Mais ces projets ne sont pas uniquement à l’initiative des RSSI ! Le lancement de tels projets peut également émaner de comités exécutifs, désirant une vision à 360° de la sécurité de leur organisation pour mieux évaluer le risque auquel ils sont confrontés.

Quels sont les facteurs clés de succès et qu’avons-nous observé sur le terrain ?

Etape 1 : savoir qui va être le destinataire de l’évaluation et quelles sont ses attentes

Les évaluations peuvent être d’un niveau de profondeur radicalement différent ! D’une interview haut niveau avec le RSSI d’une organisation à une évaluation en profondeur des mécanismes et processus sécurité de toutes les filières d’un groupe multinational, chacun peut mettre le curseur où il le désire et avancer pas-à-pas.

Notre premier conseil est de garder en tête les objectifs de votre évaluation : cela vous permettra de vous orienter vers les bons référentiels de cybersécurité (NIST, ISO 27001/2…) et surtout de définir avec cohérence la profondeur de l’évaluation. Voulez-vous uniquement mesurer le niveau de maturité de votre filière SSI ou également son efficacité ? Des processus sécurité parfaitement documentés et une certification ISO 27001 peuvent malheureusement masquer des problèmes de terrain qui vous exposent à des vulnérabilités… Il peut être judicieux de combiner un test technique (pentest, red team…) à l’évaluation pour éviter le piège des indicateurs pastèques !

Etape 2 : trouver et mobiliser les bons interlocuteurs au bon niveau, facile à dire…

La prochaine difficulté que vous pouvez rencontrer dans votre évaluation est de réussir à rencontrer les bons sachants. D’expérience, nous vous conseillons de confirmer et figer aussi tôt que possible la liste des interlocuteurs.

En toute logique, cette liste dépendra fortement de la granularité de l’analyse (figure ci-dessus) mais également de l’organisation de l’entreprise ! Par exemple, les interlocuteurs diffèrent si les effectifs sécurité sont au niveau groupe et fonctionnent comme un centre de service ou alors s’ils sont fondus dans chaque entité et service.

Ainsi, si vous désirez avoir dans un premier temps une estimation haut niveau, il peut suffire d’échanger pendant une demi-journée avec le RSSI, qui dispose généralement d’une vision globale et suffisante du sujet.

Le second stade d’analyse peut être atteint en recueillant des informations auprès de l’ensemble des acteurs cybersécurité (SOC, CSIRT…) à l’échelle du groupe. Dans cet ensemble, il peut être intéressant de rencontrer une grande partie des effectifs cybersécurité présents dans des équipes de la DSI (Cloud…).

Enfin, quand l’évaluation doit être poussée et exhaustive, il devient nécessaire d’élargir la liste des interlocuteurs à l’ensemble des entités concernées. Evidemment, il faut s’attendre à une charge de travail en aval d’autant plus grande, ne lésinez pas sur la préparation et l’utilisation d’outil pour vous en sortir ! C’est peut-être également le bon moment pour réfléchir au format de restitution : présentiel, distanciel, stratégique, opérationnel…

Etape 3 : L’outillage, trouver l’équilibre entre trop et pas assez

Place maintenant au choix des outils, un des principaux challenges de l’évaluation auquel vous devez faire face. Au plus elle sera complète, au plus elle nécessitera un outillage pour simplifier et assurer la cohérence de l’ensemble. En effet, pour les grandes évaluations, la consolidation et la restitution des résultats font partie des grandes difficultés rencontrées ! En particulier les principaux outils ne prennent pas en compte la complexité organisationnelle des grands groupes ou encore l’efficacité des moyens octroyés. C’est pour ces raisons que nous avons choisi de notre côté de développer un outillage particulier.

Un bon outil vous permettra également de vous positionner vis-à-vis de vos concurrents et de comprendre votre exposition aux tendances d’attaques actuelles, des points auxquels votre COMEX est particulièrement sensible et vous permettant de légitimer l’évaluation.

C’est parti, c’est l’heure de mettre les mains dans le cambouis pour démarrer la collecte des informations ! En définitive, une phase assez classique, en totalité faisable à distance, ce qui est utile dans la situation actuelle. Soyez conscient et transparent sur les limites de l’exercice : les personnes questionnées auront parfois l’impression que l’évaluation est trop théorique et c’est normal, suivant ses objectifs. Durant cette phase, il faudra également savoir jongler entre les différents imprévus car il n’est pas rare d’avoir des interlocuteurs finalement absents pendant de longues durées, des périmètres ajoutés, des changements de méthodologie … Mettons un point d’honneur à rester agile.

Etape 4 : restituer au bon niveau pour agir, tout est une question de vue !

La bonne habitude à garder, est de franchement adapter chaque support de restitution à chaque personne. Entre les synthèses managériales où on parlera sans trop de détail des tendances, de ce qui va bien, ce qui ne va pas bien et c’est tout, et de l’autre côté les présentations pour les équipes techniques où il ne faudra pas lésiner sur la description des risques de compromission, adapter le discours est donc l’enjeu essentiel pour réussir à faire passer les bons messages.

Usuellement, nous démarrons la restitution par le positionnement de l’organisation évaluée sur l’angle du budget et des effectifs dédiés à la cybersécurité. Ces points très concrets permettent d’attirer l’attention et de pouvoir ensuite analyser la situation selon 4 vues différentes :

• Conformité globale par rapport aux référentiels de cybersécurité (ISO/NIST)
• Evaluation du niveau de maturité des différentes entités évaluées comparé à celui du secteur et du marché
• Quantification de l’effort à fournir sur chacune des thématiques pour atteindre le niveau du marché et/ou le niveau demandé par les référentiels de cybersécurités
• Evaluation du niveau de robustesse de l’organisation face aux dernières cyberattaques connues.

La restitution va souvent se focaliser avec la direction générale sur des sujets d’organisation et de gouvernance. Toutefois, il arrive d’avoir de sacrées surprises ! Dans des contextes d’entreprises déjà touchées par de violentes cyberattaques, nous avons déjà eu des questions étonnamment précises et techniques par des membres du COMEX, demandant par exemple « Comment est sécurisé mon Active Directory ? » ou des précisions sur les algorithmes de chiffrement… Assez étonnant !

Lancez-vous

Comme mentionné plus tôt, l’évaluation de maturité est un formidable moyen pour mesurer l’efficacité et l’avancement de votre roadmap cybersécurité ! Ainsi, même si vous ne voulez pas tout de suite franchir le cap d’une évaluation impliquant tous les éléments SSI de votre entreprise et sollicitant des dizaines d’équipe, nous vous conseillons de vous familiariser avec l’approche et son utilité en démarrant sur un périmètre et une profondeur plus modeste !

Chez Wavestone, fort de ces différents retours d’expérience, nous avons construit le W-Cyber-Benchmark, remplissant ces usages et contenant déjà l’évaluation de plusieurs dizaines de clients. On comprend que vous ne croyez pas sur parole, alors n’hésitez pas à nous contacter pour en discuter !

Cet article Comment évaluer efficacement sa maturité en cybersécurité ? est apparu en premier sur RiskInsight.

Pour ma part, je pense avoir participé à une bonne dizaine de simulations au cours de l’année dernière… mais attention : on ne parle pas toujours de la même chose ! Du simple test de processus sur table à l’entraînement du SOC/CERT jusqu’à l’exercice d’ampleur impliquant des dizaines de cellules de crise et des mois de préparation, les moyens alloués sont très disparates.

Cet article se focalise sur cette dernière catégorie : les exercices les plus ambitieux, les blockbusters du genre, l’Armageddon de la fausse attaque Cyber !  Regardons de plus près comment réussir un tel exercice… et le rendre fun et mémorable !

C’est quoi un exercice de crise type ?

S’il fallait donner quelques chiffres sur les plus grands exercices « type » organisés en France, je dirais : une journée d’exercice, 150 joueurs mobilisés, 10-12 cellules de crise sur plusieurs pays, 30 complices, 20 observateurs… et plus de 300 stimuli envoyés ! Clairement, réussir un tel événement nécessite à la fois un grand niveau de préparation et une équipe d’animation très solide le jour J pour la mise en scène finale.

Un enjeu clé : il n’y aura qu’une seule prise ! Il devient ainsi indispensable que TOUS les acteurs se prennent au jeu, que personne ne s’ennuie ou n’ait le sentiment d’être inutile, et enfin que le scénario embarque tous les participants. Imaginez la scène : personne n’a envie de mobiliser plusieurs heures des membres du COMEX pour entendre des « pas très crédible » ou « ça ne pourrait pas nous arriver dans la vraie vie » pendant le débriefing. Des mois de travail gâchés ! Préparation et animation sont donc les maîtres-mots d’un exercice.

Six mois pour se préparer

1/ Choisir le scénario d’attaque

Les premiers mois de travail sont toujours consacrés au scénario d’attaque. Ransomware, fraude ciblée, attaque de fournisseurs… le choix des armes est vaste ! Sur des exercices ambitieux, il n’est d’ailleurs pas rare de cumuler plusieurs attaques sur une seule et même crise : écran de fumée lancé par les attaquants, identification d’un second groupe pendant les investigations… on peut être créatif ! Quel que soit le scénario choisi, la clé est d’être le plus précis possible :

• Quelles sont les motivations des attaquants ?
• Quel chemin d’attaque ont-ils emprunté ?
• Quand a eu lieu la première intrusion ?

L’exercice sera long… et il vaut mieux être préparé lorsque 150 joueurs se mettent à investiguer sur une attaque pendant plusieurs heures ! Spear-phishing, waterholing, compromission de code, élévation de privilèges… bien sûr les vulnérabilités utilisées par l’attaquant fictif ne sont pas réelles, mais elles doivent être plausibles et « validées » par des complices techniques tout au long de la préparation. De même pour les impacts métier, ils convient de les revoir avec les spécialistes métier : montant de fraude à partir duquel la situation devient critique, activités critiques à cibler en priorité, clients les plus sensibles… Le choix et l’implication des complices sont essentiels, et je vous recommande vivement de les intégrer le jour J dans la cellule d’animation. Ils peuvent vous être d’une aide précieuse, et cela leur fera plaisir !

2/ Construire le script de l’exercice

Place ensuite à la construction du script, qui consiste à définir minute par minute les informations qui seront communiquées aux joueurs. Le calibrage du rythme de l’exercice est un point complexe : doit-on envoyer un nouveau stimuli toutes les 2 minutes ? Toutes les 10 minutes ? La tentation de vouloir imposer un rythme infernal est grande pour « maîtriser » le scénario mais attention à laisser suffisamment d’espace de réflexion aux cellules. Si le scénario est bien construit, il n’y aura pas de place pour l’ennui… il ne faut jamais sous-estimer la capacité des joueurs à se créer leurs propres problèmes pendant l’exercice !

Le démarrage de l’exercice est un autre point complexe : doit-on débuter directement sur une situation de crise (par exemple, activation d’un Ransomware) ou sur une simple alerte qui permettra de tester le processus de mobilisation générale ? Sur le terrain, c’est presque toujours cette deuxième option qui est choisie. Elle permet de mobiliser les équipes techniques (CERT, SOC, IT…) sur toute la durée de l’exercice, dès l’alerte, et d’inclure les cellules décisionnelles plutôt en seconde partie d’exercice. Essayez de réserver l’agenda des membres du COMEX une journée entière… vous comprendrez rapidement que c’est la meilleure solution !

3/ Préparer les stimuli

L’attaque est maintenant scénarisée, le script est prêt… il ne reste plus qu’à produire ces fameux stimuli qui seront envoyés aux joueurs tout au long de l’exercice. Rapports techniques, faux tweets, messages de clients inquiets… il s’agit d’anticiper et de produire tout ce qui peut être utile pour les joueurs.

Pour captiver, n’hésitez pas à recourir à la vidéo. En effet, rien de plus marquant qu’un faux reportage BFM relayant l’attaque en cours (logo, plateau… plus c’est réel et mieux ce sera). Et pour encore plus de réalisme, pensez à inclure dans les vidéos des personnes « connues » dans l’entreprise (message du PDG, interview d’un patron d’usine…). Idem côté technique : la durée des exercices ne permet souvent pas aux joueurs d’effectuer eux-mêmes les investigations techniques, mais ils vont en demander beaucoup aux animateurs. Rapport d’analyse de malware, extraits de journaux applicatifs, liste d’adresses IP… tout doit être prêt au maximum pour éviter la panique !

Comme indiqué en introduction, les exercices les plus ambitieux peuvent nécessiter la création de 300 stimuli pour tenir la journée et rester crédibles… cela représente beaucoup de travail !

Jour J : tout le monde en scène !

Le jour J : 5h du matin, RDV avec toute l’équipe d’animation et les observateurs pour les derniers réglages et le café. Quelques heures plus tard, les observateurs se dispatchent dans leurs cellules de crise et commencent le briefing des joueurs.

Démarrer sur de bonnes bases

Attention : pour beaucoup de joueurs, cela risque d’être leur premier exercice. Le briefing est essentiel pour éviter par exemple que…

1. Les joueurs appellent la police (la vraie…) en plein milieu de l’exercice
2. Les joueurs contactent une mailing list de 400 personnes sans préciser que c’est un exercice
3. De vrais clients soient appelés pour être rassurés
4. Un site de production soit neutralisé « par prévention »…

Oui, oui… ce sont des histoires vécues ! Pour éviter de telles situations, il est indispensable de marteler les règles du jeu lors du briefing : les joueurs doivent évidemment communiquer entre eux… mais pour contacter les parties prenantes extérieures, ils doivent passer par la cellule d’animation. Les animateurs et complices regroupés dans la cellule se retrouvent ainsi au fil de la journée dans la peau d’un client, d’un expert technique, d’un DG ou d’un régulateur… au gré des sollicitations des joueurs. Plutôt unique comme expérience !

S’appuyer sur une cellule d’animation efficace

La suite des événements dépend de l’efficacité de la cellule d’animation. Un exercice réussi comporte son lot d’improvisation le jour J. Il faut savoir réajuster les stimuli en fonction des réactions des joueurs, réagir en direct lorsqu’ils vous appellent, accélérer ou temporiser le rythme de l’exercice en fonction des informations transmises par les observateurs… bref, la partition n’est jamais figée et la cellule d’animation va être mise à rude épreuve le jour de l’exercice. Responsable des animateurs, PMO, responsable technique, responsable métier, gestion de la cellule appels… les plus grands exercices de crise disposent de cellules d’animation particulièrement professionnalisées. Imaginez : 150 joueurs qui envoient chacun un mail ou une question toutes les 5 minutes… cela représente tout de même une trentaine de réponses par minute…

Pour ma part, je préfère ne prendre aucun risque le jour J et recréer des équipes qui ont l’habitude de fonctionner ensemble et se connaissent par cœur… C’est la meilleure manière de gagner les précieuses secondes qui éviteront à la cellule d’animation de partir elle-même en crise !

Cet article Organiser un exercice de crise cyber dans une grande entreprise est apparu en premier sur RiskInsight.