Investir dans des produits de sécurité n’est plus suffisant. Désormais, les organisations sont invitées à participer à des jeux de rôles et des simulations pour apprendre comment réagir face aux intrusions informatiques.
Le téléphone sonne. C’est le directeur financier de notre groupe bancaire international qui m’informe avoir effectué un virement de 2,5 millions d’euros vers un compte qui lui était indiqué en urgence dans un e-mail envoyé par le PDG. Toutefois, il est pris d’un doute, car il n’arrive pas à identifier le propriétaire du compte destinataire. Il pourrait donc s’agir d’une importante fraude.
Un léger vent de panique commence à souffler dans mon cerveau, d’autant plus que plusieurs autres évènements potentiellement graves sont remontés en même temps auprès de mes collègues : la divulgation en ligne des données personnelles de 75 millions de clients, la révélation d’un document sur un rachat d’entreprise en cours, des clients physiquement bloqués dans les ascenseurs d’un centre de conférence en raison d’un ransomware, une fraction de comptes clients piratés par un malware…
Un road trip de la peur
L’entreprise est soudainement prise dans un tourbillon de problèmes et je suis en charge de piloter la cellule de crise. Mes mains commencent à trembler. Mais la bonne nouvelle, c’est que rien de tout ceci n’est vrai. Il s’agit en fait d’une simulation organisée par IBM dans son « centre d’opération tactique cyber mobile » (C-TOC, cyber technical operation center), une salle de surveillance pouvant accueillir une vingtaine de personnes et installée dans la semi-remorque d’un poids lourd.
Depuis janvier dernier, le fournisseur sillonne l’Europe et donne (gratuitement) des sueurs froides aux responsables d’entreprise en les confrontant à des scénarios de cyberattaques. Début juillet, le véhicule a fait halte à Paris, l’occasion d’inviter également une brochette de journalistes. L’objectif, clairement, est de « créer un électrochoc », souligne Hugo Madeux, directeur de l’entité Sécurité d’IBM France.
Il faut dire que le traitement est efficace. Après que chacun s’est vu attribué un rôle – juridique, RH, communication, informatique, gestion – les participants doivent collaborer pour gérer la crise. Et franchement, quand on n’a jamais ça, on est très vite, très débordé. Mais rapidement, on découvre quelques principes simples. Ainsi, il faut toujours vérifier les faits avant d’agir, sans quoi on peut vite se battre contre des moulins à vent. Par ailleurs, les évènements doivent être traités par ordre de priorité pour éviter de disperser les forces vives.
Mais le plus important, c’est d’avoir un guide de procédures et un principe d’action. Le premier permet de rapidement savoir que faire dans telle ou telle situation : qui faut-il contacter ? que faut-il actionner ? quel type de déclaration faut-il rédiger ? etc. Le second est une phrase courte et générale, permettant de prendre les décisions dans des cas complexes. « Cela peut-être par exemple : protéger en priorité l’intérêt des clients quel qu’en soit le coût financier », explique Christopher Crummey, directeur exécutif de la division IBM X-Force Command.
Les fournisseurs se multiplient
Evidemment, l’organisation d’un tel spectacle ambulant n’est pas désintéressée. IBM espère que les participants, une fois passé ce baptême du feu, commanderont des sessions d’entraînement, payantes cette fois. De ce point de vue, IBM dispose d’une large palette : simulations techniques ou organisationnelles, dans la peau du défenseur ou de l’attaquant, avec un scénario standard ou personnalisé… tout est possible.
Mais Big Blue n’est pas le seul à proposer ce type de prestations. Beaucoup d’acteurs se pressent actuellement dans le secteur de la simulation. En effet, les organisations se rendent compte que la sécurité périmétrique n’est pas suffisante et que n’importe qui peut désormais devenir une victime.
Confrontées à l’augmentation du nombre de cyberattaques et à un contexte géopolitique instable, elles savent que les intrusions deviennent hautement probables et qu’il faut désormais pouvoir gérer les conséquences et limiter les dégâts.
Aussi, les plates-formes techniques se multiplient. En France, les fournisseurs Sysdream et Bluecyforce disposent chacun d’un environnement d’entraînement baptisé « cyber range » dans lequel les équipes informatiques peuvent tester leurs compétences de défenseurs ou d’attaquants. Ces services sont également proposés par des sociétés américaines comme Palo Alto Networks, Check Point ou SimSpace. L’idée est toujours la même. Il s’agit de créer des réseaux informatiques virtuels pouvant simuler à la fois des ressources internes et externes. Dans cet espace confiné, les participants peuvent alors se donner à cœur joie, progresser dans la lutte informatique… et, évidemment, se faire quelques frayeurs.