Gestion de crise : tous les moyens sont bons pour se préparer... 

Gouvernance Risques et Conformité
Gestion de crise : tous les moyens sont bons pour se préparer... 

 

Retour d’expérience Advens & Cybereason : Opération Blackout France 

 

"Les processus de réaction et d’escalade sont-ils efficaces ? Comment les équipes vont-elles gérer la situation ? Vais-je avoir les nerfs solides pour tenir si la crise se prolonge ?..." Faire face à une crise majeure est un évènement difficile à appréhender avant de l’avoir expérimentée au moins une fois. C’est pourquoi la préparation à la crise est hautement recommandée. Advens et son partenaire Cybereason vous partagent un retour d’expérience sur une préparation pas comme les autres ! 

Cette préparation se fait habituellement par un exercice de gestion de crise. Il s’agit d’une simulation « sur table » qui permet de tester le bon fonctionnement des cellules de crise et des processus associés – le tout dans des conditions les plus réalistes possibles. Traditionnellement un tel exercice se fait à l’échelle d’une organisation, avec les ressources qui composent les différentes cellules, sur la base d’un scénario plausible pour cette organisation.

Démarche passionnante et enrichissante… que nous avons souhaité dépoussiérer un peu ! 

 

Opération Blackout France 

Le 10 mars 2020, Cybereason et Advens ont organisé « Opération Blackout France », un exercice de simulation de crise, sur le thème des élections, faisant intervenir des experts de plusieurs organisations, publiques et privées (agences gouvernementales, banques ou assurances du CAC 40, groupe de media, acteur majeur de la santé, etc.). 

Cet exercice de crise a réuni trois équipes, chacune ayant un rôle bien particulier à jouer :  

  • la Red teamen charge d’attaquer 
  • la Blue Teamen charge de protéger, 
  • et la White Team« maitre du jeu », en charge d’orchestrer la simulation.  

RSSI, responsable de la gestion des crises Cyber, manager de SOC, experts Sécurité, pentesters : les équipes sont constituées de professionnels de la cybersécurité, mais varient les profils et les points de vue.  Les participants sont plongés dans une ville imaginaire, un jour d’élections. L’objectif de la Red Team est simple : déstabiliser ces élections, par tous les moyens ou presque  (le piratage pure et simple des résultats du vote ou d’éventuelles machines de vote électroniques ayant été écarté du champ des possibles pour appeler à un peu plus d’imagination). Quant à la Blue Team, elle doit protéger l’élection et les institutions associées.  

Le choix d’un tel scénario a plusieurs avantages : se questionner sur un problème de société, se projeter sur un périmètre national, se détacher du quotidien pour celles et ceux qui ne sont pas concernés par cette problématique… et puis aussi simuler des équipes aux moyens potentiellement conséquents. Tout cela a permis de créer des liens entre des participants issus d’organisations différentes. « Le scénario du hacking des élections permet aussi et surtout de laisser libre court à son imagination !» confie Mario GeorgiouChannel Director EMEA chez Cybereason. 

 

Imagination sans limite ou triste réalité ? 

Tour après tour, la Red Team a fait preuve d’une imagination débordante pour mener son plan à exécution. Piratage des réseaux sociaux de la collectivité, prise en main des systèmes de communication et d’alerte dans la ville, piratage des dispositifs de gestion de la circulation, envol de drones : autant d’attaques qui visaient à déstabiliser l’élection. « Nous souhaitons faire en sorte que les citoyens n’aillent pas voter, mais sans aucune volonté de nuire aux personnes. Aucune victime ni aucun impact sur la santé et la vie des personnes » explique le porte-parole de la Red Team, leader d’un groupe d’attaquant le 10 mars 2020 mais habituellement RSSI Groupe dans un grand groupe de la Santé. 

La Red Team cherchait la guerre… de l’information ! Elle visait à diffuser de fausses informations, via différents canauxpour inciter la population à ne pas aller voter, puis s’appuyer sur une abstention record et un brouhaha général autour de l’élection. In fine les citoyens allaient perdre confiance vis-à-vis des institutions et des résultats du vote. Pour atteindre ce but, la Red Team a fait appel au deep fake, pour diffuser un faux message vidéo émis soi-disant par un vrai responsable politique de la ville.  

Tout cela n’était qu’un jeu et ces coups sont issus de l’imagination des participants. Mais on se rend compte que les techniques d’attaque envisagées ne sont pas extraordinaires« Un groupe d’attaquants motivés et dotés de quelques moyens modernes pourrait tout à fait arriver à ses finssans pour autant faire appel à des moyens étatiques ou surdimensionnés » témoigne David Buhan, directeur Général d’Advens. 

 

Les leçons à retenir 

Opération Blackout France a été une opportunité conviviale et enrichissante. L’exercice a porté ses fruits : réfléchir collectivement aux stratégies de résilienceet améliorer ses pratiques de préparation à la crise. Aux dires des participants et des organisateurs, les principales leçons identifiées sont les suivantes. 

1.Les défenseurs doivent s’inspirer des méthodes des attaquants. 

Adapter sa posture à celle de l’attaquant n’est pas un sujet nouveau. Mais il est difficile de trouver le temps et les conditions pour le faire. Les RSSI sont sollicités sur de nombreux sujets et doivent s’adapter à de nombreux interlocuteurs. L’objectif est souvent la défense ou la conformité. Lorsqu’il s’agit de penser comme un attaquant, les réflexes ne sont pas là et ce changement de point de vue n’est pas naturel. Le cyber-range ou une opération comme Blackout France peuvent être enrichissants. 

2.L’anticipation est plutôt efficace pour les défenseurs. 

On le sait tous : il suffit pour l’attaquant de percer une seule des nombreuses lignes de défense pour réussir. Le déséquilibre entre attaque et défense est une composante avec laquelle il faut composer. La Blue Team est consciente de l’impossibilité de déployer une protection pour tous les cas de figure. Cependant, sans aller jusqu’au déploiement de toutes les mesures de sécurité, il est essentiel d’envisager tout ce qui pourrait mal se passer et d’identifier une façon d’y faire – a minima sur papier. L’étude des TTP peut être très utile pour cela.

3.L’échelle de temps de la défense n’est pas celle de l’attaque. 

C’est encore plus vrai à l’échelle d’une collectivité ou d’une nation ! De la validation jusqu’à l’implémentation technique, déployer une protection prend du temps. Cette démarche intègre de nombreuses dimensions (politiques, budgétaires, organisationnelles, logistiques, etc.) qui consomme un temps parfois extrêmement précieux en temps de crise. Il est alors crucial de définir des circuits de validation réduits et une organisation adaptée à ces cas de figure. 

  

Quelques articles sur cet événement :

Le Figaro, Le Monde Informatique, Cyberguerre / Numerama

Benjamin Leroux, Innovation & Marketing, Advens