Plan de crise - Cyberattaque
Plan de gestion de crise pour répondre à une cyberattaque majeure.
Informations générales
| Nom | Plan de crise - Cyberattaque |
|---|---|
| Type de crise | Cyber |
| Description | Plan de gestion de crise pour répondre à une cyberattaque majeure, incluant les ransomwares, les attaques DDoS et les fuites de données. |
| Responsable | Jean Dupont (Directeur IT) |
| Équipe de crise | Équipe technique |
| Statut | Actif |
|---|---|
| Date de création | 10/01/2025 |
| Dernière mise à jour | 15/02/2025 |
| Dernière activation | N/A |
| Dernier exercice | 10/01/2025 (Réussi) |
Procédures de crise
Critères d'activation
- Détection d'un ransomware sur plusieurs systèmes
- Attaque DDoS rendant les services critiques inaccessibles pendant plus de 30 minutes
- Fuite de données confirmée concernant des informations sensibles
- Compromission de plusieurs comptes administrateurs
- Alerte de sécurité critique émise par le SOC ou un partenaire de sécurité
Procédure d'escalade
- Alerte initiale détectée par le SOC ou les systèmes de surveillance
- Notification au responsable de la sécurité IT (Thomas Bernard)
- Évaluation préliminaire de la gravité et de l'étendue
- Si critique, activation de l'équipe technique de crise
- Information au directeur IT (Jean Dupont)
- Si impact majeur, activation de l'équipe de direction
- Communication au comité exécutif si nécessaire
Plan de communication
Communication interne
- Notification immédiate à l'équipe technique via le canal Slack dédié
- Point de situation toutes les 30 minutes pendant la phase critique
- Communication aux employés via email et intranet sur les mesures à prendre
- Mise en place d'une ligne téléphonique dédiée pour les questions
Communication externe
- Notification aux clients impactés selon les obligations légales
- Préparation des communiqués de presse par l'équipe communication
- Coordination avec les autorités compétentes (ANSSI, CNIL)
- Information aux partenaires et fournisseurs si nécessaire
Ressources nécessaires
Applications critiques
| Nom | Type | Criticité |
|---|---|---|
| Firewall Palo Alto | Sécurité | Critique |
| EDR CrowdStrike | Sécurité | Critique |
| SIEM Splunk | Monitoring | Critique |
| Backup Veeam | Sauvegarde | Élevée |
Ressources matérielles
| Ressource | Quantité |
|---|---|
| Postes de travail isolés | 5 |
| Serveurs de secours | 3 |
| Disques durs externes | 10 |
| Téléphones satellites | 2 |
Procédures de reprise
Procédures de reprise
Phase 1 : Confinement
- Isoler les systèmes infectés du réseau
- Bloquer les accès externes non essentiels
- Renforcer la surveillance des systèmes non touchés
- Activer les contrôles de sécurité supplémentaires
Phase 2 : Éradication
- Identifier la source et le vecteur de l'attaque
- Supprimer les logiciels malveillants des systèmes infectés
- Réinitialiser les identifiants compromis
- Appliquer les correctifs de sécurité nécessaires
Phase 3 : Restauration
- Restaurer les systèmes à partir des sauvegardes vérifiées
- Reconstruire les systèmes critiques si nécessaire
- Tester les fonctionnalités avant remise en production
- Rétablir progressivement les connexions réseau