Anticiper et gérer sa communication en cas de cyberattaque. Les cyberattaques ne sont plus une fatalité et les entités publiques ont désormais les moyens de s’y préparer. Comment ? Dans un premier temps, en amont de la crise, anticiper sa communication en cas de blocage total des moyens de communication et former les agents pour y faire face. Ensuite, pendant la crise, assurer le plan de continuité de l’activité et gérer l’impact médiatique d’une telle crise. Un atelier pédagogique, qui au travers de témoignages, vous permettra de construire vos outils en lien avec les services informatiques.
Le Lean sur une ligne de production : Formation et mise en application directe
AP2 - Anticiper et gérer sa communication en cas de cyberattaque
1. Anticiper et gérer sa
communication en cas
cyberattaque
• Vincent LALIRE, Responsable de la communication interne du département
de la Seine-Maritime,
• Rémi Heym, directeur de la communication du CHU de Rouen,
• Nelly Déchery, directrice de la communication des Hôpitaux Nord-Ouest,
• Baptiste Sorin, chef adjoint division communication ANSSI.
2. Papier et crayon !
Rémi HEYM,
Directeur de la communication
CHU de Rouen
3. Toute l’histoire… ou presque
• Constats de chiffrement de fichiers sur serveur / Cyberattaque « ransomware »
• 20h Déclanchement de la cellule de crise DSI
• Minuit, arrêt des serveurs / Internet
• 1h Processus de restauration du système enclenché avec l’aide de l’ANSII
• Dès le lendemain, restauration progressive des applications
• Déploiement de personnels de la DSI sur le terrain pour informer et accompagner les équipes
• « Papier, crayon » : Traçabilités manuelles, réutilisation d’anciens plans de soins papier, commande de médicaments par
fax
• Relance progressive des applications pour les services critiques restants jusqu’au 17 novembre
• Messageries professionnelles opérationnelles
• 95% des applications à nouveau opérationnelles au 10 décembre 2019 (100% des applications critiques et
moyennement critiques sont rétablies)
• Accès au réseau Internet totalement ré-ouvert le 29 novembre
• Tous les serveurs de fichiers accessibles
• Restauration des archives terminée le 4 décembre
Le 15 novembre 2019 à 19h
4. La communication
En interne
• Déploiement du personnel de la DSI dès le vendredi soir sur le terrain pour expliquer et rassurer les services
• Messagerie professionnelle fonctionnelle dès le lundi
• Priorité pour pouvoir informer régulièrement les agents du CHU sur la situation en toute transparence.
5. La communication
• Impact médiatique international !
• Communication maitrisée, au regard des préconisations des instances ministérielles ou
judiciaires
• 1 seul interlocuteur à la communication pour un discours maîtrisé et rassurant.
• les patients ne sont pas en danger
• Nous priorisons la remise en fonctionnement des applications selon le degré
d’urgence médicale
• « Papier et crayons » : mise en place de procédures dégradées
• Pas de fuite de données personnelles.
• Nous ne paierons pas.
• Dépôt de plainte au SRPJ.
• Création d’une page dédiée sur le site internet.
• Messages sur les réseaux sociaux.
• Nombreux commentaires (Informations parfois erronées dues au manque de précision
du CHU)
En externe
7. Le jour J
Nelly Déchery,
Directrice de la communication des Hôpitaux Nord-Ouest
(Rhône)
8. Lundi 15 février 2021 – 07h38 - sms de la Directrice générale des HNO
Bonjour
Nous faisons l’objet d’une très sérieuse attaque virale sur l’ensemble des sites HNO. Nasser et ses équipes
sont sur le terrain pour tout couper afin d’arrêter la propagation. SAU, laboratoire et imagerie
fonctionnent en mode dégradé. Il n’y a plus d’accès au DPI Easily, ni messagerie, ni téléphonie.
Il ne faut pas redémarrer les PC. A plus tard.
9. HNO - Les mesures prises pour communiquer
Passage immédiat en mode communication de crise
• Une organisation : un pilotage de la communication très centralisé
• Trois règles posées : réfléchir aux impacts avant de parler, être sûrs des informations données et ne jamais perdre de
vue de le contexte
• Une exigence : la sécurité des patients et des professionnels avant tout
• Une conviction : faire des choix permet de tenir, voire sauve….
Durant les 15 premiers jours d’une crise de deux mois
10. Communiquer
en temps de
guerre cyberattaque
Vincent LALIRE,
Département de la Seine-Maritime
Responsable de la communication interne
X @lalalalire
17. Ce qui n’est pas confidentiel n’a pas
vocation à rester absolument secret !
l
18. Comme il vous l’a été annoncé,
malgré la cyberattaque, la paie
d’octobre sera versée pour
l’ensemble des agents du
Département, y compris pour
les personnes récemment
recrutées.
« Nous ne redémarrerons nos
serveurs que lorsque nos
données seront totalement
sécurisées » déclare le Président
du Département au cours d'une
conférence de presse consacrée
à la cyberattaque
Le Département a subi ce week-end
une attaque informatique majeure.
Tous nos systèmes d'information sont
à l'arrêt. Le DGS a adressé ce dimanche
soir un SMS à tous les agents les
invitant à prendre contact avec leur
responsable hiérarchique pour définir
les consignes d'organisation du travail.
Ce blog de crise vous informera autant
que possible de l'évolution de la
situation.
19. Après 10 jours de black-out
informatique, l'horizon va
commencer à se dégager. Pour
des raisons évidentes de
sécurisation des process, tous les
agents ne vont cependant pas
pouvoir retrouver leurs outils au
même moment.
Bonne nouvelle, pendant le
blackout vos demandes de
logistique sont toujours
possibles via les chauffeurs du
garage au 02 35 03 55 06. Votre
demande sera transmise à la
bonne personne et au bon
service. L'activité continue...
Pénurie de carburant :
possibilité exceptionnelle de
faire le plein en dehors des
stations Total pour vos
déplacements professionnels
20. Fin de la cyberattaque, tous les agents doivent
régulariser de manière rétroactive toutes leurs
absences (congés annuels, RTT …) depuis le 8 octobre
dernier, en les saisissant suivant la procédure
habituelle. Ces demandes seront soumises à
validation hiérarchique.
Tous les agents soumis à badgeage devront à nouveau
badger à compter du lundi 14 novembre matin.
Le télétravail sera de nouveau autorisé en décembre.
L’opération TRUST D76 de mise en sécurité des
postes informatiques se poursuit. Les
techniciens de la DSI se sont rendus sur les
principaux sites du Département.
De nouvelles normes de sécurité sont mises en
place au Département dont notamment la
double authentification.
Tous les agents doivent adopter un nouveau mot
de passe comportant au moins 12 caractères,
dont une majuscule, un chiffre, un caractère
spécial
21. Anticiper et gérer
sa communication
en cas de cyberattaque
Baptiste SORIN,
chef adjoint division communication ANSSI
X : @SorinBaptiste
22. L’Agence nationale de la sécurité des systèmes d’information
ANSSI
• Service de la Première ministre rattaché au Secrétariat général de la défense et de la sécurité nationale (SGDSN)
• Autorité nationale en matière de cybersécurité et de cyberdéfense
• Création en 2019
• Missions défensives
• Rôle : protéger la Nation face aux cyberattaques
• Cibles premières : OIV (opérateurs d’importance vitale), OSE (opérateurs de services essentiels) et administrations
En quelques mots
23. Les bonnes pratiques de communication de crise cyber
En anticipation
• Initier un dialogue entre les communicants et l’équipe cyber ou IT hors période de crise ;
• Anticiper les scénarios de crise cyber et les réponses à apporter sur le volet communication ;
• Anticiper des modes de communication interne et externe dégradés en amont ;
• Créer une boîte à outils communication dédiée à la gestion d’une crise cyber.
Pour ne pas subir la crise cyber
24. Les bonnes pratiques de communication de crise cyber
En réaction
• Prenez la décision de communiquer ou de ne pas communiquer sur la base d’une analyse de risques ;
• Anticipez la potentielle communication des attaquants.
Pour réagir face à la crise cyber
25. Les bonnes pratiques de communication de crise cyber
En réaction
• L’interne est clé : vos collaborateurs peuvent subir de fortes perturbations de leurs activités ;
• Soyez transparents sur ce qu’il reste à déterminer : les investigations numériques et la remédiation prennent du
temps ;
• Expliquez la nature de l’attaque et ses impacts ;
• Donnez de la visibilité sur les actions mises en œuvre pour rétablir au plus vite vos services et outils ;
• Partagez des bonnes pratiques de cybersécurité aux personnes concernées par la cyberattaque ;
• Précisez les mesures prises vis-à-vis des autorités (dépôt de plainte, mention de l’ANSSI, déclaration auprès de la
CNIL).
Si vous décidez de communiquer
26. Ce qu’il ne faut pas faire en communication de crise cyber
Attention aux fausses bonnes idées
• Evitez le vocabulaire anxiogène car le sujet l’est déjà ;
• N’aggravez pas volontairement le degré de technicité de la cyberattaque dans votre communication ;
• Evitez de donner trop de détails techniques sur la gestion de la cyberattaque ;
• Ne vous engagez pas au début de la crise sur des dates de retour à la normale ;
• N’oubliez pas de communiquer de manière institutionnelle pour que l’information soit disponible sur plusieurs canaux.
Soyez vigilants sur vos contenus
27. Ce qu’il ne faut pas faire en communication de crise cyber
Attention aux fausses bonnes idées
• Ne faites pas d’attribution, cette décision est seulement prise au plus haut niveau de l’État ;
• Si l’attaque est judiciarisée, limitez votre communication.
Soyez vigilants sur les questions sensibles
28. Le guide « Anticiper et gérer sa communication de crise cyber »
En partenariat avec Cap’ COM
• Accompagner les communicants (mais pas que !) dans la gestion
du volet communication de crise en cas de crise cyber en apportant
des conseils pratiques à appliquer
• Deux volets : anticipation et réaction
• Lien de téléchargement : https://cyber.gouv.fr/publications/anticiper-
et-gerer-sa-communication-de-crise-cyber
Objectifs