D’IBM à Orange, la cy­ber­sé­cu­ri­té en si­mu­lant

L'Informaticien - - SOMMAIRE - G. P.

Et si le jeu de rôle était le meilleur moyen de sen­si­bi­li­ser les sa­la­riés aux risques et aux bonnes pra­tiques en ma­tière de cy­ber­sé­cu­ri­té ? Cette op­tion est ex­plo­rée par deux poids- lourds : IBM et son X- Force Com­mand Cy­ber Tac­ti­cal Ope­ra­tions Cen­ter, et Orange Cy­ber­de­fense avec son es­cape game.

Dé­ve­lop­pé au sein du pôle Con­sul­ting d’orange Cy­ber­de­fense, le Se­cu­ri­ty Game est « pra­ti­qué » chez ses clients de­puis 2018. C’est pour­tant sur le tard que le bras ar­mé de l’opé­ra­teur his­to­rique a choi­si de com­mu­ni­quer sur le su­jet, le temps de « faire en sorte que la mé­thode fonc­tionne quel que soit l’en­vi­ron­ne­ment » , nous ex­plique Guillaume Lau­dière, consul­tant sé­cu­ri­té, res­pon­sable du pôle de com­pé­tence sen­si­bi­li­sa­tion et for­ma­tion chez Orange Cy­ber­de­fense et concep­teur de cet es­cape game. Tran­spor­table et adap­table, le jeu se réa­lise chez les clients, dans un en­vi­ron­ne­ment qui se veut réa­liste et peut prendre en compte les spécificit­és de

ses ac­ti­vi­tés. La preuve par l’exemple du GCS e- san­té Pays de la Loire, avec le­quel Orange Cy­ber­de­fense a mis sur pied Sant’es­cape, une ver­sion de son es­cape game consa­crée à la sé­cu­ri­té des don­nées de san­té. Un des rares cas d’usages sur le­quel Guillaume Lau­dière peut com­mu­ni­quer, mal­gré la liste de clients qui s’al­longe. Une salle de réunion, un mi­ni­mum de ma­té­riel et le tour est joué, sa­chant que Orange Cy­ber­de­fense peut soit as­su­rer la pres­ta­tion, soit dé­li­vrer li­cence et for­ma­tion afin que l’en­tre­prise puisse le réa­li­ser en in­terne et de ma­nière au­to­nome. Pour l’heure, cet es­cape game se li­mite à un seul scé­na­rio mais d’autres sont en chan­tier, nous confie le consul­tant. Par­lons un peu du jeu à pro­pre­ment par­ler... Sur le cam­pus d’orange, à La Dé­fense, nous in­car­nions un pe­tit groupe de per­sonnes fort mal- in­ten­tion­nées, in­fil­trées dans les lo­caux d’une en­tre­prise concur­rente à notre com­man­di­taire afin de dé­ro­ber de pré­cieuses in­for­ma­tions. À quatre, nous avons une heure pour rem­plir notre mis­sion, sous la sur­veillance à dis­tance des MJ ( maîtres de jeu) re­pré­sen­tés par Guillaume Lau­dière et l’un de ses aco­lytes. Ces der­niers, à l’aide d’un tal­kie- wal­kie, donnent quelques conseils aux par­ti­ci­pants, afin qu’ils ne res­tent pas blo­qués sur telle ou telle « énigme » . Le but de l’exer­cice en ef­fet n’est pas de frus­trer les par­ti­ci­pants, mais de les

sen­si­bi­li­ser aux bonnes pra­tiques de fa­çon lu­dique. Et, il faut bien le re­con­naître, cet es­cape game était im­mer­sif et plai­sant, grâce en grande par­tie à un scé­na­rio bien fi­ce­lé et à une nar­ra­tion fluide per­met­tant d’al­ler d’une énigme à l’autre sans à- coups. Évi­dem­ment, on ne peut trop en dire sur le scé­na­rio : ce se­rait gâ­cher la sur­prise ! Pour ré­su­mer sans spoi­ler, re­con­nais­sons que l’es­cape game brasse large dans les pro­blèmes de sé­cu­ri­té : sto­ckage en ligne, ma­té­riel non au­to­ri­sé, in­gé­nie­rie so­ciale, mots de passe… Rien qui ne soit contrai­gnant : le jeu est ac­ces­sible à un pu­blic de « pro­fanes » . « L’in­té­rêt du jeu est de dire aux sa­la­riés qu’ils sont par­tie pre­nante à la sé­cu­ri­té de leur en­tre­prise, même s’il n’y a pas dans leur fiche de poste de fonc­tion sé­cu­ri­té voire IT » , sou­ligne Ni­co­las Ar­pa­gian, di­rec­teur de la stra­té­gie et des af­faires pu­bliques chez Orange Cy­ber­de­fense. « C’est utile à l’éla­bo­ra­tion d’une po­li­tique de cy­ber­sé­cu­ri­té. »

C’est pas So­cier

Autre « salle » , autre am­biance du cô­té D’IBM. Peut- on d’ailleurs vrai­ment dire salle lors­qu’on parle d’un camion ? L’im­po­sant X- Force Com­mand Cy­ber Tac­ti­cal Ope­ra­tions Cen­ter ( ou C- TOC) s’est ar­rê­té à la fin juin pen­dant deux se­maines à Pa­ris, du cô­té de l’hip­po­drome de Saint- Cloud. Un lieu tout in­di­qué puisque, se­lon Hu­go Ma­deux, di­rec­teur de l’en­ti­té Sé­cu­ri­té D’IBM France, « vous avez plus de chance

au­jourd’hui d’être vic­time d’une cy­ber at­taque que de ga­gner le quin­té » . Y est pro­po­sé aux en­tre­prises mais aus­si au pu­blic de vivre une cy­be­rat­taque au sein d’une cel­lule de crise. Ou « fu­sion room » pour les in­times. C’est dans ses lo­caux de Bos­ton que Big Blue a com­men­cé cette si­mu­la­tion en 2016 : deux mille or­ga­ni­sa­tions y sont ve­nues s’en­traî­ner. « Nous avons créé ce camion pour faire face à la de­mande mais aus­si pour ve­nir au plus près du pu­blic » , ex­plique Hu­go Ma­deux. Pré­ci­sons que la si­mu­la­tion de cel­lule de crise et de plan de re­mé­dia­tion n’est qu’un seul des trois scé­na­rios pro­po­sés, avec aus­si un « Vis ma vie de ha­ckers » , où les joueurs sont cette fois- ci dans la peau des at­ta­quants et une cy­ber­game, une com­pé­ti­tion entre deux équipes au­tour d’un scé­na­rio d’at­taque. À l’oc­ca­sion de la vi­site de la presse, c’est le pre­mier scé­na­rio que

nous avons pu ex­pé­ri­men­ter, ce­lui d’une en­tre­prise du secteur de la fi­nance vic­time d’une at­taque.

Là en­core, pas de spoi­ler, sa­chez sim­ple­ment que l’équipe – de 8 à 19 per­sonnes – est ré­par­tie entre dif­fé­rentes fonc­tions au sein de cette en­tre­prise fic­tive et va de­voir s’ef­for­cer de gé­rer au mieux les pro­blèmes et dé­fi­nir les prio­ri­tés. « La geste et re­mé­dia­tion d’une crise doit être une ré­ponse de tous les mé­tiers » , mar­tèle l’ani­ma­teur. Une ses­sion dure gé­né­ra­le­ment 3h30 mais peut être rac­cour­cie à en­vi­ron une heure : plus que des ques­tions tech­niques, il s’agi­ra de se pen­cher sur l’as­pect or­ga­ni­sa­tion­nel de la cy­ber­sé­cu­ri­té. Sa mise en place est as­sez longue et, at­ten­tion !, c’est en an­glais. On re­grette presque de ne pas y avoir pas­sé deux heures de plus. L’ex­pé­rience est in­té­res­sante, très dif­fé­rente de celle d’orange Cy­ber­de­fense. No­tons que le camion est un vé­ri­table SOC et qu’il em­barque le né­ces­saire opé­ra­tion­nel. Pré­voyez- y une pe­tite laine ! Re­froi­dis­se­ment des ser­veurs oblige, il fait as­sez frais dans la « fu­sion room » . De­puis le dé­but de l’an­née, cinq cents per­sonnes sont pas­sées par le C- TOC au cours de ses­sions gra­tuites, des­ti­nées tan­tôt aux en­tre­prises, tan­tôt aux uni­ver­si­tés, à un pa­nel ex­trê­me­ment large in­cluant des di­ri­geants d’en­tre­prise, par­fois D’OIV ou en­core des per­sonnes sans au­cun rap­port avec la cy­ber. Si le mar­ke­ting de la peur a tou­jours son pe­tit ef­fet sur la prise de conscience du « risque cy­ber » en en­tre­prise, du cô­té d’orange comme de ce­lui D’IBM on re­con­naît bien vo­lon­tiers que la ga­mi­fi­ca­tion par­ti­cipe, elle aus­si, à la sen­si­bi­li­sa­tion des équipes, du Co­mex au sa­la­rié. ✖

En­tiè­re­ment équi­pé et « cus­to­mi­sé » , le camion X- Force sert aus­si bien de lieu de si­mu­la­tion que de SOC. Une di­zaine de per­sonnes y tra­vaillent, mais l’équipe der­rière le fonc­tion­ne­ment du C- TOC compte une ving­taine de sa­la­riés D’IBM.

Une salle, trois PC et un smart­phone lais­sés sans sur­veillance : c’est la porte ou­verte à l’es­pion­nage éco­no­mique dans l’es­cape game d’orange Cy­ber­de­fense..

Newspapers in French

Newspapers from France

© PressReader. All rights reserved.