Plus qu’une prise de conscience, c’est un devoir pour les entreprises et les organisations de se protéger contre les menaces informatiques, dont les conséquences peuvent être dramatiques : image écornée, pertes financières, rançonnage, vol de données client, de brevets ou secrets professionnels, arrêt d’une exploitation, voire même danger majeur pour les populations, si l’attaque vise une infrastructure sensible.
A un premier niveau, des opérations de sensibilisation permettent aux employés, quelles que soient leurs compétences techniques, de connaître les fondamentaux des comportements à adopter. C’est ce que l’ANSSI appelle « l’hygiène informatique ». A l’image des règles de sécurité sanitaire, un entrainement régulier s’impose, afin de créer des automatismes. Ainsi, il conviendrait de créer de manière récurrente des exercices de crise cyber touchant une large part des employés, afin de les sensibiliser aux risques. Un employé averti en vaut deux, et le coût du montage de tels exercices est largement amorti par la diminution du risque induit par les bons réflexes créés à tous les niveaux de l’entreprise.
L’entrainement des professionnels de la cybersécurité d’une entreprise ou société de service spécialisée doit, lui, aller bien plus loin. Afin d’acquérir et de conserver les réflexes indispensables à ces métiers de protection du cyberespace, les professionnels doivent se former, puis s’entrainer en permanence. Dans un parallèle avec la sécurité physique, on n’imagine pas le GIGN ou le RAID partir en mission sans un entrainement préalable d’une intensité telle qu’elle amène ses personnels à agir de manière réflexe, avec une extrême efficience une fois sur le terrain. Confronté à une attaque de grande ampleur, les équipes de réponse aux incidents informatiques devront, elles-aussi, être prêtes.
« Plus je m’entraîne et plus j’ai de la chance »
On distingue la formation de l’entraînement par le caractère immersif de ce dernier. La formation va permettre de développer des compétences théoriques selon une démarche pédagogique adaptée. L’entrainement, quant à lui, consiste à effectuer une mise en situation dont le niveau de difficulté sera corrélé au niveau de compétence du professionnel. Là où la formation permet de connaître les techniques de base composant la boite à outil du cyberdéfenseur, l’entrainement permet de les maîtriser par la mise en pratique, afin d’augmenter la qualité et la vitesse d’exécution et de diminuer le stress en situation réelle. C’est l’entrainement qui permet d’acquérir les réflexes vitaux en cas d’agression et d’augmenter son efficacité.
« Plus je m’entraîne et plus j’ai de la chance », disait Arnold Palmer. En effet, l’efficacité opérationnelle ne dépend pas seulement de la somme de connaissances amassée souvent de manière trop théorique. Elle résulte, au contraire, de mécanismes réflexes qui ne peuvent s’acquérir que par la pratique intensive. Le vocabulaire et les modes d’actions de la cyberdéfense s’apparente beaucoup aux sports de combat : attaque, défense, parades, feintes, anticipation… Un parallèle également évident avec le monde militaire, où nos soldats doivent maîtriser armement, tactiques et modes opératoires sur le bout des doigts avant de partir en opération. Ceci est d’autant plus vrai que les moyens de cyberdéfense, évoluant au rythme des nouvelles techniques d’attaque et des avancées technologiques, deviennent de plus en plus complexes et donc difficiles à maîtriser, ce qui renforce le besoin d’un entrainement régulier.
Cyberdéfense : les qualités nécessaires
On peut, dès lors, faire le lien avec les qualités nécessaires à un compétiteur sportif :
- Le relâchement : conserver son sang-froid est indispensable quand l’attaque survient. Toute crispation est synonyme d’une baisse d’efficacité. Le relâchement permet de diminuer la pression et le stress, permettant un état d’esprit propice à la diminution du temps de réaction et à l’augmentation de la qualité des réponses aux attaques.
- Des techniques adaptées : souplesse, vivacité, adaptation au contexte. La réponse à incident nécessite une palette de techniques large, qu’il faut acquérir préalablement à la survenue d’un incident important. Celle-ci doit être la plus exhaustive possible. D’où la nécessité d’une mise à jour de ses capacités de défense régulière par des entrainements et des stages ciblés, en environnement simulé.
- La diminution du temps de réaction : outre l’expérience du terrain, seul un entrainement réaliste permet de diminuer ce temps de réaction, crucial pour la qualité d’une réponse à une attaque et la limitation des dégâts induits. Au-delà des connaissances théoriques, la mise en pratique répétée permet d’automatiser la réaction, jusqu’à arriver à des actions « réflexes ».
- La multiplication des oppositions : un boxeur ne progressera plus s’il s’entraine constamment avec le même partenaire. Au contraire, sa courbe de progression sera maximale s’il varie les entrainements (sac de frappe, musculation, cibles mobiles, partenaires différents, travail de vitesse…). Il en va de même en cyberdéfense. Il faut se confronter à des attaques larges et variées, dans des contextes opérationnels différents, avec des outils différents, pour aiguiser ses sens et optimiser une réaction qui se veut avant tout humaine, même si elle est fortement soutenue par la technologie.
- La focalisation de son attention : en opération, lorsqu’une attaque survient, il est essentiel de pouvoir faire abstraction des stimuli parasites, de gérer son effort, et de bien réagir aux commandements de la chaine de décision. Cela ne s’acquiert pas en théorie, mais bien par la pratique.
La cyberdéfense est un travail d’équipe
A ces qualités personnelles, il convient de rajouter les qualités collectives, car, la cyberdéfense est un travail d’équipe. Chaque acteur de la chaîne de défense a un rôle particulier et complémentaire. On peut faire le parallèle avec les qualités d’une équipe de rugby ou de football. Les qualités individuelles s’additionnent alors par la mise en œuvre de stratégies collectives, par la solidarité et l’entre-aide, l’optimisation de la chaine de décision, l’initiative au service du collectif, la qualité du reporting, le respect des rôles et des règles…
Pour être efficaces, ces entraînements collectifs et individuels doivent être réguliers. En effet, les menaces informatiques sont en constante évolution, et un « expert » du domaine ne le reste jamais longtemps s’il se repose sur ses acquis. De nouvelles techniques d’attaques sont perpétuellement développées dans le monde cybercriminel. Il faut donc en permanence se préparer pour limiter l’effet de surprise et les dégâts induits par les attaques.
La formation et l’entrainement s’adaptent ainsi au niveau et aux besoins requis. De la sensibilisation à l’entrainement intensif. Des « gestes qui sauvent » en cas d’agression, à l’entrainement d’un « cyberdéfenseur » professionnel.
Une entreprise peut décider de mettre en place un processus de formation et d’entrainement interne, basé sur les compétences à sa disposition, ou choisir de faire appel à un centre professionnel de formation et d’entrainement à la cyberdéfense, à l’image de de l’IBM X-Force Command Center aux Etats-Unis, ou de Bluecyforce en France, qui disposent de moyens très importants d’immersion dans le réalisme d’une cybercrise et de méthodes pédagogiques adaptées.
En effet, bien s’entraîner impose de disposer des moyens importants, pour renforcer le réalisme de l’immersion. On ne progresse efficacement que par l’action. Reprenons notre parallèle sportif. Pour améliorer ses performances, le boxeur amateur va s’inscrire dans une salle, où il trouvera l’ensemble du matériel adapté à sa pratique : rings, sacs de frappe, poire de vitesse, partenaires d’entrainement, professeurs… Les cours seront adaptés à son niveau, le faisant progresser d’étape en étape, par la confrontation avec des adversaires de plus en plus fort. Le tout dans une ambiance ludique et agréable, mêlant challenge physique, mise sous pression puis détente, afin d’améliorer autant le mental que le physique. Il en va de même pour la formation et l’entraînement à la cyberdéfense.
Un entraînement technique et ludique
Le ring et tous les accessoires d’entrainement ? Un environnement fermé et contrôlé, intégrant de larges topologies réseaux, des flux de données réalistes et des systèmes d’information simulés, permettant de mener des attaques de tous niveaux d’intensité, en toute sécurité, sans risque de propagation incontrôlée des attaques.
Les partenaires d’entrainement ? Une Red Team, hackers éthiques professionnels et expérimentés, dont le niveau des attaques s’adaptera au niveau des stagiaires, afin de ne pas les « noyer sous les coups » mais, au contraire, de les faire progresser.
Les poings, les gants, les yeux, les muscles du boxeur ? L’ensemble de moyens techniques de la chaine de lutte informatique défensive : WAF, SIEM, Firewalls, sondes de détection, outils de forensique… Autant d’outils qu’il ne faut pas se contenter d’implémenter dans leur environnement informatique, mais bien de maîtriser dans un contexte d’ensemble cohérent.
A tout cela s’ajoute un paramètre essentiel de l’entrainement : la « ludification ». Sous forme de jeux, l’entrainement doit aboutir à une implication totale, à la provocation d’une montée de stress qu’il faudra apprendre à contrôler, à des enjeux forts qu’il faudra défendre. La qualité des scénarios proposés est donc partie intégrante de la pédagogie, tout comme la complémentarité des profils des « entraîneurs » des futurs champions de la cyberdéfense.
Guide du RSSI de demain, la rédaction d’Alliancy, le mag a mené l’enquête !
Découvrez dans notre dernier guide le portrait-robot de cet acteur incontournable de la transformation numérique. |