Dilapider tout un budget en solution technologique peut certes faire en sorte que les dirigeants se sentent en sécurité. Mais face à la menace cyber, il n’y a pas de mur qui empêchera toute intrusion.

Les principales menaces en la matière ne sont pas technologiques. Elles se trouvent dans le cerveau humain : elles se nomment notamment curiosité, ignorance ou apathie.

Face à cette menace, votre première et votre dernière ligne de défense sont vos collaborateurs, mais à condition qu’ils soient préparés.

L’exercice de cybersécurité

Plutôt qu’une formation entre 4 murs, un exercice de cybersécurité avec une mise en situation aura le mérite de rendre vivant ce qui paraît abstrait.

C’est aussi le moyen de savoir à travers d’un exercice de cybersécurité si votre organisation est en capacité d’absorber et de contrer les coups.

Mais encore faut-il veiller se prémunir de certains travers et opter pour des approches plus efficaces.

Traditionnellement, les exercices de cybersécurité pratiquée sont de belles mécaniques à faire des constats.

Ces mises en situation permettent de valider dans des conditions proches de la réalité certains aspects essentiels d’un dispositif de crise : les situations, les moyens et la procédure d’alerte, la disponibilité des moyens humains et matériels, les moyens de communication et dans certains cas la coordination entre acteurs internes.

Elles ont certes l’avantage de mettre en évidence des dysfonctionnements et des idées d’amélioration qu’on n’aurait pas su discerner autrement.

Les exercices de cybersécurité présentent enfin l’avantage de convaincre les équipes dirigeantes des atouts du dispositif et des progrès qu’ils restent à accomplir.

Toutefois, ils présentent des limites.

Les carences

Tout d’abord, les exercices de cybersécurité sont aussi source de perturbations :

• Ils sont parfois difficiles à vivre et peu gratifiants.
  • La plupart des participants ne retiennent que la demi-journée ou journée de retard qu’il va falloir rattraper dans son agenda déjà surchargé.
  • Les acteurs impliqués sont partagés entre la crainte de ne pas être jugés à la hauteur et la sensation que cela va trop vite pour comprendre, voire la sensation qu’il n’y a pas eu de changements depuis l’exercice précédent.
• Ils laissent parfois une impression de « doutes ».
  
  • Pour des raisons de commodités, l’exercice se concentre dans l’exercice plusieurs événements qui se déroulent dans un temps plus réduit. Cela laisse une impression que ces derniers ne peuvent se produire qu’à cette occasion et que dans la « vie réelle » avec une cinétique différente, «on saura faire ».

Ensuite, ils sont parfois incomplets :

• Ils n’abordent que des risques déjà identifiés : Attaque virale, intrusion dans le système d’information, contournement des dispositifs de sécurité.
  • Les organisateurs sortent rarement des sentiers battus alors que la réalité illustre bien les chemins détournés pris par les cybercriminels.
• Les principaux dirigeants ne sont pas nécessairement présents alors qu’en situation réelle ils sont les plus sollicités.
  • Sont-ils conscients des limites des exercices ? Ont-ils la crainte que leur faible performance entraîne une démotivation de leur personnel ?

Les questions soulevées

Enfin, les exercices de cybersécurité soulèvent également plus de questions, qu’ils n’apportent de réponses :

• Un seul exercice annuel est-il judicieux ?
• Que se passe-t-il entre chaque exercice ? Qu’ont-ils fait du plan d’action déterminé à l’issue du débriefing de l’exercice ? Quelles sont les actions mises en œuvre ? Et quelles sont celles qui n’ont pas été traitées ?
• A-t-on raison de ne pas vouloir passer en revue les points que l’on sait être défaillants ? Ou au contraire de tester des situations totalement nouvelles ?
• Est-ce qu’une routine ne s’est pas installée ? Les contributeurs connaîssent souvent la date plusieurs jours avant la simulation. Ils déroulent. le « plan » et ils se quittent en se donnant rendez-vous l’année prochaine ou dans 2 ans.

Se cybermuscler efficacement

Nous avons référencé quelques techniques aptes à mieux exploiter vos exercices de cybersécurité pour absorber et contrer les coups.

 1 – L’entraînement en mode «coaching»

A l’image de ce qui se pratique dans le monde du sport, il s’agit d’assimiler les « bons gestes et les bons réflexes », plutôt que de laisser se développer les mauvaises pratiques.

Dans un premier temps, l’exercice est conçu pour présenter aux contributeurs, individuellement ou collectivement, les actions qu’ils devront entreprendre dans les différentes phases clés de la gestion d’une crise. Ces actions pourraient s’assimiler aux «bases de la boxe» à pratiquer à chaque entraînement.

Il suffit ensuite de répéter collectivement dans une simulation.

Chaque contributeur assimile quelques bonnes pratiques et développe les bons réflexes.

2 – L’exercice conçu en mode «collaboratif»

Généralement, tous les participants associés à l’exercice, métiers de la banque ou de l’assurance et fonctions techniques, participent à l’élaboration du scénario.

C’est l’orchestre qui choisit la partition à jouer. Ce mode d’exercice favorise le développement d’un langage commun, des responsabilités réciproques notamment sur les risques imprévisibles.

Chaque contributeur est rassuré sur un plan psychologique, car ils participent au scénario de l’exercice. Il identifie sa contribution. Ce qui permet de se préparer dans cette optique. Il répète la partie de la partition qu’il aura à jouer.

Chaque contributeur aura aussi à cœur de se préparer, car l’objectif est de ne pas mettre en difficulté l’ensemble du dispositif.

Le jour de l’exercice est vu comme un jour dédié à la manœuvre de l’ensemble du dispositif. L’orchestre joue ensemble la partition. Cela renforce les liens entre les contributeurs.

3 – L’exercice en mode «interface»

Il consiste à associer des contributeurs extérieurs (Référents sûreté de la police nationale ou gendarmerie, des autorités, experts cybersécurité, …) à un ou plusieurs exercices afin de mettre à plat les contraintes et les comportements des uns et des autres.

Il permet alors de tisser des liens avec eux, créer un climat de confiance et clarifier les positions respectives. Cette posture peut se révéler être un atout lors de la gestion d’une situation de cybersécurité.

4 – Digital Crisis Response, l’action et la réaction dans une même application

Digital Crisis Response est une application qui permet aux contributeurs de se confronter aux menaces numériques au travers de serious games et à l’équipe dirigeante de gérer efficacement les crises liées à la cybersécurité.

Digital Crisis Response est le résultat des années d’expérience dans le cadre de missions auprès de nos clients.

Elle est aussi le moyen d’assurer la synthèse entre des techniques et de bonnes pratiques d’exercice de cybersécurité pour entraîner efficacement votre équipe à mieux absorber et contrer les coups.

Besoin d’un complément d’information ? Programmez votre rendez-vous en visioconférence.

Si cet article vous a plu, n’hésitez pas à le partager et nous adresser vos commentaires.