Combiner exercices de crise et simulation d’attaques, le combo gagnant.

Entretien avec Olivier Caleff – Directeur en gestion de crise et cyber résilience du Groupe Erium

Pour qu’une entreprise soit prête à faire face aux différentes cyberattaques, les exercices de crise ne suffisent plus. Il est tout aussi important d’y intégrer la simulation d’attaques. Cette méthode permet de tester et d’améliorer la réactivité d’une organisation face aux menaces, le tout sans mettre en péril ses systèmes informatiques. C’est en tout cas le point de vue d’Olivier Caleff, directeur en cyber résilience et gestion de crise, qui souligne dans cet échange l’importance de combiner ces deux approches. Qui, selon lui, est la clé pour renforcer la capacité d’une entreprise à résister à des chocs cyber de différentes intensités.

Combien d’exercices de crise cyber, de plus ou moins grande ampleur sont-ils réalisés en France chaque année ?

Je n’ai pas de réponse précise… Et je vous livre mon estimation basée à la fois sur mes échanges avec de nombreux RSSI et responsables de CSIRT (notamment du CESIN et de l’InterCERT France), ainsi qu’avec la compilation de différentes sources. La fourchette est très large et se situe entre 3.000 et 5.000, avec des types d’exercices de crise cyber très variés et en excluant les tests les plus simples.

Mais cette analyse n’est pertinente qu’une fois complétée par deux dimensions :

  • La portée organisationnelle : familles de participants, direction, métiers, IT, équipes sécurité, partenaires, prestataires de services.
  • La nature des exercices : des  tests d’annuaires peu complexes type « Communication Check » jusqu’aux exercices de crise cyber globaux avec activation des différentes cellules d’incidents de cybersécurité majeurs ou de gestion de crise cyber et la prise en compte de l’aspect sûreté.

Quel est le rôle d’un exercice de crise ?

Un exercice de crise cyber doit évaluer les aptitudes d’une organisation à résister à un choc cyber, sur tout son cycle de vie, et pas seulement à valider la capacité de réaction en urgence à une crise de cybersécurité.

L’un des risques dans la conduite d’un exercice et de conforter artificiellement l’organisation sur sa capacité de traitement théorique de la crise et d’occulter fortement :

  • La capacité à éviter le pire. Ce qui nécessite de prendre très vite les bonnes mesures opérationnelles (détecter, qualifier et adapter le système de défense à l’attaque et mettre en sécurité, confiner et améliorer ce qui doit l’être).
  • Ainsi que la capacité à tenir dans la durée, aussi bien pour gérer la reconstruction que pour assurer les modes dégradés (métiers et supports).

Quelles sont les étapes clés d’une gestion de crise réussie ?

J’identifie 5 étapes clés de gestion d’une cyberattaque, voire d’une crise cyber.

Je simplifie volontairement les modèles existants de découpage en 3 à 7 phases ainsi que les différentes techniques et tactiques (MITRE ATT&CK, cyber Kill Chain).

La première phase est la phase de construction de la cyberattaque. Il est encore possible de faire échouer la cyberattaque grâce à la capacité de détection et de corrélation du SOC et/ou du CSIRT.

Le seconde phase est celle de l’activation et de latéralisation de l’attaque cyber. Il est encore possible de diminuer sa portée et donc sa magnitude.

La troisième phase est la phase d’impact technique maximal de la cyberattaque. Il devient alors difficile de pouvoir sauver des actifs, des données critiques, voire des équipements.

La quatrième la phase est celle de l’immobilisation ou d’altération maximale des processus et de pression des cyberattaquants. Durant cette phrase, il est indispensable de gérer toutes les conséquences métiers, légales, humaines et médiatiques de la cyberattaque, mais aussi de pouvoir poursuivre les activités critiques et assurer une certaine continuité des services essentiels.

Enfin, la dernière phase est la phase de reconstruction et de retour à la normale. Il est indispensable d’optimiser les capacités de PRA et de reconstruction contrôlée pour quitter progressivement de modes dégradés pour revenir aux modes nominaux.

Vers quoi se tourne essentiellement les exercices de crise aujourd’hui ?

Des échanges évoqués ci-dessus et complétés avec des membres du FIRST à l’international, je constate que l’entrainement à la crise se porte en majorité aujourd’hui vers deux aspects.

Le premier est la mobilisation des plus hautes instances de organisations – des C-Level aux métiers.

Le second est le traitement des implications liées à la crise cyber, tant sur les aspects métiers – encore et toujours prioritaires – que sur les autres aspects informatiques : reconstruction d’infrastructures et d’environnements de production et utilisateurs.

Quel est le grand défi en gestion de crise pour les organisations aujourd’hui ?

Les organisations doivent adapter leurs schémas d’entraînement et porter leurs efforts en amont de la crise.

L’enjeu d’une gestion de crise cyber réussie est multiple. A la fois, une détection des cyberattaques et une activation de la réponse au plus tôt, avec une couverture la plus large possible des composants techniques impactés et également la prise en compte des différents impacts pour l’organisation selon des priorités établies.

C’est une logique de de bout en bout à construire des experts aux décideurs, chacun devant être mobilisé au bon moment, avec des rôles et des responsabilités clairement établies.

La mise en situation de tension réelle d’un système d’information (entreprise, IT, OT) est-elle nécessaire ?

Oui, elle est nécessaire pour identifier les points prioritaires permettant d’augmenter la maturité de gestion de crise cyber.

Compromettre des systèmes, simuler des attaques cyber, faire tomber des composants critiques et avoir intégré cela – on se souvient par exemple que le Chaos Computing existe depuis (au moins) 2011 avec la Simian Army de Netflix et son outil Chaos Monkey – permet d’évaluer la capacité de coordination et de réponse de bout en bout.

Pourquoi dit-on que les exercices de crises théoriques sont-ils insuffisants ?

Les exercices de crise cyber théoriques ou pédagogiques habituels ont bien sûr leur utilité.

Mais face à l’adversité et la complexité du paysage numérique actuelle, ils ne suffisent plus. Pire :  ils créent souvent un faux sentiment de maitrise de ce sujet complexe.

Il est essentiel d’entrainer et d’augmenter significativement la capacité des équipes de terrain à réagir au plus tôt d’une cyberattaque et avec des moyens et autorisations acceptés par les dirigeants.

Pierre Desproges aurait presque pu dire qu’un programme de crise cyber sans aucune simulation réaliste d’attaque c’est aussi absurde qu’un poisson rouge sans bicyclette.


D’accord, pas d’accord ? Parlons-en !

Échanger avec un expert

Contact