Cybersécurité : que se cache-t-il derrière un exercice de cyber-entraînement ?

30 juin 2022

Cybersécurité

Face à une menace informatique croissante et évolutive, les exercices de cyber-entraînement ne représentent plus seulement des opportunités, mais une nécessité. Organisations, collaborateurs et particuliers, nous sommes tous concernés par les risques liés au monde numérique. Découvrez dans cet article les étapes de conception d’un exercice de cyber-entraînement, de l’élaboration d’un scénario avec un client jusqu’au déroulement avec les participants.
Le cyber-entraînement permet de former des équipes dont le niveau de maitrise de l’informatique est hétérogène grâce à des scénarios d’exercices réalistes et adaptés. Le cyber-entraînement permet de former des équipes dont le niveau de maitrise de l’informatique est hétérogène grâce à des scénarios d’exercices réalistes et adaptés.

Dans un monde de plus en plus connecté, il devient essentiel de sensibiliser et de former les usagers – du monde civil, des organisations et des entreprises – aux menaces du monde numérique et aux pratiques de hacking les plus courantes.

Du besoin exprimé par le client jusqu’à l’organisation de la journée d’exercice avec les participants, plusieurs mois de préparation sont nécessaires pour construire et adapter un entraînement de cybersécurité aux besoins de la population ciblée.

Dans cet article, je vous propose de décrypter les différentes étapes de conception et de développement d’un exercice de cyber-entraînement.

1ère étape : analyser le besoin et adapter l’exercice de cyber-entraînement

Comme pour tout projet, la première étape est la compréhension du besoin. Nous recueillons par le biais d’une interview les objectifs et les attentes de nos clients.

Le premier point à définir est la cible, c’est-à-dire la typologie des participants :

  • Un public très technique, tel que des spécialistes de la cybersécurité,
  • Des participants novices,
  • Des équipes mixtes, comprenant des collaborateurs dans les fonctions supports (commerciaux, administratifs, RH) et des collaborateurs plus techniciens tels que des développeurs informatiques par exemple.

L’exercice de cyber entraînement se traduit très souvent par un CTF (capture The Flag) ou par un jeu de type serious game dont le scénario intègre des énigmes et des épreuves plus ou moins techniques à résoudre par les équipes.

L’intérêt de former des équipes hétérogènes à la cybersécurité est multiple. Cela permet de sensibiliser les collaborateurs à tous les niveaux, de créer du lien entre les services et de pouvoir proposer des exercices plus ou moins techniques.

Les activités de cyber-entraînement proposées aux participants peuvent être très techniques, comme de l’intrusion dans un Système d’Information, de la compromission de hardware ou de software, ou être basées sur de l’ingénierie sociale ou de l’OSInt (renseignements disponibles en sources ouvertes).

Les informations récoltées par les membres d’une équipe s’assemblent et permettent de résoudre les énigmes ensemble. L’objectif est également de renforcer les interactions et la cohésion entre les équipes.

Cette multitude d’activités possibles permet à chaque participant d’apporter sa contribution au jeu. Ainsi, tout le monde se sent valorisé, quel que soit son niveau technique, et surtout prend plaisir à se former à la cybersécurité.

2ème étape : définir un thème et simuler un environnement réaliste

Le thème de l’évènement de cyber entraînement doit intéresser les participants pour susciter l’adhésion. Il peut avoir un lien avec leur cœur de métier.

Nous pouvons imaginer toute sorte de thématiques et d’objectifs pour l’exercice : compromettre le SI d’un hôpital, détourner un drone, prendre possession du billet d’avion d’un autre passager, dérober des informations confidentielles, etc.

Nous veillons particulièrement à proposer des scénarii réalistes. Les équipes doivent pouvoir se projeter dans une histoire. Pour cela, nous créons et simulons des Systèmes d’Information dédiés à l’évènement, en y introduisant des données de vie pour y cacher les vulnérabilités, des indices et bien sûr des trophées (les flags).

À titre d’exemple, sur le thème de l’hôpital, le point d’entrée du jeu peut être la page de prise de RDV sur le site web de l’établissement.

Nous mettons à disposition des participants un environnement technique créé de toute pièce, cloisonné et isolé des Systèmes d’Information de production du client. Il contient tout un panel d’informations à travers des comptes utilisateurs, des répertoires réseaux, des serveurs, etc.

Cet environnement technique du jeu de cyber entrainement est hébergé sur la plateforme MALICE (https://malice.fr/training/) développée en interne par SysDeam. La plateforme MALICE offre la possibilité aux joueurs d’accéder aux épreuves et aux différentes ressources du jeu de cyber entraînement.

Toutes ces informations sont factices et imaginées. Bien évidemment, nous n’utilisons pas les données existantes de nos clients. Si un client souhaite que nous organisions un exercice de cyber-entraînement dans son entreprise, nous nous déplaçons avec nos propres infrastructures IT pour les mettre à disposition des joueurs.

 

Lire aussi “Prévention et transparence en cas de cyberattaques : tous concernés ?

3ème étape : créer des chemins d’attaque réalistes

L’étape suivante consiste à imaginer les différents chemins d’attaque et à disséminer des indices parmi les données de vie créées. Un chemin d’attaque est un enchainement logique d’étapes à franchir pour atteindre l’objectif visé. Par exemple, les joueurs pourront exploiter une faille de sécurité connue sur un site Web, puis augmenter leurs privilèges pour s’introduire dans d’autres serveurs pour rebondir de proche en proche dans le Système d’Information du jeu jusqu’à atteindre l’objectif visé.

Lors de l’exercice, les participants ont accès au dashboard de la plateforme MALICE qui leur permet de suivre leur score et d’échanger avec l’équipe d’animation. Cette interface leur permet également de soumettre les indices trouvés au fur et à mesure. Quand il s’agit d’un réel indice, le joueur obtient des points. Cela lui confirme aussi qu’il se dirige dans la bonne direction.

4ème étape : présentation du scénario de cyber-entraînement au client

Quand nous avons finalisé l’élaboration d’un scénario, nous le présentons au client sous la forme d’un logigramme récapitulant :

  • L’objectif ultime, qu’il soit d’attaque ou de défense,
  • L’environnement dans lequel vont évoluer les participants,
  • Les attaques de hacking et les informations à retrouver en OSInt et en ingénierie sociale,
  • Les différents chemins d’attaque prévus et les moyens pour atteindre la cible.

Nous mettons systématiquement en place plusieurs chemins, plus ou moins complexes, qui mènent au résultat. Ainsi, la difficulté technique s’adapte aux participants et tout le monde peut apporter sa contribution, quel que soit son niveau.

Par exemple, une énigme peut être résolue par la découverte de différents indices : en allant chercher dans un message supprimé d’une boîte mail, en crackant un mot de passe faible (technique de hacking par brute force) ou en déverrouillant physiquement un tiroir d’un bureau fermé (technique de lock picking).

5ème étape : démarrage de l’exercice pour les participants

Le lancement de l’exercice de cyber-entraînement démarre par un briefing des équipes et la présentation de l’objectif final. Pour reprendre l’exemple de l’hôpital, nous allons leur demander de reprendre la main sur leur SI dont un serveur a été compromis, d’éviter une fuite d’informations confidentielles sur les patients et de déployer des contre-mesures.

Une équipe d’animateurs pilote le jeu sur place ou à distance en interagissant avec les participants par chat pour répondre à leurs questions ou les orienter dans le jeu. Nous sommes également en mesure de moduler la difficulté en temps réel, afin de favoriser ou de ralentir certaines équipes. Par exemple, en distillant des informations complémentaires dans le chat à une équipe un peu perdue ou en ajoutant des handicaps à un groupe plus avancé.

Conclure l’exercice de cyber-entraînement

À la fin de la journée, un débriefing est organisé pour échanger avec les participants, sur leur perception de l’exercice. Quelles difficultés ont-ils rencontrées, quels apprentissages ont-ils retenus ?

Nous échangeons sur leur parcours dans le jeu : les moyens utilisés, les chemins de compromission trouvés, les fausses pistes suivies, etc. Nous leur faisons un retour détaillé de qu’ils ont vu ou manqué. Et parfois c’est nous qui sommes hackés ! Certains participants arrivent à détourner le jeu à nos dépens voire à trouver des chemins d’attaque auxquels nous n’avions pas pensé !

Le jeu est un excellent moyen de sensibiliser les participants aux enjeux de la cybersécurité, de l’hygiène numérique et des objets connectés. Les apprentissages acquis lors d’un exercice de cyber-entraînement sont nombreux :

  • Les risques liés à un mot de passe faible, à des systèmes non patchés, à des dossiers mal archivés, à la publication d’informations sensibles sur les réseaux, etc.
  • Ce qu’est la manipulation psychologique.
  • La transmission et le partage d’informations.
  • La cohésion d’équipe.

 

Pour les plus débutants, il est possible de mixer des activités de type workshop et des exercices de hacking afin d’apprendre les bonnes pratiques avant de les mettre en application. Les exercices de cyber-entraînement sont des dispositifs innovants pour sensibiliser et renforcer les compétences des collaborateurs de manière ludique et pédagogique sur les enjeux très sérieux de la cybersécurité.

Besoin de plus d'informations

Jean-Félix Chevassu
Jean-Félix Chevassu

Directeur des Opérations et des Projets Stratégiques


Pour aller plus loin

Pour recevoir la documentation Hub One adaptée à vos besoins

Le présent site stocke des cookies et autres traceurs sur votre équipement (ci-après dénommés « cookies »). Ces cookies sont utilisés par Hub One pour collecter des informations sur la manière dont vous interagissez avec le site et établir des statistiques et des volumes de fréquentation et d’utilisation afin d’améliorer votre parcours en tant qu’utilisateur.
Vous pouvez choisir de ne pas autoriser certains types de cookies, à l’exception de ceux permettant la fourniture du présent site web et qui sont strictement nécessaires au fonctionnement de ce dernier. Pour accepter ou refuser l’utilisation des différentes catégories de cookies (à l’exception de la catégorie des cookies strictement nécessaires), rendez-vous dans les Préférences cookies.
Vous pouvez à tout moment revenir sur votre autorisation d’utilisation des cookies (Préférences cookies).
Le refus de l’utilisation de certains cookies peut avoir un impact sur votre utilisation du site.
En savoir plus : Politique cookies
Préférences cookies
Refuser tous les cookies
Accepter tous les cookies