Rempar22 : un exercice national de simulation de crise cyber
Le 8 décembre nous avons participé à un exercice national organisé conjointement par le Campus Cyber, l’ANSSI et le Club de la Continuité d’Activité (CCA). 200 participants ont pris part à cet exercice dans les locaux du campus cyber. Au sein d’une entreprise fictive, le but était de trouver les réponses afin de minimiser les impacts d’une crise cyber et ainsi d’en tirer les enseignements, afin de préparer au mieux son entreprise à cette éventualité. Nous voilà plongés au cœur de cet exercice réalisé avec des consultants sécurité, mais pas uniquement, Eva, Christian, Christine et moi-même, consultants cloud, ainsi que Domenico, notre CEO.
Par une froide journée de décembre, l’activité de notre entreprise de conseil en cybersécurité suit son cours : nos consultants conseillent, nos sites d’information cyber informent, notre site public Internet publie. Puis les services bureautiques tombent, le service informatique informe rapidement que c’est l’hébergeur cloud qui subit un incident. Finalement nos sites d’information finissent par tomber également : les clients sont impactés, on ne peut plus leur fournir nos services. Il faut s’organiser pour décider comment rétablir le service, comment communiquer aux employés et aux clients. Comme l’hébergeur est impacté, il est décidé de basculer sur le Plan de Continuité d’Activité. Mais les problèmes s’enchaînent : l’informatique interne ne marche plus. Plus de mail, plus de chat : impossible de donner les consignes aux membres de l’entreprise. Contre vents et marées, le service informatique rétablit les services un à un. Et là un de nos chers employés de notre entreprise de conseil en cybersécurité a la bonne idée d’ouvrir un mail infecté : nous avons maintenant un virus qui chiffre les postes utilisateurs. Une demande de rançon arrive, elle est raisonnable et la payer n’impacterait pas le chiffre d’affaires de l’entreprise. Les médias s’en mêlent : des demandes d’interview sur l’impact de la crise dans notre entreprise affluent ; mais la direction est claire : pendant la tempête on ne commente pas et on se concentre sur la crise en privilégiant les clients. Toutefois ces mêmes médias diffusent que c’est une crise nationale et que ce sont toutes les grandes entreprises françaises qui sont paralysées. Tant bien que mal le PCA devient fonctionnel avec un travail acharné du service informatique qui a tout rétabli en moins de 2h. Les services redémarrent les uns après les autres, l’activité de l’entreprise peut reprendre!
Pour cet exercice les 200 participants étaient répartis au sein de plusieurs entreprises, et ensuite au sein de plusieurs services de l’entreprise. Les participants de Devoteam Revolve ont été répartis au sein d’une entreprise fictive de conseil, dans les services de direction, d’informatique, d’anticipation et de communication. Lors de l’arrivée des différents événements, les stimuli, il fallait une prise de décision à plusieurs niveaux : au sein de la cellule, la communication aux entités impactées et la réponse organisationnelle à donner. Au début de l’exercice chaque cellule agissait plutôt individuellement, puis le besoin d’une cohérence s’est fait sentir alors que la situation s’aggravait.
Les enseignements que j’ai pu rapidement tirer sont:
- La cellule d’anticipation sert à anticiper, s’il n’y a pas de scénario prêt de leur côté alors c’est difficile pour eux d’aider dans le feu de l’action.
- Une centralisation des décisions doit être réalisée assez tôt, pour cela il faut savoir quand déclencher cette organisation de crise.
- Il faut identifier qui sont les décisionnaires et les points de contact dans les différentes équipes. Les équipes doivent communiquer efficacement les unes avec les autres en mettant à la fois en place un chef d’orchestre transverse aux équipes interagissant avec un représentant de chaque équipe afin de protéger leurs membres des perturbations extérieures à l’équipe.
- Il faut sensibiliser les collaborateurs et leur donner au moins les grandes lignes du comportement à adopter, comme lors des exercices d’évacuation des bureaux.
- Il faut penser aux solutions de secours avec le PCA : bien sûr les infrastructures, mais aussi des choses moins évidentes comme comment contacter les collaborateurs sans outil numérique.
Si nous avons pu participer à cet événement sur une demie journée, il a en lui-même nécessité une année de préparation compte-tenu de l’ampleur de l’exercice. Nous n’avons vu que la moitié de l’exercice, l’autre étant similaire, mais dédiée à des organisations ayant eu un exercice avec des collaborateurs de leur entreprise uniquement. La qualité du scénario auquel nous avons été confrontés est assez impressionnante pour une première édition. Bien entendu il y aurait des améliorations à apporter comme avoir un maître du jeu pour prendre les actions ou arbitrages quant aux réponses des équipes participantes. Lors de l’exercice les stimuli étaient programmés, ce qui amenait parfois à des incohérences au vu des actions menées par les équipes. Le maître du jeu pourrait ainsi lancer manuellement certains stimuli en les adaptant aux réponses apportées lors de l’exercice. Techniquement ce serait intéressant et plus réaliste que chaque participant puisse avoir accès à son poste de travail (il n’y avait qu’un seul poste par équipe, réduisant trop souvent l’équipe à une seule interface, la majorité des échanges étant numériques).
Il est intéressant que le stimulus original du scénario soit l’attaque du fournisseur de cloud faisant ainsi tomber les services de l’entreprise. Toutes les entreprises clientes de ce fournisseur de cloud ont donc été impactées par cette attaque.
Aujourd’hui les entreprises ont le choix de leur fournisseur de cloud parmi les 3 leaders américains (AWS, Azure, GCP) ou d’autres fournisseurs (OVHCloud, Scaleway, …). La doctrine du cloud de confiance (voir aussi cet article) qui émerge afin de se protéger des lois extraterritoriales semble plutôt montrer que les entreprises identifiées OIV auront deux choix : soit leur datacenters, avec les désavantages que l’on connaît (manque d’agilité, besoin d’une taille critique, coûts financiers et humains importants), soit un cloud de confiance pour lequel on sait qu’il faudrait la certification SecNumCloud (“informatique en nuage”), dont le contenu n’est pas encore finalisé à l’heure actuelle. Dans les deux cas, on peut supposer que les services seront bien moins nombreux qu’une offre de cloud classique.
Ainsi si demain un attaquant veut neutraliser un pays tout entier en ciblant plusieurs entreprises, il saura que les OIV de ce pays sont présents soit dans leurs datacenters, soit dans un cloud de confiance ce qui en fait une cible idéale. S’il semble difficile pour un datacenter isolé de résister aux attaques DDoS qui sont de plus en plus volumineuses, il faut espérer que le ou les futurs clouds de confiance en soient capables.
Les États et OIV vont devoir choisir entre deux types de fournisseurs cloud, chacun ayant ses risques propres. Le premier est de prendre des solutions cloud éprouvées et robustes, mais fournies par une entreprise tiers soumise à des lois extraterritoriales (voir à ce sujet l’article sur les enjeux juridiques du Cloud). La deuxième est d’utiliser des solutions nationales ou européennes, actuellement moins élaborées ou robustes. Il est déjà d’actualité que des groupes inamicaux s’attaquent à des entreprises de type OIV afin de paralyser l’activité d’un pays. Les entreprises vont devoir choisir ce qui leur portera le moins préjudice : l’exploitation de leurs données par un pays historiquement allié de la France via un cadre légal défini, ou bien la plus grande exposition à de potentielles attaques informatiques ayant pour but le vol de données ou la paralysie de l’entreprise et sans aucun cadre légal. La souveraineté, dont il est question avec le cloud de confiance, ne doit pas se faire au détriment de la disponibilité des données. En situation de crise extrême l’Ukraine n’a pas tergiversé longtemps et a sauvegardé l’ensemble de ses données critiques dans le cloud AWS.
Enfin pour se préparer à une crise cyber on pourra se référer aux très bons livrets réalisés par l’ANSSI. Le format est très pédagogique et donc facile à appréhender.
- Anticiper et gérer sa communication de crise cyber : https://www.ssi.gouv.fr/guide/anticiper-et-gerer-sa-communication-de-crise-cyber/
- Crise d’origine cyber, les clés d’une gestion opérationnelle et stratégique :https://www.ssi.gouv.fr/guide/crise-dorigine-cyber-les-cles-dune-gestion-operationnelle-et-strategique/
- Organiser un exercice de gestion de crise cyber : https://www.ssi.gouv.fr/guide/organiser-un-exercice-de-gestion-de-crise-cyber/
Merci au Campus Cyber, au CCA et à l’ANSSI d’avoir organisé cet événement. On attend avec impatience la prochaine édition!