Il s’agit de l’équipe SOC, qui gère les activités de surveillance et de détection, et peut monitorer le trafic sur le site internet.

L’équipe CERT va gérer plutôt la partie réponse à incident, tandis que l’analyste de la menace en saura plus sur les attaquants qui peuvent cibler l’entreprise, et leurs modes opératoires.

Un SIEM (Security Information & Event Management) est un outil qui permet de centraliser et d’analyser les traces collectées sur le système d’information.

C’est le SOC qui est l’équipe de détection des incidents de sécurité, et qui utilise le SIEM comme outil.

Le premier objectif de la gestion de crise est de limiter les impacts pour l’entreprise. 

Mettre en place une organisation de gestion de crise permet aussi de coordonner plus efficacement les parties prenantes, et ainsi de résoudre la crise le plus rapidement possible.

Enfin, la mise en place d'une organisation de gestion de crise est une étape qui ne regarde que les parties prenantes internes, mais dont les parties prenantes externes (clients, fournisseurs) bénéficieront,

• Une cellule de crise stratégique, une cellule de crise technique et une cellule de crise métier sont tout à fait adaptées : la première va prendre les décisions concernant l’interne comme l’externe, la deuxième va mener les investigations techniques sur l’attaque et travailler à refaire fonctionner le site internet, et la troisième va trouver des solutions pour réaliser les activités de l’entreprise sans les outils habituels de travail.

• Les clients et les fournisseurs ne font pas partie de cellules de crise spécifiques, en revanche ils seront destinataires des communications préparées par l’entreprise sur l’incident en cours.

Lors d’une crise, la transparence est recommandée… dans une certaine mesure ! Bien maîtrisée, elle permet d’éviter la propagation de rumeurs ou la panique sur les réseaux sociaux. Mais elle doit aussi veiller à ne pas donner trop d’informations à un attaquant !

Trouver un juste milieu, adapté à chaque type de destinataire, est donc primordial. Lors de crises, une seule personne est habilitée à communiquer, même si plusieurs personnes de l’équipe Communication peuvent travailler sur le sujet.

Le CERT est la cellule de réponse à incident : cette équipe s’occupe, après une attaque, de collecter les traces laissées par l’attaquant et de les analyser. Cela permet de bien comprendre ce qui s’est passé (et donc comment éviter une attaque similaire dans le futur).

Les impacts financiers, contractuels et d’image pour l’entreprise sont très importants : le chiffre d’affaires a souffert de la crise, et de nombreux clients mécontents ont décidé d’aller voir ailleurs… Il est probable que l’entreprise mette plusieurs mois à se remettre de cette crise : d’une part pour remettre à plat ses processus internes et éviter qu’une nouvelle crise similaire survienne, d’autre part pour regagner la confiance de ses clients.

• La résilience du système d’information est sa capacité à fonctionner en cas d’incident ou de crise, et à retrouver son fonctionnement normal le plus rapidement et le plus efficacement possible.