Par Lola BRETON
Dans un camion rutilant stationné sur le parking de l’Hippodrome de Saint-Cloud, une dizaine d’employés d’IBM Security s’apprête à faire vivre quelques heures éprouvantes à des employés d’entreprises françaises. De leur plein gré, ces derniers viennent subir une cyberattaque majeure. Inauguré le 21 janvier 2019, le centre d’opérations tactiques cyber IBM X-Force Command (C-TOC) a déjà garé son data center roulant dans 12 pays, et accueilli près de 500 personnes en quête de confrontation à la menace cyber.
Une confrontation aux risques cyber directe et nécessaire
« Les directions d’entreprises qui ne sont pas spécialisées dans la cyber et qui n’ont jamais été confrontées à la menace ont besoin d’un électrochoc pour savoir ce qu’il en est », souligne Hugo Madeux, Directeur Cybersécurité chez IBM Security. Dire que le risque cyber n’est pas correctement appréhendé serait un euphémisme. Selon une étude menée par le groupe, 77 % des structures ne disposeraient pas de plan de gestion du risque cyber en cas de crise. Parmi celles ayant mis en place un plan, seule la moitié l’aurait déjà éprouvé lors de tests grandeur nature.
Pendant 3h30, lors des sessions gratuites du Ox Response Challenge, les employés d’une même entreprise sont invités à se plonger dans un scénario réaliste de cyberattaque, qu’ils découvrent sur place et à mesure que la simulation a lieu. Menée depuis plusieurs années dans le cyber range (centre cyber complet) de Cambridge, Massachussetts (Etats-Unis), cette simulation s’exporte aujourd’hui sur les routes américaines et européennes à bord du C-TOC pour venir au plus près des entrepreneurs, PME, ETI, grands groupes, etc. et les sensibiliser à la menace.
Expérience immersive sous pression
Dans une pièce réfrigérée – pour garder les serveurs opérationnels – et entièrement équipée façon salle de gestion de crise, les participants s’installent. Ils en oublieraient presque que l’expérience qu’ils sont sur le point de vivre est posée sur les roues d’un 23 tonnes.
La séance débute. Dans l’exercice « standard », les participants font partie de l’entreprise Bane & Ox. Alors que des informations clés sur les activités de l’entreprise leur sont délivrés, les participants à l’exercice prennent leurs marques dans les sièges placés face à un écran de près de 6×1 m, des ordinateurs et des téléphones fixes, silencieux, quand soudain… surprise ! En une fraction de seconde, la situation bascule. Les participants sont assignés à un rôle dans l’entreprise. Rôle qu’ils vont devoir endosser sans délai afin de gérer immédiatement la crise qui s’amorce…
La pression monte. Le cerveau secrète du cortisol et le stress envahit les corps en quelques secondes. En règle, générale, la majorité des personnes présentes vit alors sa première situation de crise cyber. Après quelques minutes d’agitation, il va falloir rapidement réussir à gérer son stress, revenir au calme et reprendre possession de tous ses moyens. Les discussions stratégiques commencent. Les décisions nécessaires au sauvetage de Bane & Ox doivent être prises au plus vite.
Jean-Yves Poichotte, RSSI de SANOFI, qui a vécu une simulation de ce type en 2018 dans le cyber range de Boston a trouvé l’exercice d’un réalisme extrême : « La timeline d’exercice est très tendu, ce qui reflète parfaitement la réalité des attaques, les stimuli sont très réalistes et les rôles assignés reflètent parfaitement les parties prenantes mobilisées lors d’une véritable crise. »
Le jeu de rôle se poursuit donc jusqu’à la résolution de crise. Equipes cyber, juridique, RH, business, relations médias sont amenés à coopérer très étroitement afin que cette résolution soit faite rapidement, efficacement et avec le moins de dommages possible. « Le vécu d’une crise en équipe apporte une meilleure compréhension du rôle et des qualités de chacun », explique Jean-Yves Poichotte et de poursuivre « Dans une crise cyber, les métiers intervenants sont très nombreux et il y a parfois – la première fois en tout cas – un manque de compréhension entre les équipes techniques et le reste des équipes de l’entreprise. »
Le C-TOC : première étape d’une stratégie cyber éprouvée
Comme le souligne le rapport IBM X-Force 2018, « le ransomware ne s’est pas révélé payant en 2018 pour les cybercriminels. Ils ont donc décidé de se tourner vers le cryptojacking pour faire du profit. » Face au déplacement continu de la menace cyber, les entreprises et toute leur force humaine doivent être mobilisées. « En sortant de l’exercice, les collaborateurs avaient une bonne connaissance et compréhension de ce qui était attendu de chacun dans le cas d’une cyberattaque. Cela nous a permis de rouvrir les yeux sur les risques qu’une telle crise pouvait faire peser sur l’entreprise. Au-delà de l’exercice technique de résolution d’une crise cyber, il s’agit de contribuer à diminuer les impacts négatifs possibles au niveau de la communication, de l’image, ou du business », conclut Jean-Yves Poichotte sur l’expérience Ox Response Challenge.
Un changement de vision sur le risque cyber est donc à prévoir en sortant de cette expérience immersive. Après la prise de conscience, s’amorcent donc les actions concrètes à mettre en œuvre pour être mieux préparé, collectivement, aux crises. Il s’agit de développer une culture d’entreprise propice au dynamisme et à l’adaptation face aux risques cyber, tout en adoptant de nouveaux process et en formant le personnel.
Le C-TOC d’IBM a vocation à travailler sur tous les plans de ce changement de paradigme. En organisant par ailleurs des sessions pour le monde universitaire et les associations liées à la cyber, mais aussi en se dévoilant un peu au grand public, IBM veut faire naître des vocations dans les métiers cyber. Le camion peut également offrir une assistance supplémentaire aux clients lorsque leurs besoins en cybersécurité augmentent ; lors de grands évènements, par exemple.
Sur les routes du Royaume-Uni, d’Helsinki, de Madrid, Milan et Amsterdam, les équipes américaines du C-TOC répondront à ces demandes prégnantes lors de sessions déjà complètes jusqu’à la fin de l’année.
Des sessions ciblées et personnalisées, et donc payantes, existent d’ores et déjà mais seront davantage développées dès 2020. L’an prochain, afin de répondre à une forte demande, le calendrier des sessions sera présenté dès l’automne. Il faudra alors se positionner très rapidement pour se mettre, volontairement, sous pression, et ressortir de cette expérience, prêt à prendre un tournant stratégique en matière de cybersécurité.