Comment et pourquoi intégrer la crise cyber dans le plan communal de sauvegarde ?

La dimension de cyber-résilience fait intrinsèquement partie de la cybersécurité et doit aujourd’hui prendre toute sa part dans la préparation des collectivités, à commencer par devenir une composante des Plans Communaux de Sauvegarde (PCS). Ces derniers, créés par le législateur en 2004, avaient originellement pour but de préparer les communes à réagir à des événements extraordinaires. Initialement axés sur les problématiques de protection civile, notamment dans l’éventualité d’une catastrophe climatique de type inondation. Si la menace cyber ne présente que rarement un risque direct pour la population, il est cependant pertinent d’intégrer aujourd’hui cette dimension dans les PCS. En effet, l’organisation de crise déjà définie dans les PCS constitue une excellente base sur laquelle greffer des mesures spécifiques à la cybersécurité. La cellule de crise stratégique décisionnelle du PCS se verra alors complétée par une cellule de crise cyber et IT. Cette dernière, composée des spécialistes métier, pilotera les investigations, la remédiation et les opérations de reconstruction du SI.

Pour mettre en place les premiers secours en cas d’alerte, la collectivité doit disposer d’un collaborateur formé aux gestes d’urgence, souvent le responsable informatique, et de consignes précises pour les personnes chargées de la communication avec le public. Autre enjeu : avoir prévu des sauvegardes de toutes les composantes du système d’information (SI), mais aussi savoir dans quel ordre les restaurer. La collectivité doit également pouvoir remonter les traces, soit les journaux techniques de tout ce qui s’est passé sur ses serveurs, afin d’analyser comment la crise est arrivée et quels sont ses impacts. Enfin, il est impératif de prévoir à l’avance des moyens de communication alternatifs pour permettre aux collaborateurs de continuer à travailler ensemble même en cas de paralysie totale du SI, avec notamment un mémo recensant les contacts d’urgence et les procédures à suivre (sous format papier).

En amont, cela signifie vérifier régulièrement que la cartographie des SI est à jour, ajuster ses PCI et ses PRI (plans de continuité et de reprise informatique), identifier les intervenants externes qui pourront apporter de l’aide le moment venu, enfin avoir préparé les outils de communication et de gestion de crise, en lien avec ce qui existe déjà dans le PCS. Par ailleurs, afin de mettre à l’épreuve l’organisation de gestion de crise, la conduite d’exercices réguliers est recommandée. Cela peut aller de la simulation sous forme d’un jeu (type serious game) avec un comité restreint de collaborateurs dits « primo-intervenants », jusqu’à un test de plus grande ampleur avec restauration de sauvegardes, ou encore une vérification des procédures d’intervention de l’infogérant.