UN SENSIBILISATION NÉCESSAIRE AU PILOTAGE DE LA GESTION DE CRISE EN CAS DE CYBERATTAQUE
L'examen de ce dossier a montré, vos rapporteurs n'en sont pas surpris, que les administrations, à l'exception de l'ANSSI dont c'est la raison d'être, ne étaient guère préparées, qu'à chaque étape, elles hésitaient sur la conduite à tenir parce qu'elles n'avaient pas expérimenté auparavant les mêmes difficultés, parce que les précédents étaient peu nombreux, et qu'elles n'avaient pas anticipé des scénarios de crise.
Vos rapporteurs estiment qu'une réflexion doit être engagée au sein des ministères et sans doute, au moins dans la phase initiale, au niveau interministériel en matière de gestion de crise cyber. Quels sont les acteurs internes et externes concernés ? Quels sont les niveaux de décisions adéquats ? Qui pilote la gestion de crise ? Selon quelles procédures ? Comment communiquer et à quel moment pour ne pas ajouter une crise à la crise ?... Des modes d'action restent à construire et à éprouver sous forme d'exercices. Il existe des plans à l'échelle interministérielle pilotés par le SGDSN pour des attaques du haut du spectre, mais pour des attaques de moyenne ampleur, les ministères restent démunis et l'ANSSI ne peut pourvoir à tout. En l'espèce, cette attaque n'a pas été considérée comme relevant du haut du spectre par le centre opérationnel de sécurité des systèmes d'information (COSSI) compte tenu de sa nature et l'ANSSI, qui l'a détectée, a très vite passé le relais au ministère.
Pour autant, elle relevait d'un ministère régalien et elle aurait pu comporter un risque potentiel pour la sécurité nationale. Il s'agissait d'un premier cas de mise en oeuvre de la RGPD, elle était susceptible de faire l'objet d'une publicité et devait déboucher sur une procédure judiciaire, vos rapporteurs estiment que cette attaque aurait mérité un suivi interministériel plus solide et plus complet portant sur l'ensemble des aspects de gestion de l'incident. Mais cela n'est pas toujours bien perçu ou accepté par des administrations souvent soucieuses de leur autonomie de gestion....
|
Recommandations Au ministère des affaires étrangères Formaliser une procédure de gestion de crise impliquant les directions concernées par les cyberattaques : HFDS, FSSI, DSI, direction de la sécurité diplomatique, direction de la communication et de la presse, direction des affaires juridiques et direction « métier » gestionnaire des données. |
|
Au Premier ministre Formuler des recommandations aux administrations de l'Etat sur la gestion des incidents et des crises résultant de cyberattaques. Etudier la mise en place de formations spécialisées à destination des cadres des administrations de l'Etat. |