2. Technos & Medias

  3. Informatique

Au Campus Cyber, 160 experts entraînés au pire des scénarios d'une cyberattaque

Inauguré en février à la Défense, le Campus Cyber a accueilli jeudi dernier un gigantesque exercice de crise cyber, baptisé REMPAR22. Sur toute une journée, il a mobilisé plus de 200 personnes entre les joueurs et l'organisation. Mené par l'Anssi et le club de la continuité d'activité (CCA), il vise à préparer à des scénarios extrêmes. Reportage.
François Manens
(Crédits : Dado Ruvic)

C'est « le plus grand exercice de crise jamais organisé », d'après Michel Van Den Berghe, le président du Campus Cyber, inauguré en février dernier et qui regroupe dans une même tour 1.800 experts venus des services cyber de l'Etat (Gendarmerie, Anssi, ministères), et des centres de recherche (Inria...). Jeudi, le grand bâtiment vitrine de l'écosystème français de la cybersécurité, accueillait REMPAR22, un exercice de simulation de crise cyber sur une journée, organisé par l'Anssi et le Club de la continuité d'activité (CCA). Objectif : préparer plus de 160 professionnels à un scénario catastrophe, afin qu'ils réagissent efficacement en cas de cyberattaque. « Lors d'une crise, il y a toujours une phase de stupéfaction, et plus elle est longue, moins la relance sera rapide. Ce genre d'exercice a pour but de réduire la stupéfaction », élabore Michel Van Den Berghe. La Tribune était au Campus, et a pu suivre le déroulement d'une partie de l'exercice.

Une diversité de participants inédite

Premier arrêt, le 13e étage du Campus, dédié aux événements. Dans l'une des salles, une vingtaine d'animateurs s'activent autour d'ordinateurs portables, tandis qu'un projecteur affiche des informations sur les différentes équipes. Leur rôle : envoyer les « événements » auxquels les joueurs feront face -chaque scénario en compte une cinquantaine, spécifiques à leur métier- et s'assurer que l'exercice reste fluide. Les joueurs n'ont que deux heures et demi de préparation avant de restituer leur plan de crise, alors il n'y a pas de temps à perdre.

REMPAR accueille non pas un mais cinq exercices en simultané, sur autant de secteurs d'activité différents : industrie, service, banque, éditeurs et conseil. Si les scénarios se ressemblent, chacun intègre des problématiques spécifiques au secteur. Au total, plus de 160 personnes issues de 100 organisations de secteurs et de tailles différentes (privées, publiques, associatives, startups, grands groupes...) se prêtent au jeu. « C'est la première fois que nous accueillons autant d'organisations différentes pour un exercice », se réjouit Mathieu Couturier, chef adjoint de la division Management de la sécurité numérique de l'Anssi, en charge de la cellule d'animation avec Vincent Vallée, vice-président du CCA.

Relativement avare en détail, l'Anssi précise que le point de départ des incidents présentés aux joueurs sont des supply chain attack (ou attaque par la chaîne d'approvisionnement). Dans le jargon, ce terme désigne un scénario dans lequel les hackers se sont introduits chez la victime par le biais d'un logiciel qu'elle utilise, mais qui a été corrompu. A titre d'exemple, la supply chain attack la plus connue, Sunburst, a été découverte en 2020. Les pirates avaient corrompu à la source un logiciel de l'entreprise SolarWinds, qui était distribué à des milliers d'entreprises. Grâce à la souche malveillante qu'ils avaient implantée, les hackers ont pu espionner plusieurs dizaines de clients de l'éditeur de logiciel, pendant plusieurs mois. « L'objectif est de montrer les enjeux autour de cette menace. L'attaque va faire chuter un logiciel essentiel, ce qui va entraîner une chaîne de conséquences », élabore Mathieu Couturier. Le scénario mènera les joueurs à d'autres embûches, comme le déploiement d'un rançongiciel pour certains.

Montrer l'importance des différents métiers dans la crise

Chaque équipe est divisée en cinq pôles d'expertise : décideurs, communication, informatique, métier, anticipation. Les organisateurs ne voulaient pas limiter l'exercice à la communication et à l'informatique, les deux domaines auxquels on pense en premier en cas de crise, car les experts métier le sont tout autant : ils vont être les plus à même d'évaluer l'impact de l'arrêt des logiciels sur l'activité de l'entreprise. Le pôle anticipation projette quant à lui les perspectives de reprise de l'organisation fictive. « Pour le scénario, on s'appuie sur l'état de la menace, même si nous sommes obligés de faire des raccourcis, car une vraie crise s'étend sur plusieurs jours voire semaines », précise Vincent Vallée.

Dans les salles annexes, les différentes cellules du pôle Industrie s'échangent les résultats de leurs discussions par Microsoft Teams. Le groupe des décideurs prend le rôle de modérateur des débats, à la fois pour recouper toutes les informations à disposition de l'équipe, et pour mener vers des mesures concrètes. Au détour d'une salle, on entend le ton des échanges, qui révèle l'urgence, bien qu'elle soit artificielle. « Il ne faut surtout pas communiquer avec la presse pour l'instant. Et il faut dire aux collaborateurs que s'ils sont contactés par les médias, ils ne doivent pas répondre », préconise ainsi une communicante joueuse. « Préparez s'il vous plaît un communiqué, que nous aurions en magasin pour plus tard s'il vous plaît », rétorque le dirigeant.

La communication fait partie des sujets délicats lors d'une crise, qu'elle soit en interne, envers les clients, les partenaires ou encore envers les médias. Il faut être précis, et montrer un contrôle de la situation sans l'embellir de trop. « C'est un bon équilibre à trouver. Il faut fournir les infos pertinentes, au bon moment. Le temps de l'analyse d'un incident de sécurité est long. Or les risques sont nombreux, comme mentir involontairement ou encore donner l'impression qu'on ne sait pas ce qu'on fait », élabore David Loriot, chef de la division Management de la sécurité numérique de l'Anssi.

Dans la vraie vie, ces différents pôles d'expertise ne sont pas autant séparés, puisque le plus souvent, un représentant de chacune des branches prend part au conseil de crise, qui se réunit plusieurs fois par jour. « Le fonctionnement en cellule par métier permet de bien diffuser l'information. C'est important, car quand la crise se prolonge, le dirigeant du métier ne peut pas siéger en permanence au conseil de crise, il faut tourner et changer de représentants », précise l'expert.

D'autres éditions à venir

Organiser un exercice de cette ampleur n'est pas chose facile, mais chacun des organisateurs avait un rôle bien défini. L'Anssi, avec sa casquette de pompier du numérique, a l'habitude à la fois d'intervenir sur les crises, mais aussi d'animer des exercices chez les organisations de son périmètre d'action. Elle a donc fourni le scénario de base de l'exercice. Le Club de la continuité d'activité (CCA), qui regroupe des experts spécialisés dans la gestion de crise issus de centaines d'entreprises (et qui  organise également de nombreux exercices cybe), a affiné l'exercice pour qu'il soit plus fluide et corresponde bien aux problématiques de chaque métier.

Pour finir, le Campus Cyber, par le rôle médiatique qu'il endosse et l'espace qu'il propose (2.000 mètres carrés dédiés à l'événementiel à La Défense, en banlieue proche de Paris), était un partenaire logique, d'autant plus qu'il a apporté une partie des participants. Un tel exercice représente plus de six mois de travail, et si les organisateurs laissent entendre qu'une autre édition sera organisée, ce pourrait n'être qu'en 2024.

François Manens

Sujets les + lus

|

Sujets les + commentés

Commentaires 6
à écrit le 10/12/2022 à 12:44
Signaler
Madame comme vous j'ai étais cadre dans la fonction publique. J'arrivais au bureau à 09h30', m'arrêtais 2 heures le midi le temps déjeuner paisiblement au restaurant. Mon après-midi s'arrêtait à 17h. En plus de mes 7 semaines de congés payés cadre, m...
à écrit le 10/12/2022 à 12:39
Signaler
Pourquoi essayer de récupérer des déchets ?! Il y a tant de magasins qui offrent des prix attractifs... et puis vous risquez d'attraper le tétanos.
à écrit le 10/12/2022 à 10:24
Signaler
Madame, pourquoi ne penser qu'à l'allaitement au sein ?! Dans certains pays (Asie) les parents donnent du lait de soja ou d'amandes à leur bébé. Et ils n'en sortent pas moins bien. Mieux peut-être qu'en on constate le nombre de jeunes délinquants che...
à écrit le 10/12/2022 à 9:58
Signaler
Quoiqu’on disent certains je pense mais c’est sans doute très personnel que notre numérique qui s’infiltre partout est extrêmement fragile. D’abord au niveau domestique nombreux sont ceux comme moi qui s’y perdent. Quant aux système il existe des pré...
à écrit le 10/12/2022 à 9:00
Signaler
Rien de tel pour préparer un acte malveillant, mais sans conséquence pour l'auteur... ! ;-) Avis aux utilisateurs : La meilleure sûreté, c'est de minimiser la complexité du système et son utilisation !
à écrit le 10/12/2022 à 7:51
Signaler
J'ai vu des ingénieurs croire aveuglément notre logiciel de surveillance, alors que toutes nos vérifications manuelles indiquaient le contraire. Il suffit donc de pirater les logiciels de monitoring pour faire ce qu'on veut sur un système informatiq...

Votre email ne sera pas affiché publiquement.
Tous les champs sont obligatoires.

-

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.