Si la profondeur et la complexité de ces exercices varient, les capacités testées sont très souvent les mêmes. Elles se limitent presque exclusivement à savoir s’approprier des rôles, assimiler un fort flux d’information (de stimuli), et comprendre une situation à fort enjeux et haute intensité. Si ces exercices permettent de s’entrainer à la coordination et à l’évaluation d’impact, force est de constater qu’ils ne peuvent être considérés comme une fin en soi. Résoudre une crise ne se limite pas au fameux : « on isole, on coupe, on communique, on est sorti d’affaire ». Nous appelons ici à une évolution de paradigme dans la préparation à la gestion de crise d’origine cyber. 

Déplacer le curseur de la gestion de l’information à la faisabilité  

La plupart des exercices de crise proposés actuellement testent la capacité de gestion et de synthèse du flux d’information des joueurs. Ce n’est pourtant pas là que ce se concentre la qualité du pilotage d’une crise. D’aucun pourrait même dire qu’une cellule décisionnelle ne doit justement pas se trouver dans une situation où elle est sollicitée de manière erratique et incessante par ses parties prenantes. Une cellule décisionnelle doit être mise en situation de décider et pour cela doit respecter un rythme de travail sain, généralement asynchrone, en coopération avec d’autres instances plus opérationnelles. 

Ces exercices poussent trop souvent les joueurs, aspirés par la chronophage gestion de l’information, à prendre des partis opérationnels trompeurs. Ils prennent des hypothèses sur leur capacité à faire et les délais requis – le fameux « on isole, on coupe, on communique, on est sorti d’affaire ». Ces exercices donnent l’impression aux équipes décisionnelles qu’elles sont prêtes à faire face alors qu’elles ont limité leur préparation à la capacité de compréhension et de coordination des évènements. C’est une étape nécessaire, mais insuffisante.  

Le maître mot d’une stratégie de préparation en 2023 ? La faisabilité. Mais la faisabilité de l’ensemble des étapes d’une gestion de crise repose sur un spectre plus large que la seule gestion de l’information. Cette faisabilité doit être mesurable, spécifique et rendue possible par la documentation, l’équipage et la simulation et le séquençage de ces capacités. 

Se préparer sur l’ensemble du spectre : de la détection des menaces à la reconstruction  

Interroger et a fortiori s’entrainer à gérer une situation de crise suppose d’abord de prendre en compte la chronologie complète de la gestion de crise. Nous pouvons synthétiser cette chronologie en huit étapes majeures : 

1. Détecter les menaces pertinentes et avoir la capacité de les investiguer  
2. Mobiliser expert.es, décideurs.euses pour réagir 
3. Survivre durant le premier pic en garantissant des capacités de continuité d’activité  
4. Evaluer l’impact, ses ramifications et ses évolutions anticipables  
5. Contenir la menace et comprendre l’impact d’une isolation  
6. Coordonner ses forces et celles de son écosystème  
7. Communiquer avec ses parties prenantes internes et externes  
8. Restaurer et reconstruire de manière priorisée et sécurisée 

Préparer également les outils : je conçois, j’utilise  

Une stratégie de préparation pertinente doit englober chacune de ces huit étapes avec ce maître mot de faisabilité. Cela nécessite donc de répondre à cette question : serons-nous véritablement capables de mener ces actions quand nous devrons le faire ?  

La réponse à ce questionnement capacitaire s’appuie sur trois axes :  

1. Assurer la formalisation de processus brefs, à jour et connus (ex : avoir une matrice des flux indiquant comment isoler, sous quels délais, les conséquences opérationnelles)  
2. Assurer l’équipement, la formation et la mise en responsabilité des équipes ayant la charge de ces actions (ex : avoir un débat sur le processus de validation d’isolation – ou licence to kill, et permettre techniquement un red button sur des périmètres pertinents)  
3. Entrainer spécifiquement les équipes concernées via des mises en situation, des simulations spécifiques de déploiement de ces capacités (ex : tester le processus de décision menant à l’utilisation de ce red button, puis tester techniquement le bon fonctionnement du red button)  

Ainsi, si certains se limitent exclusivement à ce dernier axe qu’est la simulation, il est essentiel de concevoir sa préparation avec plus de recul et de commencer par un véritable effort de mise en capacité. L’exercice doit être un jalon de vérification, d’ajustement et de promotion des capacités. Au pire, il peut être une date butoir pour préparer la capacité voire servir d’événement pour la construire en séance (ex : chronologie de reconstruction, identification des interdépendances techniques, …). 

Dépasser une logique opportuniste et entrainer le séquencement de ses capacités 

Actuellement, les principaux leviers de complexité sont l’augmentation de la durée, de l’intensité et du nombre d’acteurs mobilisés. Là aussi, nous appelons à un changement de paradigme.

D’abord, nous appelons à nourrir une culture de la préparation reposant sur les huit piliers détaillés plus haut. Autrement dit, d’outiller, de formaliser des capacités à faire et d’entrainer unitairement ces capacités tout au long de l’année – sans nécessairement les événementialiser dans un exercice en grande pompe (ex : atelier en ComEx sur les 10 premières actions à lancer en cas de cyber crash, tester l’isolation des sauvegardes ou la restauration de postes de travail).  

Par ailleurs, en cohérence et en conséquence d’une logique d’entrainement verticalisée (i.e. permettre puis simuler), il est important d’entrainer la capacité de séquencement rapide et efficace des différentes capacités, des différents piliers. Ainsi, il convient de proposer des exercices plus larges, communs aux équipes métiers, forensic, décisionnelles, pour orchestrer leurs différentes simulations dans un seul exercice. En entrainement, par exemple, tester la capacité de détection avec une Purple Team puis la capacité de mobilisation du dispositif de crise avec une mobilisation surprise via les outils alternatifs prévus. Un second exemple : travailler la capacité de coordination des nombreuses cellules de crise sur un temps long puis, celle d’ajuster un message de communication à l’ensemble de ses parties prenantes (interne et externe).  

S’inscrire dans la durée  

Pour être pertinente, cette approche doit être supportée par une réflexion stratégique, globale, pluriannuelle. Parce que plus ambitieuse, impliquant plus de parties prenantes (SOC, RPCA, Résilience, Infra, CISO, ComEx, Tiers, …), elle peut gagner sa légitimité par une évaluation empirique préalable des moyens : 

1. Evaluez l’état actuel de votre niveau de préparation en adoptant une approche centrée sur la faisabilité des huit piliers.  
2. Etablissez une cible de maturité à atteindre et une feuille de route dont vous saurez rendre compte dans le temps de manière empirique. 
3. Partagez enfin à vos équipes dirigeantes une vision plus robuste de votre maturité en gestion de crise.  

Une telle approche, plus empirique, plus personnalisée permettra non seulement d’identifier des manques capacitaires mais surtout de s’entrainer véritablement aux actions qui seront indispensables au moment du pire.  

Cet article Repenser sa stratégie de préparation à la gestion de crise d’origine cyber est apparu en premier sur RiskInsight.

Pour ma part, je pense avoir participé à une bonne dizaine de simulations au cours de l’année dernière… mais attention : on ne parle pas toujours de la même chose ! Du simple test de processus sur table à l’entraînement du SOC/CERT jusqu’à l’exercice d’ampleur impliquant des dizaines de cellules de crise et des mois de préparation, les moyens alloués sont très disparates.

Cet article se focalise sur cette dernière catégorie : les exercices les plus ambitieux, les blockbusters du genre, l’Armageddon de la fausse attaque Cyber !  Regardons de plus près comment réussir un tel exercice… et le rendre fun et mémorable !

C’est quoi un exercice de crise type ?

S’il fallait donner quelques chiffres sur les plus grands exercices « type » organisés en France, je dirais : une journée d’exercice, 150 joueurs mobilisés, 10-12 cellules de crise sur plusieurs pays, 30 complices, 20 observateurs… et plus de 300 stimuli envoyés ! Clairement, réussir un tel événement nécessite à la fois un grand niveau de préparation et une équipe d’animation très solide le jour J pour la mise en scène finale.

Un enjeu clé : il n’y aura qu’une seule prise ! Il devient ainsi indispensable que TOUS les acteurs se prennent au jeu, que personne ne s’ennuie ou n’ait le sentiment d’être inutile, et enfin que le scénario embarque tous les participants. Imaginez la scène : personne n’a envie de mobiliser plusieurs heures des membres du COMEX pour entendre des « pas très crédible » ou « ça ne pourrait pas nous arriver dans la vraie vie » pendant le débriefing. Des mois de travail gâchés ! Préparation et animation sont donc les maîtres-mots d’un exercice.

Six mois pour se préparer

1/ Choisir le scénario d’attaque

Les premiers mois de travail sont toujours consacrés au scénario d’attaque. Ransomware, fraude ciblée, attaque de fournisseurs… le choix des armes est vaste ! Sur des exercices ambitieux, il n’est d’ailleurs pas rare de cumuler plusieurs attaques sur une seule et même crise : écran de fumée lancé par les attaquants, identification d’un second groupe pendant les investigations… on peut être créatif ! Quel que soit le scénario choisi, la clé est d’être le plus précis possible :

• Quelles sont les motivations des attaquants ?
• Quel chemin d’attaque ont-ils emprunté ?
• Quand a eu lieu la première intrusion ?

L’exercice sera long… et il vaut mieux être préparé lorsque 150 joueurs se mettent à investiguer sur une attaque pendant plusieurs heures ! Spear-phishing, waterholing, compromission de code, élévation de privilèges… bien sûr les vulnérabilités utilisées par l’attaquant fictif ne sont pas réelles, mais elles doivent être plausibles et « validées » par des complices techniques tout au long de la préparation. De même pour les impacts métier, ils convient de les revoir avec les spécialistes métier : montant de fraude à partir duquel la situation devient critique, activités critiques à cibler en priorité, clients les plus sensibles… Le choix et l’implication des complices sont essentiels, et je vous recommande vivement de les intégrer le jour J dans la cellule d’animation. Ils peuvent vous être d’une aide précieuse, et cela leur fera plaisir !

2/ Construire le script de l’exercice

Place ensuite à la construction du script, qui consiste à définir minute par minute les informations qui seront communiquées aux joueurs. Le calibrage du rythme de l’exercice est un point complexe : doit-on envoyer un nouveau stimuli toutes les 2 minutes ? Toutes les 10 minutes ? La tentation de vouloir imposer un rythme infernal est grande pour « maîtriser » le scénario mais attention à laisser suffisamment d’espace de réflexion aux cellules. Si le scénario est bien construit, il n’y aura pas de place pour l’ennui… il ne faut jamais sous-estimer la capacité des joueurs à se créer leurs propres problèmes pendant l’exercice !

Le démarrage de l’exercice est un autre point complexe : doit-on débuter directement sur une situation de crise (par exemple, activation d’un Ransomware) ou sur une simple alerte qui permettra de tester le processus de mobilisation générale ? Sur le terrain, c’est presque toujours cette deuxième option qui est choisie. Elle permet de mobiliser les équipes techniques (CERT, SOC, IT…) sur toute la durée de l’exercice, dès l’alerte, et d’inclure les cellules décisionnelles plutôt en seconde partie d’exercice. Essayez de réserver l’agenda des membres du COMEX une journée entière… vous comprendrez rapidement que c’est la meilleure solution !

3/ Préparer les stimuli

L’attaque est maintenant scénarisée, le script est prêt… il ne reste plus qu’à produire ces fameux stimuli qui seront envoyés aux joueurs tout au long de l’exercice. Rapports techniques, faux tweets, messages de clients inquiets… il s’agit d’anticiper et de produire tout ce qui peut être utile pour les joueurs.

Pour captiver, n’hésitez pas à recourir à la vidéo. En effet, rien de plus marquant qu’un faux reportage BFM relayant l’attaque en cours (logo, plateau… plus c’est réel et mieux ce sera). Et pour encore plus de réalisme, pensez à inclure dans les vidéos des personnes « connues » dans l’entreprise (message du PDG, interview d’un patron d’usine…). Idem côté technique : la durée des exercices ne permet souvent pas aux joueurs d’effectuer eux-mêmes les investigations techniques, mais ils vont en demander beaucoup aux animateurs. Rapport d’analyse de malware, extraits de journaux applicatifs, liste d’adresses IP… tout doit être prêt au maximum pour éviter la panique !

Comme indiqué en introduction, les exercices les plus ambitieux peuvent nécessiter la création de 300 stimuli pour tenir la journée et rester crédibles… cela représente beaucoup de travail !

Jour J : tout le monde en scène !

Le jour J : 5h du matin, RDV avec toute l’équipe d’animation et les observateurs pour les derniers réglages et le café. Quelques heures plus tard, les observateurs se dispatchent dans leurs cellules de crise et commencent le briefing des joueurs.

Démarrer sur de bonnes bases

Attention : pour beaucoup de joueurs, cela risque d’être leur premier exercice. Le briefing est essentiel pour éviter par exemple que…

1. Les joueurs appellent la police (la vraie…) en plein milieu de l’exercice
2. Les joueurs contactent une mailing list de 400 personnes sans préciser que c’est un exercice
3. De vrais clients soient appelés pour être rassurés
4. Un site de production soit neutralisé « par prévention »…

Oui, oui… ce sont des histoires vécues ! Pour éviter de telles situations, il est indispensable de marteler les règles du jeu lors du briefing : les joueurs doivent évidemment communiquer entre eux… mais pour contacter les parties prenantes extérieures, ils doivent passer par la cellule d’animation. Les animateurs et complices regroupés dans la cellule se retrouvent ainsi au fil de la journée dans la peau d’un client, d’un expert technique, d’un DG ou d’un régulateur… au gré des sollicitations des joueurs. Plutôt unique comme expérience !

S’appuyer sur une cellule d’animation efficace

La suite des événements dépend de l’efficacité de la cellule d’animation. Un exercice réussi comporte son lot d’improvisation le jour J. Il faut savoir réajuster les stimuli en fonction des réactions des joueurs, réagir en direct lorsqu’ils vous appellent, accélérer ou temporiser le rythme de l’exercice en fonction des informations transmises par les observateurs… bref, la partition n’est jamais figée et la cellule d’animation va être mise à rude épreuve le jour de l’exercice. Responsable des animateurs, PMO, responsable technique, responsable métier, gestion de la cellule appels… les plus grands exercices de crise disposent de cellules d’animation particulièrement professionnalisées. Imaginez : 150 joueurs qui envoient chacun un mail ou une question toutes les 5 minutes… cela représente tout de même une trentaine de réponses par minute…

Pour ma part, je préfère ne prendre aucun risque le jour J et recréer des équipes qui ont l’habitude de fonctionner ensemble et se connaissent par cœur… C’est la meilleure manière de gagner les précieuses secondes qui éviteront à la cellule d’animation de partir elle-même en crise !

Cet article Organiser un exercice de crise cyber dans une grande entreprise est apparu en premier sur RiskInsight.