Organiser un exercice de crise cyber dans une grande entreprise

Ethical Hacking & Incident Response

Publié le

Evaluer l’intégration de la Cyber dans le dispositif de crise, améliorer les interactions entre les différentes cellules, tester la capacité de la filière SSI à se faire comprendre du top management… les raisons sont nombreuses pour organiser un exercice de crise Cyber.

Pour ma part, je pense avoir participé à une bonne dizaine de simulations au cours de l’année dernière… mais attention : on ne parle pas toujours de la même chose ! Du simple test de processus sur table à l’entraînement du SOC/CERT jusqu’à l’exercice d’ampleur impliquant des dizaines de cellules de crise et des mois de préparation, les moyens alloués sont très disparates.

Cet article se focalise sur cette dernière catégorie : les exercices les plus ambitieux, les blockbusters du genre, l’Armageddon de la fausse attaque Cyber ! 😉 Regardons de plus près comment réussir un tel exercice… et le rendre fun et mémorable !

C’est quoi un exercice de crise type ?

S’il fallait donner quelques chiffres sur les plus grands exercices « type » organisés en France, je dirais : une journée d’exercice, 150 joueurs mobilisés, 10-12 cellules de crise sur plusieurs pays, 30 complices, 20 observateurs… et plus de 300 stimuli envoyés ! Clairement, réussir un tel événement nécessite à la fois un grand niveau de préparation et une équipe d’animation très solide le jour J pour la mise en scène finale.

Un enjeu clé : il n’y aura qu’une seule prise ! Il devient ainsi indispensable que TOUS les acteurs se prennent au jeu, que personne ne s’ennuie ou n’ait le sentiment d’être inutile, et enfin que le scénario embarque tous les participants. Imaginez la scène : personne n’a envie de mobiliser plusieurs heures des membres du COMEX pour entendre des « pas très crédible » ou « ça ne pourrait pas nous arriver dans la vraie vie » pendant le débriefing. Des mois de travail gâchés ! Préparation et animation sont donc les maîtres-mots d’un exercice.

Six mois pour se préparer

1/ Choisir le scénario d’attaque

Les premiers mois de travail sont toujours consacrés au scénario d’attaque. Ransomware, fraude ciblée, attaque de fournisseurs… le choix des armes est vaste ! Sur des exercices ambitieux, il n’est d’ailleurs pas rare de cumuler plusieurs attaques sur une seule et même crise : écran de fumée lancé par les attaquants, identification d’un second groupe pendant les investigations… on peut être créatif ! Quel que soit le scénario choisi, la clé est d’être le plus précis possible :

  • Quelles sont les motivations des attaquants ?
  • Quel chemin d’attaque ont-ils emprunté ?
  • Quand a eu lieu la première intrusion ?

L’exercice sera long… et il vaut mieux être préparé lorsque 150 joueurs se mettent à investiguer sur une attaque pendant plusieurs heures ! Spear-phishing, waterholing, compromission de code, élévation de privilèges… bien sûr les vulnérabilités utilisées par l’attaquant fictif ne sont pas réelles, mais elles doivent être plausibles et « validées » par des complices techniques tout au long de la préparation. De même pour les impacts métier, ils convient de les revoir avec les spécialistes métier : montant de fraude à partir duquel la situation devient critique, activités critiques à cibler en priorité, clients les plus sensibles… Le choix et l’implication des complices sont essentiels, et je vous recommande vivement de les intégrer le jour J dans la cellule d’animation. Ils peuvent vous être d’une aide précieuse, et cela leur fera plaisir !

2/ Construire le script de l’exercice

Place ensuite à la construction du script, qui consiste à définir minute par minute les informations qui seront communiquées aux joueurs. Le calibrage du rythme de l’exercice est un point complexe : doit-on envoyer un nouveau stimuli toutes les 2 minutes ? Toutes les 10 minutes ? La tentation de vouloir imposer un rythme infernal est grande pour « maîtriser » le scénario mais attention à laisser suffisamment d’espace de réflexion aux cellules. Si le scénario est bien construit, il n’y aura pas de place pour l’ennui… il ne faut jamais sous-estimer la capacité des joueurs à se créer leurs propres problèmes pendant l’exercice !

Le démarrage de l’exercice est un autre point complexe : doit-on débuter directement sur une situation de crise (par exemple, activation d’un Ransomware) ou sur une simple alerte qui permettra de tester le processus de mobilisation générale ? Sur le terrain, c’est presque toujours cette deuxième option qui est choisie. Elle permet de mobiliser les équipes techniques (CERT, SOC, IT…) sur toute la durée de l’exercice, dès l’alerte, et d’inclure les cellules décisionnelles plutôt en seconde partie d’exercice. Essayez de réserver l’agenda des membres du COMEX une journée entière… vous comprendrez rapidement que c’est la meilleure solution !

3/ Préparer les stimuli

L’attaque est maintenant scénarisée, le script est prêt… il ne reste plus qu’à produire ces fameux stimuli qui seront envoyés aux joueurs tout au long de l’exercice. Rapports techniques, faux tweets, messages de clients inquiets… il s’agit d’anticiper et de produire tout ce qui peut être utile pour les joueurs.

Pour captiver, n’hésitez pas à recourir à la vidéo. En effet, rien de plus marquant qu’un faux reportage BFM relayant l’attaque en cours (logo, plateau… plus c’est réel et mieux ce sera). Et pour encore plus de réalisme, pensez à inclure dans les vidéos des personnes « connues » dans l’entreprise (message du PDG, interview d’un patron d’usine…). Idem côté technique : la durée des exercices ne permet souvent pas aux joueurs d’effectuer eux-mêmes les investigations techniques, mais ils vont en demander beaucoup aux animateurs. Rapport d’analyse de malware, extraits de journaux applicatifs, liste d’adresses IP… tout doit être prêt au maximum pour éviter la panique !

Comme indiqué en introduction, les exercices les plus ambitieux peuvent nécessiter la création de 300 stimuli pour tenir la journée et rester crédibles… cela représente beaucoup de travail !

Jour J : tout le monde en scène !

Le jour J : 5h du matin, RDV avec toute l’équipe d’animation et les observateurs pour les derniers réglages et le café. Quelques heures plus tard, les observateurs se dispatchent dans leurs cellules de crise et commencent le briefing des joueurs.

Démarrer sur de bonnes bases

Attention : pour beaucoup de joueurs, cela risque d’être leur premier exercice. Le briefing est essentiel pour éviter par exemple que…

  1. Les joueurs appellent la police (la vraie…) en plein milieu de l’exercice
  2. Les joueurs contactent une mailing list de 400 personnes sans préciser que c’est un exercice
  3. De vrais clients soient appelés pour être rassurés
  4. Un site de production soit neutralisé « par prévention »…

Oui, oui… ce sont des histoires vécues ! Pour éviter de telles situations, il est indispensable de marteler les règles du jeu lors du briefing : les joueurs doivent évidemment communiquer entre eux… mais pour contacter les parties prenantes extérieures, ils doivent passer par la cellule d’animation. Les animateurs et complices regroupés dans la cellule se retrouvent ainsi au fil de la journée dans la peau d’un client, d’un expert technique, d’un DG ou d’un régulateur… au gré des sollicitations des joueurs. Plutôt unique comme expérience !

S’appuyer sur une cellule d’animation efficace

La suite des événements dépend de l’efficacité de la cellule d’animation. Un exercice réussi comporte son lot d’improvisation le jour J. Il faut savoir réajuster les stimuli en fonction des réactions des joueurs, réagir en direct lorsqu’ils vous appellent, accélérer ou temporiser le rythme de l’exercice en fonction des informations transmises par les observateurs… bref, la partition n’est jamais figée et la cellule d’animation va être mise à rude épreuve le jour de l’exercice. Responsable des animateurs, PMO, responsable technique, responsable métier, gestion de la cellule appels… les plus grands exercices de crise disposent de cellules d’animation particulièrement professionnalisées. Imaginez : 150 joueurs qui envoient chacun un mail ou une question toutes les 5 minutes… cela représente tout de même une trentaine de réponses par minute…

Pour ma part, je préfère ne prendre aucun risque le jour J et recréer des équipes qui ont l’habitude de fonctionner ensemble et se connaissent par cœur… C’est la meilleure manière de gagner les précieuses secondes qui éviteront à la cellule d’animation de partir elle-même en crise !