Dans mon dernier billet, j'ai parlé de l'importance de mettre en œuvre des éléments clés pour répondre efficacement aux cyberincidents. Dans le billet d'aujourd'hui, je souhaite explorer un de ces éléments plus en détail : les exercices de simulation. Menés régulièrement, ces exercices de simulation sont une excellente façon de former la « mémoire musculaire » organisationnelle des processus et des communications qui jouent un rôle essentiel dans la réaction à un cyberincident.
Voici une définition utile ce type d'exercices :
« Les exercices de simulation sont des séances de discussion [ou de simulation] où les membres de l'équipe se réunissent dans une salle de classe informelle ["cellule de crise" ou à distance] pour analyser [simuler, jouer] leur rôle en cas d'urgence [pour nos besoins, un cyberincident] et discuter de leurs réponses à une situation d'urgence particulière. »1
Les exercices de simulation de cyberincidents peuvent être menés sous diverses formes avec des objectifs et des résultats différents selon l'objet de la simulation. L'objectif : donner l'occasion aux parties intéressées internes et externes de répéter les processus et les communications, mais surtout de cerner les lacunes et les points à améliorer.
Lors de la planification d'un exercice de simulation, il est important de préciser les résultats et objectifs à atteindre. Il s'agit peut-être de tester les capacités d'intervention technique et les processus de planification pour l'équipe interne de cybersécurité et d'intervention en cas d'incident. Ou peut-être s'agit-il de voir comment la haute direction mobilise les tiers dans l'effort d'intervention et comment elle communique un cyberincident aux parties prenantes externes. Quoi qu'il en soit, les résultats attendus définiront l'auditoire et les différentes façons dont un exercice de simulation peut se dérouler.
Je vous présente ci-dessous des approches différentes pour les exercices de simulation et j'explique comment chacune peut profiter à une organisation qui souhaite mettre en pratique et améliorer sa capacité d'intervention en cas de cyberincident selon les publics visés :
- Exercice technique : Un exercice de simulation technique s'effectue souvent avec des scénarios sur papier ou PowerPoint où l'équipe interne de cybersécurité et d'intervention en cas d'incident « joue le jeu » et répond aux déclencheurs (étapes ou événements distincts au sein d'un scénario) afin de réviser les processus de détection, de contrôle et d'intervention dans le but de cerner les lacunes technologiques, financières et/ou procédurales. Une entreprise tierce d'intervention en cas d'incident vient souvent s'ajouter à l'équipe interne afin de participer à un tel exercice, d'analyser les règles et le déroulement de la mission, et de repérer toute lacune de communication entre les deux parties.
- Exercice fondé sur les cadres dirigeants ou les communications : Ce type d'exercice ne porte pas sur les aspects techniques d'un scénario d'intervention. Plutôt, ce sont les équipes de direction qui reçoivent des données techniques et des constatations découlant du volet d'intervention technique et qui sont appelées à prendre des décisions en fonction de ces renseignements. Les décisions peuvent concerner la nature de l'information à communiquer aux parties prenantes internes et externes au sujet du cyberincident, et la méthode de communication à retenir, ou encore le moment de faire appel à l'aide de tiers.
- Exercice interactif, multimédia : Nous nous concentrons ici sur l'élaboration d'un scénario plus réaliste à partir d'exercices classiques sur papier et sur PowerPoint. Les déclencheurs deviennent de plus en plus proches de la réalité grâce à des signaux audio et visuels. La capacité de diviser les participants en plusieurs cellules de crise nous permet d'observer comment ils interagissent différemment entre eux et avec d'autres participants. Cela peut s'avérer extrêmement utile pour former des équipes dispersées sur les plans organisationnel et géographique, qui doivent réagir à un cyberincident à distance, en particulier en période de pandémie comme la COVID-19 où la plupart, sinon la totalité, des équipes sont obligées d'adopter le télétravail.
- Exercice pratique « de terrain » : Les exercices sur papier ou PowerPoint ne sont que des simulations, même lorsque des effets audio et visuels sont inclus. Un exercice pratique de cybersécurité permet aux équipes internes de cybersécurité et d'intervention en cas d'incident de réagir de façon réaliste et de s'entraîner à un cyberincident dans un environnement simulé qui imite l'environnement réel de l'organisation. Les équipes utiliseront des piles technologiques et des outils d'intervention semblables à ceux qui sont à leur disposition au quotidien. Ce type d'exercice pratique permet non seulement aux équipes internes de cybersécurité et d'intervention en cas d'incident de mettre en pratique leurs processus et comportements d'intervention dans un environnement familier, mais il permet aussi aux observateurs d'examiner comment les équipes réagissent ensemble lorsqu'elles tentent de contenir l'incident. Les équipes qui vont ensemble à la bataille en sortent souvent plus soudées.
Quel que soit le type d'exercice de simulation choisi par une organisation (dans certains cas, on peut alterner entre différents types pour une plus grande efficacité globale), la clé est de comprendre le résultat et la portée de l'exercice pour qu'il puisse servir à former les participants avec plus d'efficacité.
On dit souvent que « c'est en forgeant qu'on devient forgeron ». Malheureusement, les cyberincidents comportent de nombreuses inconnues, ce qui signifie qu'il n'y a aucun moyen de garantir qu'une équipe sera prête à toute éventualité. Toutefois, les processus, les communications et d'autres éléments clés de l'intervention en cas d'incident peuvent être répétés, de sorte que même si vous ne parvenez pas à la perfection, vous pourrez, en temps de crise, mettre en pratique les notions apprises pour améliorer les résultats et atténuer les répercussions.
Vous souhaitez inclure des exercices de simulation à la stratégie de préparation à la cybersécurité de votre organisation? Écrivez-moi... et que les jeux commencent!
1 Source: Gouvernement des Etats-Unis, Ready Campaign, 2016.
Multilingual post
This post is also available in the following languages
Stay up to date with what matters to you
Gain access to personalized content based on your interests by signing up today