Cyber War Games ou comment se préparer aux cyberattaques

"Cela peut-il nous arriver ?" Partout dans le monde, des cadres doivent répondre à cette question posée par des conseils d'administration et des PDG à la suite de cyberattaques très médiatisées contre des entreprises et des institutions publiques de grande envergure et très respectées.

La seule réponse honnête est "oui", à une époque où de plus en plus de valeur migre en ligne, où les stratégies commerciales exigent des environnements technologiques plus ouverts et interconnectés, où les attaquants ont des capacités toujours plus grandes et où les attaques profitent d'une sensibilisation limitée à la sécurité parmi les employés et les clients. En fait, cela vous est peut-être déjà arrivé, mais vous ne le savez peut-être pas.

Bien que les "hacktivistes" politiques comme Anonymous soient certainement ravis d'annoncer leurs exploits au monde entier et de mettre leurs cibles dans l'embarras, d'autres attaquants sophistiqués cherchent à effacer leurs traces. Les réseaux de criminalité organisée qui pratiquent la cyberfraude n'ont aucun intérêt à faire savoir à leurs cibles qu'ils ont été infiltrés.

Les conseils d'administration et les dirigeants d'entreprise devraient poser une question différente à l'équipe technologique, à savoir : "Sommes-nous prêts à répondre à une cyberattaque ?"

Une réponse mal pensée peut être bien plus dommageable que l'attaque elle-même. Le fait que des clients annulent leur compte à la suite d'une cyberattaque réussie dépend autant de la qualité de la communication de l'entreprise que de la gravité de la violation. La valeur détruite par la perte d'affaires sensibles dépend de la capacité de l'entreprise à adapter rapidement ses tactiques.

I. Tester l'état de préparation avec des Cyber War Games

Les forces armées organisent depuis longtemps des War Games pour tester leurs capacités, mettre en évidence les lacunes des plans et renforcer l'aptitude de leurs dirigeants à prendre des décisions en temps réel. Trop peu d’entreprises ont organisé des Cyber War Games pour s'assurer qu'elles sont prêtes à gérer une cyberattaque. En fait, de nombreux Cyber War Games d'entreprise ont été directement inspirés par des War Games axés sur la défense nationale.

Un Cyber War Game est très différent des tests de pénétration traditionnels, dans le cadre desquels les entreprises emploient des hackers "White Hat" ou passent un contrat avec eux pour identifier les vulnérabilités techniques, telles que les ports de réseau non sécurisés ou les programmes externes qui partagent trop d'informations dans la barre du navigateur.

Un Cyber War Game est organisé autour d'un scénario d'entreprise (par exemple, des cybercriminels utilisant des attaques de "spear phishing" pour cibler des clients fortunés à des fins de fraude). Il est structuré de manière à simuler l'expérience d'une attaque réelle. Les participants reçoivent des informations incomplètes et leurs objectifs peuvent ne pas être alignés à 100 %. La simulation est interfonctionnelle et implique des participants issus non seulement de la sécurité de l'information, mais aussi du développement d'applications, de l'infrastructure technologique, du service clientèle, des opérations, du marketing, des affaires juridiques, des affaires gouvernementales et de la communication d'entreprise.

Le Cyber War Games se déroule sur quelques jours mais nécessite une analyse préalable des actifs d'information de l'entreprise et des vulnérabilités potentielles en matière de sécurité afin de rendre le scénario pertinent et le jeu réaliste. Les exercices n'affectent généralement pas les systèmes de production en direct ; de nombreux Cyber War Games sont des exercices "sur table".

II. S’interroger sur les capacités à réagir de l’entreprise

Plus important encore, un Cyber War Game teste les failles dans la capacité d'une entreprise à réagir à une attaque en répondant à des questions clés sur les capacités requises pour une réponse réussie :

• L'équipe de sécurité identifiera-t-elle et évaluera-t-elle rapidement la violation ? Une organisation a constaté que les processus utilisés par son équipe de sécurité pour faire face à une violation dépendaient entièrement du courrier électronique et de la messagerie instantanée ; l'organisation n'aurait qu'une capacité limitée à répondre à une attaque qui compromettrait ces systèmes.
• L'équipe prendra-t-elle des décisions efficaces pour contenir la violation ? Une entreprise a découvert qu'elle ne disposait pas de lignes directrices fonctionnelles pour décider du moment où elle devait fermer certaines parties de son environnement technologique. Elle a découvert que des cadres supérieurs auraient ordonné à l'équipe technologique de couper inutilement la connectivité externe, empêchant ainsi les clients d'accéder à leurs comptes.
• L'équipe communiquera-t-elle efficacement la violation à l'ensemble des parties prenantes ? Dans une institution financière, un War Game a montré que les lignes directrices n'avaient pas été différenciées pour la communication avec les clients dont les données avaient fait l'objet d'une violation. Par conséquent, les clients fortunés auraient reçu un courriel impersonnel.
• L'entreprise peut-elle adapter ses stratégies et tactiques commerciales à la suite d'une violation ? Chez un fabricant, un jeu de guerre a révélé que les chefs d'entreprise n'avaient jamais réfléchi à ce qu'ils feraient si des concurrents ou des contreparties avaient accès à des informations sensibles, et qu'ils seraient donc incapables de modifier rapidement leurs stratégies de négociation après la divulgation d'informations exclusives sur leur structure de coûts.

III. Tirer les enseignements d’un Cyber War Game

Les Cyber War Games permettent de mieux comprendre les actifs informationnels à protéger, les failles de sécurité que les attaquants peuvent exploiter et les failles (ou "modes de défaillance") dans la capacité d'une entreprise à répondre à une attaque.

Après avoir sélectionné les scénarios à déployer dans le jeu, les agents identifient les modes de défaillance qu'ils doivent tester et créent le script étape par étape qu'un facilitateur - un expert en War Games interne ou externe - utilise lors de l'exécution du jeu. La simulation ou le jeu lui-même peut durer d'une journée à une semaine ou plus, en fonction de la complexité des scénarios. Tout au long de la simulation, le facilitateur fournira aux participants des mises à jour intermittentes ou de nouvelles informations sur lesquelles ils pourront agir. À chaque tour, les données que reçoivent les acteurs représentant des fonctions telles que la sécurité, le marketing et le service juridique dépendent des actions qu'ils viennent d'entreprendre.

La dernière phase, la plus importante, reprend les informations générées par la simulation et les convertit en mesures concrètes qui amélioreront la capacité de l'entreprise à répondre à une attaque. Ces mesures vont de la mise en œuvre d'outils qui augmentent la capacité d'une organisation à prévoir les attaques, à clarifier les responsabilités et à élaborer des lignes directrices pour la prise de décisions importantes sous pression, à la création de protocoles de communication qui peuvent être mis en place en cas de besoin.

L'organisation d'un War Game pour tester la capacité d'une entreprise à gérer une cyberattaque nécessite un effort et une planification réels. Toutefois, il s'agit de l'un des mécanismes les plus efficaces pour déterminer les actifs à protéger en priorité, mettre en évidence les vulnérabilités, identifier les failles dans la capacité de réaction d'une entreprise et développer le type de "mémoire musculaire" nécessaire pour prendre des décisions appropriées en temps réel avec des informations limitées.