[EXCLUSIF] L’une des avancées du règlement européen de protection des données personnelles (ci-après « GDPR »), dont l’entrée en vigueur est marquée d’une pierre blanche le 25 mai 2018, est l’obligation faite aux responsables de traitement, de notifier une violation de données personnelles à la CNIL. Dès lors que l’incident porte à conséquence sur les droits et libertés des victimes concernées, le même responsable a 72 heures chrono pour alerter l’autorité compétente.
Là où le processus se complique, tient dans la masse d’informations qu’il a à remonter : nature de la violation, nombre de traitements concernés, de personnes, de données, nature et gravité des impacts, mesures correctrices. Connaître la procédure est une chose, savoir la dérouler en 72 heures en est une autre. Mieux vaut bien s’entraîner, et sans perdre de temps grâce à des formations et infrastructures dédiées.
La menace se multiplie et se sophistique : Pas de place à l’improvisation
Les attaques se multiplient et s’étendent à de nouvelles surfaces d’attaques comme les objets connectés. On assiste également à une forme de professionnalisation de la cyberattaque. C’est un véritable marché qui émerge avec une palette d’offres diversifiée. Du débutant au cybercriminel chevronné, il y en a pour tous les goûts et pour chaque effet recherché, du plus discret aux plus médiatique. Les ransomwares Wannacry et NotPetya ont, en ce sens, marqué les esprits. Et il y a de fortes chances que ce ne soit qu’un début. Des vols de données à caractère personnel ou sensible, et donc à forte valeur sur le marché noir, sont également devenus un business très lucratif.
Quelles soient de masse ou particulièrement ciblées, les cyberattaques impliquent donc des équipes informatiques et de sécurité vigilantes, prêtes à réagir en toutes circonstances.
Il n’en reste pas moins vrai que la pénurie des compétences en cybersécurité complique la tâche des organisations. L’entraînement des équipes et leur résistance au stress, tant en détection qu’en réaction aux attaques concourt à l’obtention de bons réflexes, à un gain de temps, à un rodage dans les processus, et en somme à capitaliser sur les équipes existantes. C’est ainsi la garantie de meilleures chances à l’investigation comme à un retour à la normale.
Faire face aux cyberattaques : une préoccupation partagée
La menace ne fait aucune discrimination. Elle touche les secteurs privé, public, militaire et dans toutes ses constituantes (cybercriminalité, cyberespionnage, cyberguerre, cyber-réputation, etc.). Ce n’est donc pas un hasard de voir les entreprises comme les Etats se préparer à cette nouvelle forme de violence.
La France en a été un des fers de lance de cette prise de conscience en votant la loi de programmation militaire intégrant une réglementation visant à protéger les opérateurs d’importance vitale contre les cyber attaques. C’est au tour de l’Union Européenne de mener la danse avec des textes de poids comme la directive NIS puis le RGPD concernant la protection des données personnelles. Harmoniser les règles de protection pour les principaux acteurs économiques, les processus à adopter et organiser la coopération entre les Etats-membres sont les conditions pour faire émerger une culture commune et éviter toute déstabilisation des économies européennes.
L’ensemble de ces textes ont un point commun : mettre l’accent sur la gestion des incidents et des crises. Cependant, si se défendre a longtemps été la priorité, les Etats cachent de moins en moins leur ambition à muscler leur stratégie et capacités offensives. La perspective d’un cyberespace paisible s’éloigne malgré les initiatives des organismes internationaux en ce sens, dont l’ONU, et l’action remarquée des autorités françaises.
L’entraînement de la chaîne opérationnelle de cyberdéfense européenne est donc classé au rang des priorités. Cela a entraîné le renforcement du rôle de l’Agence européenne chargée de a sécurité des réseaux et de l’information (ENISA) et la décision d’un plan d’actions pour se préparer à un cyber incident de grande ampleur. Avec l’exercice DEFNET, c’est ce à quoi l’armée française s’entraine depuis 4 ans, avec une ambition forte de coopération étroite entre les militaires, les acteurs privés et les institutionnels. En s’entraînant au combat numérique, la France ne fait plus le secret de son objectif d’augmenter sa capacité à la riposte en formant des spécialistes à la cyberguerre et en organisant de plus en plus de ces exercices collaboratifs grandeur nature.
L’entraînement, la meilleure des réponses.
Ce n’est pas quand la maison brûle que les pompiers testent leur lance à incendie. Dans la cybersécurité, c’est exactement pareil et c’est vrai que ce soit dans le monde militaire, institutionnel ou dans le privé. L’ensemble des engagements pris tant au niveau des Etats que des organisations privées et publiques pour être en conformité avec les règlementations, implique donc des moyens de formation et d’entraînement. Si les acteurs ont compris aujourd’hui qu’il est difficile d’échapper à toutes les menaces, ils ont en revanche admis l’importance de s’y préparer, et si possible avec la collaboration des différents acteurs.
C’est tout l’intérêt de passer de la théorie à la pratique grâce à des formations immersives. Ce type de formation est sans nul doute le moyen le plus efficace pour améliorer les techniques de réponse à incident et de gestion de crise. En recréant des conditions réelles, elles permettent d’améliorer les temps et la qualité des prises de décisions, ainsi que la résistance au stress.
C’est vrai pour les équipes constituées d’analystes SOC, de pen-testeurs, d’experts forensics, d’intégrateurs ou encore d’architectes sécurité. Mais, penser que les seules équipes en sécurité suffiront est une erreur. Les équipes de sécurité ne peuvent tout simplement pas avoir des yeux partout et tout le temps. La capacité à détecter une attaque, à la reconnaître et à la remonter aux opérationnels de sécurité, passe plus que jamais par l’implication de l’ensemble des métiers, y compris le top management.
Faut-il encore que ces différents acteurs soient préparés à réagir ensemble à l’aide de formations très appliquées. Une bonne gestion d’incident passe obligatoirement par une communication fluide et une homogénéité des langages et des outils. C’est précisément ce que permettent des ateliers de formations et d’entraînement. Les équipes sécurité ne peuvent être efficaces que si le personnel IT est en mesure de travailler de concert avec elles, notamment en sachant ce qu’est une attaque, en étant en capacité d’en déduire les conséquences et les impacts et de prendre les bonnes contremesures (procédures à suivre, gestion de crise, escalade…).
Des plateformes d’entraînement et de tests de produits ont été développées. Elles ont la particularité comme le permet une paire de lunettes 3D, d’immerger les participants dans un environnement simulé virtuel permettant ainsi de se confronter à la réalité des attaques.
Après avoir suivi des formations sur les techniques de hacking et de gestions de crise, les équipes en formation sont projetées grâce aux plateformes de test dans un univers et un écosystème virtuel totalement dédiés à l’entraînement en conditions réalistes. La simulation peut aller jusqu’à recréer un espace « comme à la maison » en modélisant jusque dans les moindres détails, des équipements IT ou industriels réels, pouvant même reproduire ceux dans lesquels évoluent les participants au quotidien dans leur entreprise pour simuler tous les types d’attaques. C’est valable également pour des systèmes industriels types systèmes ICS / SCADA. Les participants peuvent ainsi mettre en pratique les connaissances acquises et développer leur savoir-faire dans un contexte ultra opérationnel.
L’avantage de ces dispositifs est de pouvoir créer des scénarios d’attaques très élaborés, dynamiques et réalistes. Ainsi, les professeurs peuvent interagir en générant des actions légitimes ou illégitimes afin d’évaluer la robustesse de la défense mise en place par les participants. Cela recréée tous les éléments de surprise et de stress qu’on peut rencontrer dans les cyber attaques en conditions réelles.
Ces ateliers mêlant transfert de savoirs et simulations d’attaques à la carte sont packagées sur-mesure. Elles sont donc proposées à des équipes restreintes de 10/15 personnes avec la participation d’un expert en attaque et un en défense. Ces formations ne certifient pas mais elles mesurent en revanche l’évaluation des acquis et les progrès des participants, grâce à des questionnaires d’évaluation de niveau.
S’il est vrai que cela nécessite du temps et des moyens, faire le pari de la formation appliquée de ces personnels est largement rentabilisé, en ce qu’ils connaissent déjà les rouages de l’entreprise, peuvent plus vite travailler en transversalité. C’est le prix d’une vigie efficace et réactive et l’occasion d’y voir un avantage concurrentiel certain.