Le monde a découvert l’existence du mot « ransomware » avec les attaques WannaCry et NotPetya. On est en 2017. Ces événements ont accéléré pour de très nombreuses entreprises leur prise de conscience quant à leur vulnérabilité potentielle face à la cybermenace, en pleine expansion.

C’est dans ce contexte que la SNCF a décidé de renforcer son dispositif de cyber-résilience. L’objectif est double : optimiser ses process et être plus performant face au risque cyber.

Pour l’accompagner, la SNCF missionne CGI Business Consulting pour mettre en place un exercice de crise de grande ampleur, à même de tester le dispositif sur toute la chaine de commandement et valider ainsi la capacité de l’entreprise à réagir et à gérer une crise de cybersécurité. La mécanique d’une cyber crise est différente de celle générée par une panne ferroviaire. Elle possède un côté plus obscur et complexe, s’agissant d’un ou plusieurs attaquants dont la seule motivation consiste à nuire. Le RSSI (responsable de la sécurité des systèmes d'information) de la SNCF a donc souhaité comprendre comment le Comex réagirait face à cette nouvelle typologie de crise.

4 mois de préparation

Le premier exercice de ce type a lieu en juillet 2018. Pour le préparer, les équipes de la SNCF et de CGI Business Consulting ont travaillé pendant quatre mois pour construire un scénario de crise, le plus crédible et pertinent possible par rapport à la réalité du métier de l’entreprise ferroviaire. En tout, une vingtaine d’ateliers ont été menés pour valider la nature même de l’exercice.

Le jour J, l’ensemble du comité de direction a été mobilisé et l’exercice animé par quelque 80 personnes sur une demi-journée. Avec ce format, le Comex doit nécessairement prendre des décisions en disposant du meilleur éclairage possible selon le scénario proposé.

Un temps fort du Comex, inscrit dans le calendrier de la SNCF

A l’issue immédiate de l’exercice, un débriefing à chaud est réalisé avec l’ensemble des acteurs qui ont contribué. Une manière de recueillir du feedback et de donner la parole aux membres du Comex pour qu’ils s’expriment sur la manière dont ils ont vécu l’expérience.

Un peu plus tard, un débriefing à froid est organisé, qui permet, avec du recul, de partager points forts et axes d’amélioration. Cette discussion constitue le point de départ pour bâtir le plan d’amélioration continue dont les actions visent à améliorer l’agilité et la capacité de réaction de la SNCF face aux cybermenaces.

L’événement est désormais planifié dans le cadre du calendrier annuel d’exercices de crise de la SNCF. Un deuxième exercice du même type a été mené en septembre 2019. Le prochain est prévu en 2021.

Contacts :
Anthony Augereau
Aurélie André