Apprendre à contrer les attaques informatiques dans un environnement totalement maîtrisé, tel est l’objectif de Bluecyforce. Ce groupement d’intérêt économique (GIE) est un centre de formation et d’entraînement à la gestion de crise dans le domaine de la cyber.
Rencontre avec Vincent Riou, CEO de Bluecyforce.
PAR CELINE BRUNETAUD
D’un côté, se trouve la Blue Team, en face, la Red Team. Nous ne sommes pas dans un escape game ou un jeu vidéo, mais dans la Tour Montparnasse à Paris, au sein de la société Bluecyforce. Dans un espace dédié envahi d’écrans d’ordinateurs, des personnes s’affrontent. « Notre but est d’entraîner les défenseurs, ce que j’appelle « les gentils », en l’occurence les Blue à faire face aux méchants, les Red. Nous apprenons à nos stagiaires des techniques défensives pour mieux se prémunir contre des cyber-attaques variées lancées par notre équipe de hackers, les Red », décrit Vincent Riou, CEO Bluecyforce, le premier organisme de formation professionnelle et d’entraînement à la cyberdéfense en France. L’idée de création de ce GIE vient d’une rencontre entre Guillaume Prigent, directeur technique de Diateam et Vincent Riou, directeur cybersécurité de CEIS. Ils codirigent Bluecyforce. Diatem réalise depuis de nombreuses années des plate-formes de simulation de systèmes d’information à des fins de test et d’entraînement pour des clients publics et privés, dont le ministère des armées, pour qui le produit HNS-Platform, cœur du Cyber Range Bluecyforce, a été développé. « Le ministère a adopté depuis plus d’une dizaine d’années cette technologie pour ses entraînements en lutte informatique défensive. Il nous a alors semblé évident que le proposer à tous les secteurs, à travers un centre d’entraînement opérationnel en Cybersécurité, pouvait avoir du sens, car il n’existe aucune structure comparable en France », explique Vincent Riou. De son côté, CEIS, dispose d’une offre de Cyber Threat Intelligence pour anticiper, via du renseignement technique, géostratégique et lié au business, les menaces informatiques. En découlent, au-delà des informations récupérées sur les deep et dark net, des scénarios d’attaque réalistes appelés Playbooks, fondés sur une analyse précise de la menace cyber qui garantissent aux entreprises d’anticiper au mieux les potentielles crises auxquelles elles devront faire face. Il ajoute : « Bluecyforce est un dispositif permettant de mêler entraînement opérationnel et scénarios réalistes, le tout dans un environnement totalement maîtrisé. »
Du non spécialiste au pentesters
Les formations opérationnelles et les entraînements s’adressent à tous ceux qui ont à pratiquer la cyberdéfense quel que soit leur niveau initial. Les managers non spécialistes découvrent, au travers des scénarios d’attaque et de défense, les comportements des attaquants et mettent en œuvre les grands schémas de défense. Les responsables techniques organisent des exercices pour eux et leurs équipes. Les managers apprennent les grands principes de la stratégie en cybersécurité. Cet entraînement est idéal pour les responsables de la sécurité des systèmes d’information, même expérimentés, qui souhaitent mettre à l’épreuve leurs acquis en la matière et confronter leur systèmes à une menace actualisée, à travers l’application de cas concrets. Les opérationnels des SOC, CERT, ou les pentesters viennent pour progresser dans leur pratique quotidienne. Des sessions d’entraînement sont ouvertes sur les grands domaines de la cybersécurité : pentest/hacking (connaître la menace et les modes d’attaque est indispensable pour mieux se défendre), détection/réaction (comment détecter et réagir à une attaque informatique), inforensique/investigation numérique (analyse technique d’un incident de sécurité), Cyber Threat Intelligence (recherches et renseignement sur la menace informatique), sécurité des systèmes industriels, exercices de gestion de crise, etc. « Nous avons bâti des parcours pédagogiques selon le rythme de chacun. Dans les sessions avancées, l’échange est aussi important que l’enseignement. Comme les grands sportifs ou les militaires, il est essentiel de s’entraîner constamment pour être efficace. Un bon entraînement est basé sur des principes fondamentaux : le réalisme, la variété des oppositions, la maîtrise des outils de défense et la connaissance de la menace. Nous apportons cela à nos stagiaires », souligne-t-il. La progression dans les parcours opérationnels est valorisée par l’obtention de niveaux d’acquisition des compétences, matérialisés par des ceintures de couleur.
Pratique intensive
En rupture avec les schémas d’enseignement traditionnels, Bluecyforce se positionne sur la pratique intensive, en situation réelle : entraînements individuels sur tous les pans de la cybersécurité (pentest/hacking, detection/réaction, investigation numérique, sécurité des systèmes industriels), entraînements collectifs (principes de gestion de crise, logiques et processus d’équipe) et exercices complets de gestion de crise (intégrant les équipes techniques et les managers). « Tous nos entraînements se basent sur l’utilisation d’un environnement reproduisant des systèmes réels, avec des moyens de cybersécurité réels – nous avons plus de 25 partenaires technologiques, français et internationaux -, et du trafic de vie basé sur des flux réels. Même nos sessions « stratégie de cybersécurité », dédiées aux managers, s’appuient sur l’utilisation de cas concrets et de travaux pratiques », insiste Vincent Riou. Le réalisme est apporté par l’utilisation d’une simulation hybride, Hns-Platform de Diateam et par l’interaction en entraînement avec la Red Team. Ce sont des hackers éthiques professionnels, qui mènent des attaques réelles de complexité croissante à des fins de progressivité et de pédagogie. Ils explorent sans cesse de nouvelles attaques, de nouvelles failles, de nouvelles techniques afin d’intégrer ces contenus aux entraînements. « Chez Bluecyforce, on ne s’entraîne pas à lutter contre les attaques d’hier ou d’avant-hier, mais bien contre celles d’aujourd’hui et de demain. » Bluecyforce tient à rester totalement neutre. Leur but n’est pas de pousser un client vers tel ou tel produit, mais bien d’augmenter l’efficacité des équipes à utiliser ces solutions intégrées dans une chaîne cohérente. Avec son offre, il révolutionne le marché de la formation dans le domaine de la cyber. En France, par habitude et manque d’offres alternatives, la demande était plutôt axée sur la formation traditionnelle. « Avoir l’intelligence de la menace pour bien se défendre contre les attaques, c’est l’art de la guerre, car nous sommes en guerre, c’est une forme de criminalité permanente », décrit Vincent Riou. « Il faut changer les habitudes. Cela concerne tous les secteurs d’activité. Nous souhaitons diffuser cet esprit d’entraînement opérationnel. La cybersécurité est l’affaire de toute entité dont l’activité dépend de près ou de loin de l’informatique. La formation et l’entraînement permettent de monter en compétence ceux qui auront à en sécuriser les usages actuels et futurs. »