gestion des clés (PKI), et de toute infrastructure
critique.
Un plan de sauvegarde et de restauration des

données est défini et validé. Ce plan est revu
régulièrement sur la base d'une analyse de la
Le plan de sauvegarde des données est
menace cyber. Il s’appuie sur l’existence de
défini et validé, et repose sur l'existence
sauvegardes saines. Les sauvegardes sont
de sauvegarde saines. Les sauvegardes
stockés dans un espace sécurisé, respectant la
sont stockés dans un espace sécurisé,
politique de sauvegarde définie et avec une copie
respectant la politique de sauvegarde
hors ligne disponible.
définie et avec une copie hors ligne
Ces dernières sont cataloguées dans un
disponible.
stockage protégé. Le risque d’une incohérence
de données liées à leur synchronisation est pris
en compte.
Les procédures de basculement sur le Des procédures de basculement sur un réseau de

réseau de secours SI sont définies et secours SI sont validées et testées au moins
validées. une fois par an.
Des processus de restauration des données et de

réinstallation des SI sont formalisés et validées,
avec des procédures de basculement. La
Des processus de restauration des restauration des sauvegardes et les
données et de réinstallation des SI sont procédures sont sont testées au moins une
formalisés et validées, avec des fois par an. Ces tests sont en particulier
procédures de basculement. réalisés en cohérence avec les processus
métier, via des tests unitaires et des tests par
bloc métier (ensemble d'applications cohérentes
pour supporter un processus métier).
Une stratégie de reconstruction Une stratégie de reconstruction est définie et

est définie et validée par la cellule validée par la cellule stratégique. Elle conduit à un
stratégique. Elle conduit à un état des état des lieux régulièrement partagé à la cellule
lieux régulièrement partagé à la cellule opérationnelle cyber et IT et la cellule stratégique.
opérationnelle cyber et IT et la La stratégie repose sur l'utilisation de sauvegarde
cellule stratégique. La stratégie repose saines, les risques de perte de données en cas de
sur l'utilisation de sauvegarde saines, sauvegardes désynchronisés sont identifiés et
les risques de perte de données en cas communiquées.
de sauvegardes désynchronisés sont Le PRA est adapté en fonction des
identifiés et communiquées. avancées de l'’investigation et de remédiation.
Une procédure consolide les principales règles
d'industrialisation de la reconstruction. Un plan
Une procédure consolide les principales
d'action consolide les actions à entreprendre et
règles d'industrialisation de la
l'avancée du chantier. Le support en ressources
reconstruction. Un plan d'action consolide
est renforcé pour assurer la
les actions à entreprendre et l'avancée du
reconstruction SI, le cas échéant en
chantier. Le support en ressources
travail posté (24 h/24). Des procédures ou des
est renforcé pour assurer la
scripts sont produits pour faciliter la
reconstruction SI, le cas échéant en
reconstruction. Les métiers sont mobilisés
travail posté (24 h/24).
pour réaliser des tests utilisateurs avant la
remise en production des applications.
Une checklist de sécurité standard est définie pour

Une checklist de sécurité standard est la reconstruction, et est vérifiée avant mise en
définie pour la reconstruction, et est production. Une coordination renforcée est
vérifiée avant mise en production. Une mise en œuvre entre les équipes en charge du
coordination renforcée est durcissement et de la remédiation et celles en
mise en œuvre entre les équipes en charge de la reconstruction afin de faire appliquer
charge du durcissement et de la les mesures de cybersécurité.
remédiation et celles en charge de la La vérification des règles de sécurité est
reconstruction afin de faire appliquer les automatisée au maximum par des outils. Les
mesures de cybersécurité. systèmes mis en production sont sous la
surveillance d'outils de détection.
Notes complémentaires
Sommaire
Evaluation globale de la maturité
Niveau de maturité par thématique
Niveau de maturité par temporalité
Niveau de maturité par fiche
Evaluation globale de la maturité
#N/A
/
pour un maximum de 3
% de complétude du questionnaire 0.0%
Niveau de maturité par thématique
Continuité d'activité et reconstruction Processus et outillage
Détection et réponse à incidents Communication de crise et relations ex
Thématique Nombre de questions 0 1

Gouvernance et interactions entre équipes
0 0 0
mobilisées
Processus et outillage 0 0 0
Communication de crise et relations
0 0 0
externes
Détection et réponse à incidents 0 0 0
Continuité d'activité et reconstruction 0 0 0
Niveau de maturité par temporalité
Se préparer à affronter une crise cyber
Réagir - Phase 4 : Tirer les leçons de la crise et capitaliser Réagir - Phase 1 : Alerter, mobi
1
Réagir - Phase 3 : Relancer les activités métiers et durcir les systèmes d'information Réagir - Phase 2 : Maintenir la confianc
Temporalité Nombre de questions 0 1

Se préparer à affronter une crise cyber 0 0 0
Réagir - Phase 1 : Alerter, mobiliser et 0 0 0
endiguer
Réagir - Phase 2 : Maintenir la confiance et 0 0 0
comprendre l'attaque
Réagir - Phase 3 : Relancer les activités
métiers et durcir les systèmes 0 0 0
d'information
Réagir - Phase 4 : Tirer les leçons de la 0 0 0
crise et capitaliser
Niveau de maturité par fiche
FICHE 1 : CONNAITRE ET MAITRISER SES SYSTEMES D’INFORMATIO

FICHE 2 : METTRE EN PLACE UN SOCLE DE CAPACITES OPERATIONNELLES GARANTISSANT UN NIVEAU ADAPTE DE RESILIENCE NUMERIQU
FICHE 3 : FORMALISER UNE STRATEGIE DE COMMUNICATION DE CRISE CYBE
FICHE 4 : ADAPTER SON ORGANISATION DE CRISE AU SCENARIO CYBE
FICHE 5 : PREPARER SES CAPACITES DE REPONSE A INCIDEN
FICHE 6 : METTRE EN PLACE DES POLICES D’ASSURANCE ADAPTEE
FICHE 7 : S’ENTRAINER POUR PRATIQUER ET S’AMELIORE
FICHE 8 : ACTIVER SON DISPOSITIF DE CRISE CYBE
FICHE 1 : CONNAITRE ET MAITRISER SES SYSTEMES D’INFORMATIO
FICHE 2 : METTRE EN PLACE UN SOCLE DE CAPACITES OPERATIONNELLES GARANTISSANT UN NIVEAU ADAPTE DE RESILIENCE NUMERIQU
FICHE 3 : FORMALISER UNE STRATEGIE DE COMMUNICATION DE CRISE CYBE
FICHE 4 : ADAPTER SON ORGANISATION DE CRISE AU SCENARIO CYBE
FICHE 5 : PREPARER SES CAPACITES DE REPONSE A INCIDEN
FICHE 6 : METTRE EN PLACE DES POLICES D’ASSURANCE ADAPTEE
FICHE 7 : S’ENTRAINER POUR PRATIQUER ET S’AMELIORE
FICHE 8 : ACTIVER SON DISPOSITIF DE CRISE CYBE
FICHE 9 : PILOTER SON DISPOSITIF DE CRIS
FICHE 10 : SOUTENIR SES EQUIPES DE GESTION DE CRIS
FICHE 11 : ACTIVER SES RESEAUX DE SOUTIE
FICHE 12 : COMMUNIQUER EFFICACEMEN
FICHE 13 : CONDUIRE L’INVESTIGATION NUMERIQU
FICHE 14 : METTRE EN PLACE UN MODE DE FONCTIONNEMENT DEGRADE POUR LES METIERS IMPACTE
FICHE 15 : DURCIR ET REMEDIE
FICHE 16 : PREPARER ET INDUSTRIALISER LA RECONSTRUCTIO
FICHE 17 : ORGANISER SA SORTIE DE CRIS
FICHE 18 : TIRER LES LEÇONS DE LA CRIS
Moyenne
FICHE 1 : CONNAITRE ET MAITRISER SES

/
SYSTEMES D’INFORMATION
FICHE 1
FICHE 2 : METTRE EN PLACE UN SOCLE

DE CAPACITES OPERATIONNELLES
/
GARANTISSANT UN NIVEAU ADAPTE DE
RESILIENCE NUMERIQUE
FICHE 2
FICHE 3 : FORMALISER UNE STRATEGIE

/
DE COMMUNICATION DE CRISE CYBER
FICHE 3
FICHE 4 : ADAPTER SON ORGANISATION

/
DE CRISE AU SCENARIO CYBER
FICHE 4
FICHE 5 : PREPARER SES CAPACITES DE

/
REPONSE A INCIDENT
FICHE 5
FICHE 6 : METTRE EN PLACE DES

/
POLICES D’ASSURANCE ADAPTEES
FICHE 6
FICHE 7 : S’ENTRAINER POUR
/
PRATIQUER ET S’AMELIORER
FICHE 7
FICHE 8 : ACTIVER SON DISPOSITIF DE

/
CRISE CYBER
FICHE 8
FICHE 9 : PILOTER SON DISPOSITIF DE

/
CRISE
FICHE 9
FICHE 10 : SOUTENIR SES EQUIPES DE

/
GESTION DE CRISE
FICHE 10
FICHE 11 : ACTIVER SES RESEAUX DE

/
SOUTIEN
FICHE 11
FICHE 12 : COMMUNIQUER
/
EFFICACEMENT
FICHE 12
FICHE 13 : CONDUIRE L’INVESTIGATION

/
NUMERIQUE
FICHE 13
FICHE 14 : METTRE EN PLACE UN MODE

DE FONCTIONNEMENT DEGRADE POUR /
LES METIERS IMPACTES
FICHE 14
FICHE 15 : DURCIR ET REMEDIER /
FICHE 15
FICHE 16 : PREPARER ET
/
INDUSTRIALISER LA RECONSTRUCTION
FICHE 16
FICHE 17 : ORGANISER SA SORTIE DE
/
CRISE
FICHE 17
FICHE 18 : TIRER LES LEÇONS DE LA

/
CRISE
FICHE 18
#N/A
ées
ocessus et outillage
ation de crise et relations externes
2 3 Moyenne
0 0 /
0 0 /
0 0 /
0 0 /
0 0 /
yber
Réagir - Phase 1 : Alerter, mobiliser et endiguer
agir - Phase 2 : Maintenir la confiance et comprendre l'attaque
2 3 Moyenne
0 0 /
0 0 /
0 0 /
0 0 /
0 0 /
0 1 2 3
SER SES SYSTEMES D’INFORMATION
DAPTE DE RESILIENCE NUMERIQUE
COMMUNICATION DE CRISE CYBER
ION DE CRISE AU SCENARIO CYBER
APACITES DE REPONSE A INCIDENT
POUR PRATIQUER ET S’AMELIORER
R SON DISPOSITIF DE CRISE CYBER
SER SES SYSTEMES D’INFORMATION
DAPTE DE RESILIENCE NUMERIQUE
COMMUNICATION DE CRISE CYBER
ION DE CRISE AU SCENARIO CYBER
APACITES DE REPONSE A INCIDENT
POUR PRATIQUER ET S’AMELIORER
R SON DISPOSITIF DE CRISE CYBER
PILOTER SON DISPOSITIF DE CRISE
SES EQUIPES DE GESTION DE CRISE
ACTIVER SES RESEAUX DE SOUTIEN
12 : COMMUNIQUER EFFICACEMENT
UIRE L’INVESTIGATION NUMERIQUE
RADE POUR LES METIERS IMPACTES
FICHE 15 : DURCIR ET REMEDIER
USTRIALISER LA RECONSTRUCTION
7 : ORGANISER SA SORTIE DE CRISE
18 : TIRER LES LEÇONS DE LA CRISE
Appréciation
#N/A
#N/A
#N/A
#N/A
#N/A
#N/A
#N/A
#N/A
#N/A
#N/A
#N/A
#N/A
#N/A
#N/A
#N/A
#N/A
#N/A
#N/A
ID VOLET PREPARATION REACTION

FICHE 4 : ADAPTER
SON FICHE 8 : ACTIVER SON
1.1 STRATEGIQUE ORGANISATION DE DISPOSITIF DE CRISE
CRISE AU CYBER
SCENARIO CYBER
FICHE 7 :
S’ENTRAINER POUR
1.2 STRATEGIQUE
PRATIQUER ET
S’AMELIORER
FICHE 7 :
OPERATIONNEL CYBER S’ENTRAINER POUR
1.3
ET IT PRATIQUER ET
S’AMELIORER
FICHE 4 : ADAPTER
CRISE AU CYBER
SCENARIO CYBER
FICHE 10 : SOUTENIR
OPERATIONNEL CYBER
2.2 SES EQUIPES DE
ET IT
GESTION DE CRISE
FICHE 4 : ADAPTER
CRISE AU CYBER
SCENARIO CYBER
FICHE 4 : ADAPTER
OPERATIONNEL CYBER
2.4 ORGANISATION DE DISPOSITIF DE CRISE
ET IT
CRISE AU CYBER
SCENARIO CYBER
FICHE 5 :
PREPARER SES FICHE 8 : ACTIVER SON
2.5 STRATEGIQUE CAPACITES DE DISPOSITIF DE CRISE
REPONSE A CYBER
INCIDENT
FICHE 5 :
PREPARER SES
OPERATIONNEL CYBER FICHE 11 : ACTIVER SES
2.6 CAPACITES DE
ET IT RESEAUX DE SOUTIEN
REPONSE A
INCIDENT
FICHE 8 : ACTIVER SON

2.7 STRATEGIQUE DISPOSITIF DE CRISE
CYBER
FICHE 12 :
OPERATIONNEL CYBER
2.8 COMMUNIQUER
ET IT
EFFICACEMENT
FICHE 4 : ADAPTER
CRISE AU CYBER
SCENARIO CYBER
FICHE 4 : ADAPTER
SON
2.10 STRATEGIQUE ORGANISATION DE
CRISE AU
SCENARIO CYBER
FICHE 4 : ADAPTER
SON
OPERATIONNEL CYBER
2.11 ORGANISATION DE
ET IT
CRISE AU
SCENARIO CYBER
FICHE 4 : ADAPTER
CRISE AU CYBER
SCENARIO CYBER
Processus et outillage
FICHE 4 : ADAPTER
SON
4.1 STRATEGIQUE ORGANISATION DE
CRISE AU
SCENARIO CYBER
FICHE 2 : METTRE
EN PLACE UN
SOCLE DE
CAPACITES
4.2 STRATEGIQUE OPERATIONNELLES
GARANTISSANT UN
NIVEAU ADAPTE DE
RESILIENCE
NUMERIQUE
FICHE 4 : ADAPTER
CRISE AU CYBER
SCENARIO CYBER
FICHE 4 : ADAPTER
CRISE AU CYBER
SCENARIO CYBER
FICHE 4 : ADAPTER
OPERATIONNEL CYBER
ET IT
CRISE AU CYBER
SCENARIO CYBER
FICHE 8 : ACTIVER SON

5.1 STRATEGIQUE DISPOSITIF DE CRISE
CYBER
FICHE 4 : ADAPTER
SON
OPERATIONNEL CYBER FICHE 9 : PILOTER SON
5.2 ORGANISATION DE
ET IT DISPOSITIF DE CRISE
CRISE AU
SCENARIO CYBER
FICHE 17 : ORGANISER
5.3 STRATEGIQUE
SA SORTIE DE CRISE
FICHE 10 : SOUTENIR
5.4 STRATEGIQUE SES EQUIPES DE
GESTION DE CRISE
FICHE 6 : METTRE
EN PLACE DES
5.5 POLICES
D’ASSURANCE
ADAPTEES
Communication de crise et relations externes
FICHE 11 : ACTIVER SES

5.6 STRATEGIQUE
RESEAUX DE SOUTIEN
FICHE 3 :
FORMALISER UNE
6.1 STRATEGIQUE STRATEGIE DE
DISPOSITIF DE CRISE
COMMUNICATION
DE CRISE CYBER
FICHE 2 : METTRE
EN PLACE UN
SOCLE DE
CAPACITES FICHE 10 : SOUTENIR
6.2 STRATEGIQUE OPERATIONNELLES SES EQUIPES DE
GARANTISSANT UN GESTION DE CRISE
NIVEAU ADAPTE DE
RESILIENCE
NUMERIQUE
FICHE 3 :
FORMALISER UNE FICHE 12 :
7.1 STRATEGIQUE STRATEGIE DE COMMUNIQUER
COMMUNICATION EFFICACEMENT
DE CRISE CYBER
FICHE 3 :
FORMALISER UNE
7.2 STRATEGIE DE
COMMUNICATION
DE CRISE CYBER
FICHE 10 : SOUTENIR
7.3 STRATEGIQUE SES EQUIPES DE
GESTION DE CRISE
FICHE 11 : ACTIVER SES
7.4 STRATEGIQUE
RESEAUX DE SOUTIEN

7.5
Détection et réponse à incidents

FICHE 4 : ADAPTER
CRISE AU CYBER
SCENARIO CYBER
FICHE 4 : ADAPTER
OPERATIONNEL CYBER
ET IT
CRISE AU CYBER
SCENARIO CYBER
FICHE 5 :
PREPARER SES
9.1 CAPACITES DE
REPONSE A
INCIDENT
FICHE 5 :
PREPARER SES
OPERATIONNEL CYBER
9.2 CAPACITES DE
ET IT
REPONSE A
INCIDENT
FICHE 5 :
PREPARER SES
OPERATIONNEL CYBER
9.3 CAPACITES DE
ET IT
REPONSE A
INCIDENT
OPERATIONNEL CYBER FICHE 15 : DURCIR ET

9.4
ET IT REMEDIER
FICHE 15 : DURCIR ET
9.5 STRATEGIQUE
REMEDIER
9.6
Continuité d'activité et reconstruction

FICHE 1 :
CONNAITRE ET
10.1 STRATEGIQUE MAITRISER SES
DISPOSITIF DE CRISE
SYSTEMES
D’INFORMATION
FICHE 1 :
CONNAITRE ET
10.2 MAITRISER SES
SYSTEMES
D’INFORMATION
FICHE 1 :
CONNAITRE ET
10.3 MAITRISER SES
SYSTEMES
D’INFORMATION
FICHE 2 : METTRE
EN PLACE UN
SOCLE DE
CAPACITES
GARANTISSANT UN
NIVEAU ADAPTE DE
RESILIENCE
NUMERIQUE
FICHE 2 : METTRE
EN PLACE UN
SOCLE DE
CAPACITES
OPERATIONNEL CYBER
10.5 OPERATIONNELLES
ET IT
GARANTISSANT UN
NIVEAU ADAPTE DE
RESILIENCE
NUMERIQUE
FICHE 2 : METTRE
EN PLACE UN
SOCLE DE FICHE 14 : METTRE EN
CAPACITES PLACE UN MODE DE
10.6 STRATEGIQUE OPERATIONNELLES FONCTIONNEMENT
GARANTISSANT UN DEGRADE POUR LES
NIVEAU ADAPTE DE METIERS IMPACTES
RESILIENCE
NUMERIQUE
FICHE 2 : METTRE
EN PLACE UN
SOCLE DE FICHE 14 : METTRE EN
CAPACITES PLACE UN MODE DE
OPERATIONNEL CYBER
10.7 OPERATIONNELLES FONCTIONNEMENT
ET IT
GARANTISSANT UN DEGRADE POUR LES
NIVEAU ADAPTE DE METIERS IMPACTES
RESILIENCE
NUMERIQUE
FICHE 2 : METTRE
EN PLACE UN
SOCLE DE
CAPACITES
GARANTISSANT UN
NIVEAU ADAPTE DE
RESILIENCE
NUMERIQUE
FICHE 2 : METTRE
EN PLACE UN
SOCLE DE
CAPACITES
OPERATIONNEL CYBER
ET IT
GARANTISSANT UN
NIVEAU ADAPTE DE
RESILIENCE
NUMERIQUE
FICHE 2 : METTRE
EN PLACE UN
SOCLE DE
CAPACITES
OPERATIONNEL CYBER
ET IT
GARANTISSANT UN
NIVEAU ADAPTE DE
RESILIENCE
NUMERIQUE
FICHE 2 : METTRE
EN PLACE UN
SOCLE DE
CAPACITES FICHE 16 : PREPARER
OPERATIONNEL CYBER
11.2 OPERATIONNELLES ET INDUSTRIALISER LA
ET IT
GARANTISSANT UN RECONSTRUCTION
NIVEAU ADAPTE DE
RESILIENCE
NUMERIQUE
FICHE 2 : METTRE
EN PLACE UN
SOCLE DE
CAPACITES
OPERATIONNEL CYBER
ET IT
GARANTISSANT UN
NIVEAU ADAPTE DE
RESILIENCE
NUMERIQUE
FICHE 2 : METTRE
EN PLACE UN
SOCLE DE
CAPACITES
OPERATIONNEL CYBER
ET IT
GARANTISSANT UN
NIVEAU ADAPTE DE
RESILIENCE
NUMERIQUE
FICHE 16 : PREPARER
11.5 STRATEGIQUE ET INDUSTRIALISER LA
RECONSTRUCTION
FICHE 16 : PREPARER
OPERATIONNEL CYBER
11.6 ET INDUSTRIALISER LA
ET IT
RECONSTRUCTION
FICHE 16 : PREPARER
OPERATIONNEL CYBER
11.7 ET INDUSTRIALISER LA
ET IT
RECONSTRUCTION
TEMPORALITE - TEMPORALITE -
OBJECTIF
PREPARATION REACTION
Mettre en place des

Réagir - Phase 1 :
Se préparer à affronter critères et des
une crise cyber procédures d'activation
endiguer
des cellules de crise
Définir un plan
d'entraînement de crise
une crise cyber
cyber
Définir un plan
d'entraînement de crise
une crise cyber
cyber
Mettre en place des

Réagir - Phase 1 :
endiguer
Réagir - Phase 1 :
Créer des "équipes"
cyber
endiguer
Réagir - Phase 1 :
Se préparer à affronter Organiser ses cellules
une crise cyber de crise cyber
endiguer
Réagir - Phase 1 :
endiguer
Réagir - Phase 1 : Identifier les experts à

Alerter, mobiliser et solliciter en temps de
une crise cyber
endiguer crise
Réagir - Phase 1 : Identifier les experts à

Alerter, mobiliser et solliciter en temps de
une crise cyber
endiguer crise
Réagir - Phase 1 :
Alerter, mobiliser et Mobiliser les équipes
endiguer
Réagir - Phase 2 : Informer la cellule

Maintenir la confiance et stratégique de la
comprendre l'attaque situation
Réagir - Phase 1 :
endiguer


les leçons de la crise et Organiser le RETEX
capitaliser
Mettre en place des

Mettre en place des

outils de conduite de
une crise cyber
crise résilients
Réagir - Phase 1 :
endiguer
Mettre en place des

Réagir - Phase 1 :
endiguer
Mettre en place des

Réagir - Phase 1 :
endiguer
Réagir - Phase 1 :
Alerter, mobiliser et Mobiliser les équipes
endiguer
Réagir - Phase 1 :
endiguer

Adapter des seuils de
les leçons de la crise et
sortie de crise
capitaliser
Réagir - Phase 1 :
Mettre en place un
support RH adapté
endiguer
Réagir - Phase 1 : Adapter l'assurance aux

Alerter, mobiliser et besoins de
une crise cyber
endiguer l'organisation
Réagir - Phase 1 :
Activer son assurance
cyber
endiguer
Réagir - Phase 1 : Etablir une liste des

Alerter, mobiliser et parties prenantes à
une crise cyber
endiguer contacter
Réagir - Phase 1 : Mettre en place des

Alerter, mobiliser et outils de conduite de
une crise cyber
endiguer crise résilients
Réagir - Phase 2 :
Se préparer à affronter Anticiper la stratégie de
Maintenir la confiance et
une crise cyber communication de crise
Réagir - Phase 1 :
Se préparer à affronter Anticiper la stratégie de
une crise cyber communication de crise
endiguer
Réagir - Phase 1 : Assurer un support aux

Alerter, mobiliser et volets communication et
endiguer juridique
Réagir - Phase 1 : Déclarer son incident
Alerter, mobiliser et auprès des autorités
endiguer compétentes
Réagir - Phase 1 : Déclarer son incident

Alerter, mobiliser et auprès des autorités
endiguer compétentes
Mettre en place des

Réagir - Phase 1 :
endiguer
Mettre en place des

Réagir - Phase 1 :
endiguer
Mettre en place les

Réagir - Phase 2 :
Se préparer à affronter capacités de réactions
Maintenir la confiance et
une crise cyber techniques face aux
Mettre en place les

une crise cyber techniques face aux
Mettre en place les

une crise cyber stratégiques face aux
Reprendre le contrôle
Réagir - Phase 3 :
des
systèmes et durcir pour
empêcher de nouvelles
compromissions
Réagir - Phase 3 : Objectiver les

Relancer les activités orientations sur le
métiers et durcir les durcissement et la
systèmes d'information remédiation
Réagir - Phase 1 :
Alerter, mobiliser et Endiguer l'attaque
endiguer
Cartographier ses
Réagir - Phase 1 :
Se préparer à affronter applications et
une crise cyber ressources métiers
endiguer
critiques
Réagir - Phase 1 :
une crise cyber
endiguer
Réagir - Phase 1 :
une crise cyber
endiguer
Adapter le plan de
continuité d'activité au
une crise cyber
scénario de crise cyber
Adapter le plan de
une crise cyber

Maintenir la confiance et continuité d'activité au
une crise cyber
comprendre l'attaque scénario de crise cyber
Maintenir la confiance et continuité d'activité au
une crise cyber
comprendre l'attaque scénario de crise cyber
reprise d'activité pour le
une crise cyber
scénario cyber
Adapter le plan de
une crise cyber
une crise cyber
scénario cyber
Réagir - Phase 3 :
Adapter le plan de
Se préparer à affronter Relancer les activités
une crise cyber métiers et durcir les
une crise cyber
scénario cyber
une crise cyber
scénario cyber
Réagir - Phase 3 :
Organiser et adapter le
comportement des
utilisateurs
Réagir - Phase 3 :
Sécuriser
l’industrialisation
de la reconstruction
Réagir - Phase 3 :
Sécuriser
l’industrialisation
de la reconstruction
MATURITE AUTO-
QUESTION
EVALUEE

l'organisation sont-elles 0
sensibilisées aux enjeux cyber ?
Quelle est la stratégie d'entraînement

de gestion de crise au niveau 0
stratégique ?
Quelle est la stratégie d'entraînement

de gestion de crise au niveau 0
opérationnel ?
L'ensemble du dispositif de crise est-

il formalisé dans un référentiel de 0
management (politique globale) ?
Comment le processus de gestion de

crise prévoit-il l'organisation des 0
équipes cyber ?
Comment est formée la cellule de

0
crise stratégique ?
Comment s'organisent les équipes

0
opérationnelles en cas de crise ?
Quelles sont les expertises

0
identifiées au niveau stratégique?
Quelles sont les expertises

0
identifiées au niveau opérationnel?
Comment la cellule de crise

stratégique communique-t-elle avec
0
les équipes opérationnelles cyber et
IT ?
Comment sont anticipées les
interactions entre les équipes
0
techniques et les cellules
opérationnelles ?
Comment sont prises en compte les

problématiques internationales ? (si 0
non applicable, ne pas répondre)
Comment l'anticipation est-elle
intégrée à la cellule de crise 0
stratégique?
Comment l'anticipation et la
connaissance de la menace est-elle 0
intégrée au niveau opérationnel?
Comment est organisé la phase de

0
RETEX de crise?
Un dispositif d'astreinte est-il

0
existant?
La cellule de crise dispose-t-elle

d'outils numériques dédiés à la 0
gestion de crise?
Comment circule l'information au

0
sein de la cellule de crise ?
Les critères d'activation de la cellule

0
stratégique sont-ils formalisés ?
Comment sont définis les critères

d'activation et de désactivation du 0
dispositif opérationnel ?
Comment le processus de gestion de

crise prévoit-il le premier état des 0
lieux de la situation ?
Un suivi de crise est-il mis en place ? 0
Les conditions de sortie de crise

sont-elles pré définies et évaluées 0
durant la crise ?
Quels sont les moyens logistiques
prévus pour une gestion de crise 0
cyber ?
Les besoins en assurance en cas de

crise cyber sont-ils correctement 0
couverts ?
Comment est activée l'assurance

0
cyber ?
Les parties prenantes à contacter ou

tenir informées en cas de crise sont- 0
elles identifiées ?
L'organisation dispose-t-elle de
moyens de communication alternatifs 0
?
La stratégie de communication cyber

0
est-elle formalisée ?
Comment est réalisée l'analyse de

risque communicationnelle (pour
identifier les risques provenant de
0
communications de médias, de
salariés, de concurrents, d'autorités,
etc.) ?
Comment est préparée l'équipe

0
juridique à une crise cyber ?
Comment sont anticipées les actions
0
de déclaration d'incident ?
Quelle est la procédure de

0
déclaration d'incident ?
Les modalités d'escalade d'une alerte

vers la cellule stratégique sont-elles 0
formalisées ?
Un processus d'alerte, de gestion et

de réponse dédié aux incidents cyber 0
est-il formalisé ?
Comment sont menées les actions de

0
détection et d'investigation?
Comment sont formalisées les

procédure de confinement en amont 0
de la crise ?
Des mémos techniques sont-ils à

0
disposition des équipes ?
Comment est défini le plan de

durcissement durant la crise ?
Comment les investigations sont- 0
elles intégrés dans le travail de
durcissement ?
Quelle gouvernance est mise en

place dans le cadre du durcissement 0
et de la remédiation des SI?
Comment les mesures
conservatoires et de remédiation
0
sont-elles validées par la cellule
stratégique durant la crise ?
Comment est établie et priorisée la

0
liste des services critiques ?
Comment sont cartographiés les

0
actifs technologiques ?
Comment sont cartographiés les

0
services numériques externalisés ?
Quelles informations sont inclues

0
dans le plan de continuité d'activité ?
Comment sont consultés les métiers

pour l'intégration des aspects cyber 0
dans les PCA "Métiers"?
Comment l'activité des prestataires

de services numériques
(hébergement, nuagique, 0
administration/maintenance, etc.) est
inclue dans le PCA ?
Comment est envisagée
l'indisponibilité des services 0
numériques dans le PCA ?
Comment est définie les métriques

de continuité (TAMT, DMIA, PDMA, 0
TRD) ?
Comment est surveillé l'évolution de

0
l'état de la menace cyber ?
Comment sont priorisées les actions

à mener pour relancer les services 0
numériques et l'activité des métiers ?
Comment est défini le plan de

0
sauvegarde des données ?
Les procédures de basculement sur

un réseau SI de secours sont-elles 0
formalisées ?
Les processus de restauration des
données et de réinstallation des SI 0
sont-ils formalisés ?
Quelles gouvernance est mise en

place dans le cadre de la 0
reconstruction des SI?
Comment l'industrialisation de la
0
reconstruction est-elle effectuée?
Comment les travaux de

reconstruction et d'industrialisation 0
sont-ils vérifiés et sécurisés?
Prochaine étape
Une partie des fonctions décisionnelles est sensibilisée aux enjeux cyber. Un dispositif de
gestion de crise est présent.
Des exercices testant des scénarios cyber sont organisés au niveau stratégique.
Des exercices testant des scénarios cyber sont organisés au niveau opérationnel.
Un référentiel de management des crises intégrant une description de l’ensemble du

dispositif de crise (organisation, gouvernance, ressources, outils, annuaire) existe mais
n'intègre pas le volet cyber.
Le roulement des équipes est anticipé et l'activité opérationnelle des collaborateurs (en
particulier l'intervention en heures non ouvrées) est suivie afin de préserver leur capacité à
opérer dans la durée et de régulariser leur temps de travail.
Les membres de la cellule de crise sont identifiés et sont informés de leur nomination au
dispositif.
Les membres de la cellule de crise opérationnelle sont identifiés et sont informés de leur
nomination au dispositif. Une organisation alternative des équipes est mise en place.
Des expertises sont identifiées, et couvrent au moins l'un des domaines suivants :
- gestion de projet.
Des expertises sont identifiées, et couvrent certains des domaines suivants :

- remédiation technique
- infrastructure informatique.
Les différents rôles des interlocuteurs des cellules opérationnelles et de la cellule

stratégique sont définis et se réunissent ponctuellement.
Il est prévu que les équipes techniques communiquent avec les autres cellules sur la base
de réunions ad-hoc.
Les problématiques internationales sont prises en compte de manière informelle.

Une équipe est en charge du volet anticipation dans la cellule de crise.
Une fonction CTI existe au sein des équipes cyber. Elle n'est pas prise en compte en
prévision ou durant les crises.
L'équipe en charge du RETEX est identifiée. Cette équipe identifie les acteurs à interroger,
la grille d'entretien et organise les aspects pratiques du RETEX.
Des personnes sont identifiées pour intervenir en heures non-ouvrées, de manière

informelle.
La cellule de crise possède des outils numériques dédiés.
La cellule de crise communique à l'aide de différents moyens (outils) de communications.
Les critères d'activation de la cellule stratégique sont définis de manière informelle.
Les critères d'activation et de désactivation des dispositifs opérationnels prévoient en

particulier l’activation par effet de seuil (par le bas) et l’activation sur décision du dispositif
stratégique (par le haut).
Les personnes conviées au lancement de crise sont définies en amont d'une crise.
Les décisions prises pendant la crise font l'objet d'un suivi informel.
Les processus prévoient l'évaluation des critères de sortie de crise au démarrage de la

crise.
Des salles de réunions permettant aux différentes cellules de crise de se retrouver et de

travailler ensemble sont identifiées et mobilisables.
Les besoins en cas de crise cyber sont identifiés pour compléter les dispositifs
opérationnels existants (expertise, couverture des frais, etc.). Un état des lieux est mené
pour identifier la couverture et les polices existantes au sein de l’organisation.
L’assurance cyber est activée sur décision de la cellule stratégique.
La liste des parties prenantes est pré-identifiée avec leurs contacts.

Les contacts suivants sont notamment identifiés:
- contacts internes
- autorités
L'organisation possède des moyens de communication alternatifs internes.
Une stratégie de crise en cas d'incident cyber est établie de manière informelle.
Les grandes orientations permettant d'identifier les risques communicationnelles sont

identifiées mais non formalisées.
L'équipe juridique est mobilisée dans la gestion de crise cyber afin d'identifier les
obligations qui ne pourront pas être respectées auprès des partenaires, clients et
fournisseurs.
Les déclarations obligatoires sont anticipées dans un processus informel.
Les équipes cyber et SI partagent les informations nécessaires à la déclaration selon un

processus informel.
Les modalités d’escalade de l’alerte vers le niveau stratégique est définie de manière
informelle.
Un processus d'alerte, de gestion et de réponse aux incidents intégrant un volet « sécurité

du numérique » existe de manière informelle.
Des outils sont mis en place pour faciliter les actions de détection et d'investigation.
Les actions à réaliser par les équipes techniques sont définies de manière informelle.
Les mémos techniques intègrent des listes d'actions à mener par les différentes équipes
métiers.
Des actions de durcissement sont mises en place sur la base de fiches réflexes, sans tenir
compte des résultats d'investigation.
Un plan d'action consolide la liste des mesures à entreprendre pour durcir les systèmes et
isoler l'attaquant. Les mesures sont mises en place et consolidés dans le document.
Les cas où les mesures conservatoires et de remédiation font l'objet d'une validation par la
cellule stratégique sont définis informellement.
Une liste des services critiques et des applications associées est informelle ou incomplète.
Les principaux actifs technologiques et leurs dépendances sont listés de manière

informelle.
Les interconnexions avec les services externalisés sont listées de manière informelle.
Un ou plusieurs PCA inclut l’analyse, l’évaluation et le traitement des risques numériques

et cyber.
Les métiers sont consultés de manière informelle lors de l'intégration des aspects cyber
dans les PCA "Métiers".
Le PCA ne prévoit qu'une partie des situations liées à l'activité des prestataires.
En cas d'indisponibilité des services numériques, des solutions de continuité d'activité
métier ont été définies de manière informelle.
Les métriques de continuité d'activité sont définies pour certains services critiques.
L'état de la menace cyber fait l'objet d'une surveillance ponctuelle.
La liste des actions à réaliser est établie sans priorisation.
Le plan de sauvegarde est défini de manière informelle.
L'organisation possède un réseau de secours SI et les procédures de basculement sur ce

réseau sont définies de manière informelle.
Le processus de restauration des données et de réinstallation des SI est défini de manière
informelle.
Une stratégie de reconstruction est définie. Elle conduit à un état des lieux régulièrement
partagé à la cellule opérationnelle cyber et IT et la
cellule stratégique.
Une procédure consolide les principales règles d'industrialisation de la reconstruction. Un

plan d'action consolide les actions à entreprendre et l'avancée du chantier.
Une checklist de sécurité standard est définie pour la reconstruction, et est vérifiée avant
mise en production.
Outils / Documents disponibles Notes complémentaires
- Organiser un exercice de gestion de crise cyber, 2020 :

www.ssi.gouv.fr/guide/organiser-un-exercice-de-gestion-
de-crise-cyber/
- Organiser un exercice de gestion de crise cyber, 2020 :

www.ssi.gouv.fr/guide/organiser-un-exercice-de-gestion-
de-crise-cyber/
- Guide d’hygiène informatique, 2017 :
www.ssi.gouv.fr/guide/guide-dhygiene-informatique

- Maîtrise du risque, « Étape 6 : mettre en place des
polices d’assurance
adaptées », 2019 :
www.ssi.gouv.fr/guide/maitrise-du-risque-numerique-
latout-confiance/ (p. 28)

- Guide "Anticiper et gérer sa communication de crise

cyber" de l'ANSSI, 2021:
https://www.ssi.gouv.fr/guide/anticiper-et-gerer-sa-
communication-de-crise-cyber/
- Guide "Anticiper et gérer sa communication de crise

cyber" de l'ANSSI, 2021:
https://www.ssi.gouv.fr/guide/anticiper-et-gerer-sa-
communication-de-crise-cyber/
- Déclarer un incident sur le site de l’ANSSI :
www.ssi.gouv.fr/en-cas-dincident
- Notifier une violation de données personnelles.
www.cnil.fr/fr/notifier-une-violation-de-donnees-
personnelles
- Assistance en cas d’incident :
www.cybermalveillance.gouv.fr/diagnostic
- Déclarer un incident sur le site de l’ANSSI :
www.ssi.gouv.fr/en-cas-dincident
- Notifier une violation de données personnelles.
www.cnil.fr/fr/notifier-une-violation-de-donnees-
personnelles
- Assistance en cas d’incident :
www.cybermalveillance.gouv.fr/diagnostic
- Cartographie du système d’information, guide
l’élaboration en 5 étapes, 2018 :
www.ssi.gouv.fr/guide/cartographie-du-systeme-
dinformation/
- Méthode EBIOS Risk Manager, 2018 :
www.ssi.gouv.fr/entreprise/management-du-risque/la-
methode-ebios-risk-manager
Cartographie du système d’information, guide

l’élaboration en 5 étapes, 2018 :
www.ssi.gouv.fr/guide/cartographie-du-systeme-
dinformation/
- Guide pour réaliser un plan de continuité d’activité, 2013

:
www.sgdsn.gouv.fr/uploads/2016/10/guide-pca-sgdsn-
110613-normal.pdf

:
110613-normal.pdf

:
110613-normal.pdf
:
110613-normal.pdf

:
110613-normal.pdf
- Maîtrise du risque, l’atout confiance, 2019 :

latout-confiance/
- Maîtrise du risque, l’atout confiance, 2019 :

latout-confiance/

:
110613-normal.pdf

Historique des versions
Date Version Evolution du document Rédacteur
6/26/2023 1.0 Publication du document ANSSI
7/10/2023 1.0.1 Correction d'un problème dans l'affichageANSSI
9/18/2023 1.0.2 Modification de l'adresse de retour ANSSI
Vous pouvez transmettre vos retours sur ce document, ou les résultats de votre
questionnaire via votre point de contact à l'ANSSI ou à l'adresse suivante :
Agence nationale de la sécurité des systèmes d’information
SGDSN/ANSSI
51 boulevard de La Tour-Maubourg
75700 Paris 07 SP
autoevaluation-gdc@ssi.gouv.fr

Tlpclear - Anssi - Questionnaire D - Evaluation A La Maturite en Gestion de Crise Cyber - v1.0.2

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Tlpclear - Anssi - Questionnaire D - Evaluation A La Maturite en Gestion de Crise Cyber - v1.0.2

Transféré par

Droits d'auteur :

Formats disponibles

Guide utilisateur

Présentation du questionnaire de maturité

Ce questionnaire est composé de 3 onglets :

- Onglet « Questionnaire d’évaluation »

- Onglet « Résultat global »

Ce questionnaire est composé de 3 onglets :

- Onglet « Questionnaire d’évaluation »

- Onglet « Résultat global »

votre réponse et n’hésitez pas à vous

enariat avec le CDSE en décembre

la forme de questions, auxquelles sont

on organisation. Pour l’aider dans sa

feuille « Résultat global ». Vous

ées par l’utilisateur pour toutes les

stion par l’utilisateur et propose les

t points d’amélioration de vos processus

feuille « Résultat global ». Vous

ées par l’utilisateur pour toutes les

stion par l’utilisateur et propose les

t points d’amélioration de vos processus

Gouvernance et interactions entre équipes mobilisées

FICHE 4 : ADAPTER SON

Gouvernance et FICHE 7 : S’ENTRAINER

Gouvernance et FICHE 7 : S’ENTRAINER

FICHE 4 : ADAPTER SON

FICHE 4 : ADAPTER SON

Gouvernance et FICHE 5 : PREPARER

Gouvernance et FICHE 5 : PREPARER

FICHE 4 : ADAPTER SON

FICHE 4 : ADAPTER SON

FICHE 4 : ADAPTER SON

FICHE 4 : ADAPTER SON

FICHE 4 : ADAPTER SON

FICHE 4 : ADAPTER SON

5.1 Processus et outillage STRATEGIQUE

FICHE 4 : ADAPTER SON

5.4 Processus et outillage STRATEGIQUE

Communication de crise et relations externes

Détection et réponse à incidents

FICHE 4 : ADAPTER SON

FICHE 4 : ADAPTER SON

Détection et réponse à OPERATIONNEL

Continuité d'activité et reconstruction

Continuité d'activité et OPERATIONNEL

Mettre en place des

Mettre en place des

FICHE 10 : SOUTENIR Réagir - Phase 1 :

FICHE 8 : ACTIVER SON Réagir - Phase 1 : Organiser ses

FICHE 8 : ACTIVER SON Réagir - Phase 1 : Identifier les experts

Réagir - Phase 1 : Identifier les experts

FICHE 12 : Réagir - Phase 2 : Informer la cellule

FICHE 8 : ACTIVER SON Réagir - Phase 1 : Organiser ses

Réagir - Phase 4 : Tirer

Mettre en place des

FICHE 8 : ACTIVER SON Réagir - Phase 1 : Organiser ses

Mettre en place des

Mettre en place des

FICHE 8 : ACTIVER SON Réagir - Phase 1 :

Réagir - Phase 1 : Organiser ses

FICHE 10 : SOUTENIR Réagir - Phase 1 :

Réagir - Phase 1 : Adapter l'assurance

Réagir - Phase 1 : Etablir une liste des

Mettre en place des