Accueil  >  Parcours thématique  >  Lutte anti-cybercriminalité  >  L’entrainement à la cyberdéfense, clef du succès contre les attaques informatiques { Par Vincent Riou, CEIS}

Lutte anti-cybercriminalité

L’entrainement à la cyberdéfense, clef du succès contre les attaques informatiques { Par Vincent Riou, CEIS}

Plus qu’une prise de conscience, c’est un devoir pour les entreprises et les organisations de se protéger contre les menaces informatiques, dont les conséquences peuvent être dramatiques : image écornée, pertes financières, rançonnage, vol de données client, de brevets ou secrets professionnels, arrêt d’une exploitation, voire danger majeur pour les populations si l’attaque vise une...

Plus qu’une prise de conscience, c’est un devoir pour les entreprises et les organisations de se protéger contre les menaces informatiques, dont les conséquences peuvent être dramatiques : image écornée, pertes financières, rançonnage, vol de données client, de brevets ou secrets professionnels, arrêt d’une exploitation, voire danger majeur pour les populations si l’attaque vise une infrastructure sensible.

À un premier niveau, des opérations de sensibilisation permettent aux employés, quelles que soient leurs compétences techniques, de connaître les fondamentaux des comportements à adopter. C’est ce que l’ANSSI appelle « l’hygiène informatique ». À l’image des règles de sécurité sanitaire, un entrainement régulier s’impose afin de créer des automatismes. Ainsi, il conviendrait de créer de manière récurrente des exercices de crise cyber touchant une large part des employés, afin de les sensibiliser aux risques. Un employé averti en vaut deux, et le coût du montage de tels exercices est largement amorti par la diminution du risque induit par les bons réflexes créés à tous les niveaux de l’entreprise.

L’entrainement des professionnels de la cybersécurité d’une entreprise ou d’une société de service spécialisée doit, lui, aller bien plus loin. Afin d’acquérir et de conserver les réflexes indispensables à ces métiers de protection du cyberespace, les professionnels doivent se former, puis s’entrainer en permanence. Dans un parallèle avec la sécurité physique, on n’imagine pas le GIGN ou le RAID partir en mission sans un entrainement préalable d’une intensité telle qu’elle amène son personnel à agir de manière réflexe, avec une extrême efficience une fois sur le terrain. Confrontées à une attaque de grande ampleur, les équipes de réponse aux incidents informatiques devront, elles aussi, être prêtes.

On distingue la formation de l’entrainement par le caractère immersif de ce dernier. La formation va permettre de développer des compétences théoriques selon une démarche pédagogique adaptée. L’entrainement, quant à lui, consiste à effectuer une mise en situation dont le niveau de difficulté sera corrélé au niveau de compétence du professionnel. Là où la formation permet de connaître les techniques de base composant la boite à outils du cyberdéfenseur, l’entrainement permet de les maîtriser par la mise en pratique, afin d’augmenter la qualité et la vitesse d’exécution et de diminuer le stress en situation réelle. C’est l’entrainement qui permet d’acquérir les réflexes vitaux en cas d’agression et d’augmenter son efficacité.

« Plus je m’entraine et plus j’ai de la chance », disait Arnold Palmer. En effet, l’efficacité opérationnelle ne dépend pas seulement de la somme de connaissances amassée souvent de manière trop théorique. Elle résulte, au contraire, de mécanismes réflexes qui ne peuvent s’acquérir que par la pratique intensive. Le vocabulaire et les modes d’action de la cyberdéfense s’apparentent beaucoup aux sports de combat : attaque, défense, parades, feintes, anticipation… Un parallèle également évident avec le monde militaire, où nos soldats doivent maîtriser armement, tactiques et modes opératoires sur le bout des doigts avant de partir en opération. Ceci est d’autant plus vrai que les moyens de cyberdéfense, évoluant au rythme des nouvelles techniques d’attaque et des avancées technologiques, deviennent de plus en plus complexes et donc difficiles à maîtriser, ce qui renforce le besoin d’un entrainement régulier.

On peut, dès lors, faire le lien avec les qualités nécessaires à un compétiteur sportif :

  • Le relâchement : conserver son sang-froid est indispensable quand l’attaque survient. Toute crispation est synonyme d’une baisse d’efficacité. Le relâchement permet de diminuer la pression et le stress, permettant un état d’esprit propice à la diminution du temps de réaction et à l’augmentation de la qualité des réponses aux attaques.
  • Des techniques adaptées : souplesse, vivacité, adaptation au contexte. La réponse à incident nécessite une palette de techniques large, qu’il faut acquérir préalablement à la survenue d’un incident important. Celle-ci doit être la plus exhaustive possible. D’où la nécessité d’une mise à jour de ses capacités de défense régulière par des entrainements et des stages ciblés, en environnement simulé.
  • La diminution du temps de réaction : outre l’expérience du terrain, seul un entrainement réaliste permet de diminuer ce temps de réaction, crucial pour la qualité d’une réponse à une attaque et la limitation des dégâts induits. Au-delà des connaissances théoriques, la mise en pratique répétée permet d’automatiser la réaction, jusqu’à arriver à des actions « réflexes ».
  • La multiplication des oppositions : un boxeur ne progressera plus s’il s’entraine constamment avec le même partenaire. Au contraire, sa courbe de progression sera maximale s’il varie les entrainements (sac de frappe, musculation, cibles mobiles, partenaires différents, travail de vitesse…). Il en va de même en cyberdéfense. Il faut se confronter à des attaques larges et variées, dans des contextes opérationnels différents, avec des outils différents, pour aiguiser ses sens et optimiser une réaction qui se veut avant tout humaine, même si elle est fortement soutenue par la technologie.
  • La focalisation de son attention : en opération, lorsqu’une attaque survient, il est essentiel de pouvoir faire abstraction des stimuli parasites, de gérer son effort, et de bien réagir aux commandements de la chaine de décision. Cela ne s’acquiert pas en théorie, mais bien par la pratique.

À ces qualités personnelles, il convient de rajouter les qualités collectives, car la cyberdéfense est un travail d’équipe. Chaque acteur de la chaine de défense a un rôle particulier et complémentaire. On peut faire le parallèle avec les qualités d’une équipe de rugby ou de football. Les qualités individuelles s’additionnent alors par la mise en oeuvre de stratégies collectives, par la solidarité et l’entraide, l’optimisation de la chaine de décision, l’initiative au service du collectif, la qualité du reporting, le respect des rôles et des règles…

Pour être efficaces, ces entrainements collectifs et individuels doivent être réguliers. En effet, les menaces informatiques sont en constante évolution, et un « expert » du domaine ne le reste jamais longtemps s’il se repose sur ses acquis. De nouvelles techniques d’attaques sont perpétuellement développées dans le monde cybercriminel. Il faut donc en permanence se préparer pour limiter l’effet de surprise et les dégâts induits par les attaques.

La formation et l’entrainement s’adaptent ainsi au niveau et aux besoins requis. De la sensibilisation à l’entrainement intensif. Des « gestes qui sauvent » en cas d’agression, à l’entrainement d’un « cyberdéfenseur » professionnel.

Une entreprise peut décider de mettre en place un processus de formation et d’entrainement interne, basé sur les compétences à sa disposition, ou choisir de faire appel à un centre professionnel de formation et d’entrainement à la cyberdéfense, à l’image de de l’IBM X-Force Command Center aux États-Unis, ou de Bluecyforce en France, qui disposent de moyens très importants d’immersion dans le réalisme d’une cybercrise et de méthodes pédagogiques adaptées.

À tout cela s’ajoute un paramètre essentiel de l’entrainement : la « ludification ». Sous forme de jeux, l’entrainement doit aboutir à une implication totale, à la provocation d’une montée de stress qu’il faudra apprendre à contrôler, à des enjeux forts qu’il faudra défendre. La qualité des scénarios proposés est donc partie intégrante de la pédagogie, tout comme la complémentarité des profils des « entraineurs » des futurs champions de la cyberdéfense.

Pin It