Cyber-entraînement : dans les coulisses d’un exercice
Sommaire
- 1ère étape : analyser le besoin et adapter l’exercice de cyber-entraînement
- 2ème étape : définir un thème et simuler un environnement réaliste
- 3ème étape : créer des chemins d’attaque réalistes
- 4ème étape : présentation du scénario de cyber-entraînement au client
- 5ème étape : démarrage de l’exercice pour les participants
- Conclure l’exercice de cyber-entraînement
Dans un monde de plus en plus connecté, il devient essentiel de sensibiliser et de former les usagers – du monde civil, des organisations et des entreprises – aux menaces du monde numérique et aux pratiques de hacking les plus courantes.
Du besoin exprimé par le client jusqu’à l’organisation de la journée d’exercice avec les participants, plusieurs mois de préparation sont nécessaires pour construire et adapter un entraînement de cybersécurité aux besoins de la population ciblée.
Dans cet article, je vous propose de décrypter les différentes étapes de conception et de développement d’un exercice de cyber-entraînement.
1ère étape : analyser le besoin et adapter l’exercice de cyber-entraînement
Comme pour tout projet, la première étape est la compréhension du besoin. Nous recueillons par le biais d’une interview les objectifs et les attentes de nos clients.
Le premier point à définir est la cible, c’est-à-dire la typologie des participants :
- Un public très technique, tel que des spécialistes de la cybersécurité,
- Des participants novices,
- Des équipes mixtes, comprenant des collaborateurs dans les fonctions supports (commerciaux, administratifs, RH) et des collaborateurs plus techniciens tels que des développeurs informatiques par exemple.
L’exercice de cyber entraînement se traduit très souvent par un CTF (capture The Flag) ou par un jeu de type serious game dont le scénario intègre des énigmes et des épreuves plus ou moins techniques à résoudre par les équipes.
L’intérêt de former des équipes hétérogènes à la cybersécurité est multiple. Cela permet de sensibiliser les collaborateurs à tous les niveaux, de créer du lien entre les services et de pouvoir proposer des exercices plus ou moins techniques.
Les activités de cyber-entraînement proposées aux participants peuvent être très techniques, comme de l’intrusion dans un Système d’Information, de la compromission de hardware ou de software, ou être basées sur de l’ingénierie sociale ou de l’OSInt (renseignements disponibles en sources ouvertes).
Les informations récoltées par les membres d’une équipe s’assemblent et permettent de résoudre les énigmes ensemble. L’objectif est également de renforcer les interactions et la cohésion entre les équipes.
Cette multitude d’activités possibles permet à chaque participant d’apporter sa contribution au jeu. Ainsi, tout le monde se sent valorisé, quel que soit son niveau technique, et surtout prend plaisir à se former à la cybersécurité.
2ème étape : définir un thème et simuler un environnement réaliste
Le thème de l’évènement de cyber entraînement doit intéresser les participants pour susciter l’adhésion. Il peut avoir un lien avec leur cœur de métier.
Nous pouvons imaginer toute sorte de thématiques et d’objectifs pour l’exercice : compromettre le SI d’un hôpital, détourner un drone, prendre possession du billet d’avion d’un autre passager, dérober des informations confidentielles, etc.
Nous veillons particulièrement à proposer des scénarii réalistes. Les équipes doivent pouvoir se projeter dans une histoire. Pour cela, nous créons et simulons des Systèmes d’Information dédiés à l’évènement, en y introduisant des données de vie pour y cacher les vulnérabilités, des indices et bien sûr des trophées (les flags).
À titre d’exemple, sur le thème de l’hôpital, le point d’entrée du jeu peut être la page de prise de RDV sur le site web de l’établissement.
Nous mettons à disposition des participants un environnement technique créé de toute pièce, cloisonné et isolé des Systèmes d’Information de production du client. Il contient tout un panel d’informations à travers des comptes utilisateurs, des répertoires réseaux, des serveurs, etc.
Cet environnement technique du jeu de cyber entrainement est hébergé sur la plateforme MALICE (https://malice.fr/training/) développée en interne par SysDeam. La plateforme MALICE offre la possibilité aux joueurs d’accéder aux épreuves et aux différentes ressources du jeu de cyber entraînement.
Toutes ces informations sont factices et imaginées. Bien évidemment, nous n’utilisons pas les données existantes de nos clients. Si un client souhaite que nous organisions un exercice de cyber-entraînement dans son entreprise, nous nous déplaçons avec nos propres infrastructures IT pour les mettre à disposition des joueurs.
Lire aussi « Prévention et transparence en cas de cyberattaques : tous concernés ?«
3ème étape : créer des chemins d’attaque réalistes
L’étape suivante consiste à imaginer les différents chemins d’attaque et à disséminer des indices parmi les données de vie créées. Un chemin d’attaque est un enchainement logique d’étapes à franchir pour atteindre l’objectif visé. Par exemple, les joueurs pourront exploiter une faille de sécurité connue sur un site Web, puis augmenter leurs privilèges pour s’introduire dans d’autres serveurs pour rebondir de proche en proche dans le Système d’Information du jeu jusqu’à atteindre l’objectif visé.
Lors de l’exercice, les participants ont accès au dashboard de la plateforme MALICE qui leur permet de suivre leur score et d’échanger avec l’équipe d’animation. Cette interface leur permet également de soumettre les indices trouvés au fur et à mesure. Quand il s’agit d’un réel indice, le joueur obtient des points. Cela lui confirme aussi qu’il se dirige dans la bonne direction.
4ème étape : présentation du scénario de cyber-entraînement au client
Quand nous avons finalisé l’élaboration d’un scénario, nous le présentons au client sous la forme d’un logigramme récapitulant :
- L’objectif ultime, qu’il soit d’attaque ou de défense,
- L’environnement dans lequel vont évoluer les participants,
- Les attaques de hacking et les informations à retrouver en OSInt et en ingénierie sociale,
- Les différents chemins d’attaque prévus et les moyens pour atteindre la cible.
Nous mettons systématiquement en place plusieurs chemins, plus ou moins complexes, qui mènent au résultat. Ainsi, la difficulté technique s’adapte aux participants et tout le monde peut apporter sa contribution, quel que soit son niveau.
Par exemple, une énigme peut être résolue par la découverte de différents indices : en allant chercher dans un message supprimé d’une boîte mail, en crackant un mot de passe faible (technique de hacking par brute force) ou en déverrouillant physiquement un tiroir d’un bureau fermé (technique de lock picking).
5ème étape : démarrage de l’exercice pour les participants
Le lancement de l’exercice de cyber-entraînement démarre par un briefing des équipes et la présentation de l’objectif final. Pour reprendre l’exemple de l’hôpital, nous allons leur demander de reprendre la main sur leur SI dont un serveur a été compromis, d’éviter une fuite d’informations confidentielles sur les patients et de déployer des contre-mesures.
Une équipe d’animateurs pilote le jeu sur place ou à distance en interagissant avec les participants par chat pour répondre à leurs questions ou les orienter dans le jeu. Nous sommes également en mesure de moduler la difficulté en temps réel, afin de favoriser ou de ralentir certaines équipes. Par exemple, en distillant des informations complémentaires dans le chat à une équipe un peu perdue ou en ajoutant des handicaps à un groupe plus avancé.
Conclure l’exercice de cyber-entraînement
À la fin de la journée, un débriefing est organisé pour échanger avec les participants, sur leur perception de l’exercice. Quelles difficultés ont-ils rencontrées, quels apprentissages ont-ils retenus ?
Nous échangeons sur leur parcours dans le jeu : les moyens utilisés, les chemins de compromission trouvés, les fausses pistes suivies, etc. Nous leur faisons un retour détaillé de qu’ils ont vu ou manqué. Et parfois c’est nous qui sommes hackés ! Certains participants arrivent à détourner le jeu à nos dépens voire à trouver des chemins d’attaque auxquels nous n’avions pas pensé !
Le jeu est un excellent moyen de sensibiliser les participants aux enjeux de la cybersécurité, de l’hygiène numérique et des objets connectés. Les apprentissages acquis lors d’un exercice de cyber-entraînement sont nombreux :
- Les risques liés à un mot de passe faible, à des systèmes non patchés, à des dossiers mal archivés, à la publication d’informations sensibles sur les réseaux, etc.
- Ce qu’est la manipulation psychologique.
- La transmission et le partage d’informations.
- La cohésion d’équipe.
Pour les plus débutants, il est possible de mixer des activités de type workshop et des exercices de hacking afin d’apprendre les bonnes pratiques avant de les mettre en application. Les exercices de cyber-entraînement sont des dispositifs innovants pour sensibiliser et renforcer les compétences des collaborateurs de manière ludique et pédagogique sur les enjeux très sérieux de la cybersécurité.