Exercices de simulation de sécurité

Les différents types d’exercices de simulation

Scénarios « éclair »

Selon l’ISACA (Information Systems Audit and Control Association), un scénario éclair est un scénario « de très haut niveau destiné à être compris et discuté aisément et rapidement ». Il ne nécessite que peu ou pas de préparation et dure environ 10 à 30 minutes.

Ces scénarios peuvent impliquer des membres de l’équipe de niveau junior, intermédiaire ou senior, issus d’horizons très divers. Tous les membres de l’équipe peuvent examiner plusieurs scénarios de sécurité et chacun d’entre eux peut intervenir pour répondre à un incident.

Scénarios purement techniques

Les scénarios purement techniques durent généralement entre 1 et 2 heures. Ces scénarios sont conçus pour susciter des discussions techniques approfondies et requièrent une planification poussée. Ils permettent aux membres de l’équipe d’évaluer les aspects techniques d’un incident de sécurité.

Un scénario purement technique implique généralement un événement « déclencheur ». Au fur et à mesure que l’événement se déroule, votre entreprise peut y ajouter d’autres détails. Cela peut aider les membres de votre équipe à se préparer à des cyberattaques sophistiquées.

Scénarios impliquant l’ensemble des parties prenantes

Les scénarios impliquant l’ensemble des parties prenantes sont des extensions des scénarios purement techniques. Ils portent sur des aspects techniques, non techniques et logistiques.

Ils durent généralement de deux à quatre heures. Il peut intégrer des membres de l’équipe technique, ainsi que des spécialistes des domaines juridiques, marketing et RH.

Les scénarios impliquant l’ensemble des parties prenantes sont la solution idéale pour les entreprises qui souhaitent améliorer la communication entre leurs équipes ou leurs différents services. La participation de personnel technique et non technique à un exercice de simulation impliquant l’ensemble des parties prenantes peut s’avérer bénéfique. Ainsi, les participants de différentes équipes ou de différents services ont la possibilité de travailler ensemble pour résoudre un problème de sécurité.

Certaines entreprises font intervenir des équipes ou des services à différents moments du scénario. Cela permet à ces équipes ou services de s’impliquer comme ils le feraient si un incident de sécurité réel se produisait.

Qui dirige les exercices de simulation de cybersécurité ?

Dommages découlant de la responsabilité civile (Third Party)

Des prestataires externes facilitent et gèrent les scénarios de simulation et initient les discussions. La mise en place et le fonctionnement de ces services ne requièrent que peu ou pas d’efforts.

Le prestataire peut adapter l’exercice à votre organisation ou à votre environnement. Pour cela, il se renseignera sur votre organisation et ses défis en matière de sécurité. Ensuite, il développera un exercice de simulation personnalisé pour votre organisation et ses équipes ou départements.

Auto-assistance

Votre organisation peut créer ses propres exercices de sécurité. Sachez toutefois que le développement et la mise en œuvre de ces exercices peuvent s’avérer coûteux et prendre beaucoup de temps. Cela dit, il est possible d’adapter les exercices de cybersécurité à votre organisation et à son environnement.

Grâce à des exercices de cybersécurité personnalisés, les participants peuvent en apprendre davantage sur les défis de sécurité de votre organisation. Par exemple, ces défis peuvent impliquer des systèmes que les participants utilisent quotidiennement. D’une part, cela permet de rendre les défis plus « réels » et de stimuler l’implication des participants. D’autre part, cela garantit que les participants puissent travailler ensemble pour identifier et résoudre des problèmes spécifiques qui peuvent avoir un impact direct sur votre organisation, ses employés et ses clients. 

Comment Sophos exécute-t-il des exercices de simulation de sécurité ?

Chez Sophos, nous élaborons des exercices de simulation de cybersécurité personnalisés pour des équipes ou des services spécifiques. Lors d’un exercice, nous commençons généralement par un problème de sécurité mineur et encourageons les participants à partager leurs approches et leurs idées. À partir de là, nous nous servons des « résultats » pour attirer l’attention sur la gravité du problème.

Nous proposons des thèmes de scénarios de cybersécurité que les organisations peuvent utiliser pour développer et exécuter leurs propres exercices de simulation. En outre, nous offrons les conseils suivants pour vous aider à démarrer avec les exercices de table de sécurité :

Identifiez votre public cible

Déterminez votre groupe cible, pour ensuite élaborer votre scénario de cybersécurité. Par exemple, un scénario de sécurité complexe est idéal si vous testez l’équipe chargée de votre cybersécurité.

En revanche, si vous testez votre équipe IT ou DevOps, choisissez un problème que les participants comprendront et accordez-leur le temps, l’énergie et l’attention nécessaires.

Choisissez les bons participants

Incluez une seule équipe ou un seul service, ou plusieurs équipes ou services dans votre scénario. Un scénario impliquant une seule équipe vous permet de voir comment des participants spécifiques réagiront à une cyberattaque. En revanche, la participation de plusieurs équipes ou services favorise la collaboration entre de nombreux acteurs à collaborer en vue de la résolution de l’incident de sécurité.

Déterminez quand faire intervenir les participants

Demandez-vous quand les différentes équipes ou services doivent être impliqués dans votre scénario de cybersécurité Par exemple, si des données personnelles d’identification (PII) de votre entreprise sont compromises, il peut être intéressant d’impliquer des membres de votre équipe juridique pour garantir la conformité au RGPD et d’autres règlements en matière de sécurité des données.

Il est souvent judicieux d’inclure au moins une personne de chaque équipe ou service de votre entreprise dans un scénario de sécurité. Cela peut favoriser la communication et la collaboration interfonctionnelles entre les équipes et les services de votre organisation.

Définissez le nombre de participants

Assurez-vous de réunir dans votre scénario des participants en mesure de dialoguer les uns avec les autres et de coopérer en vue d’atteindre des objectifs communs. Dans nos scénarios, nous réunissons généralement jusqu’à 25 participants issus de plusieurs niveaux d’une équipe ou d’un service, voire de plusieurs équipes ou services. Lorsque vous définissez le nombre de participants à inclure dans vos exercices de simulation de sécurité, prenez en compte la taille de votre entreprise et la structure de vos équipes et de vos services.

Gérez le temps que vous consacrez à votre exercice

Laissez suffisamment de temps aux participants pour terminer l’exercice de simulation. Chez Sophos, nous évitons généralement les longues sessions d’exercices de simulation. En effet, il peut être difficile pour les participants de coordonner leur emploi du temps et de se joindre à une session de plusieurs heures.

Préparez vos supports

Présentez votre scénario à l’aide d’une présentation PowerPoint ou d’autres supports. L’équipe Sophos utilise habituellement des présentations PowerPoint pour les exercices de simulation, chaque slide montrant une progression d’événements et de questions à poser aux participants. Nous limitons généralement la taille de la plupart de nos présentations PowerPoint pour ces exercices à 20 slides.

Construisez un scénario solide

Préparez un scénario modèle de base et personnalisez-le en conséquence. Par exemple, utilisez une actualité récente pour mobiliser l’attention des participants. Pour les scénarios de plus grandes ampleurs, vous pouvez intégrer un fil d’Ariane dans les systèmes et les journaux afin que les participants puissent le trouver et le suivre.

Adaptez votre exercice de simulation à vos participants

Créez un exercice de simulation de cybersécurité en fonction du niveau de maîtrise des participants en matière de sécurité. Par exemple, un scénario très détaillé peut être intéressant pour les participants qui possèdent un grand nombre de compétences et d’expertise en matière de cybersécurité. Dans d’autres situations, un scénario générique de haut niveau peut s’avérer plus efficace.

Si vous élaborez un récit détaillé, veillez à ce qu’il soit réaliste. Ainsi, si vous souhaitez cibler une partie spécifique de votre entreprise ou de votre réseau, demandez l’avis d’une personne spécialisée dans ce domaine. Vous pourrez ensuite élaborer un scénario qui sera adapté à votre public cible.

Sollicitez l’avis des participants

Demandez aux participants s’ils ont des idées à intégrer dans votre exercice. La plupart des participants seront disposés à parler des problèmes de sécurité qu’ils rencontrent au quotidien. Vous pouvez utiliser ces difficultés pour développer un scénario qui aide les participants à trouver les moyens de résoudre ces problèmes à l’avenir.

Préparez le déroulement du scénario

Préparez un plan de déroulement de l’attaque simulée. Cela vous aidera à repérer les points faibles de votre scénario.

De plus, demandez aux membres des équipes et des services qui comprennent les problèmes abordés dans votre scénario de vous faire part de leurs commentaires. Ces personnes pourront vous aider à résoudre les éventuels problèmes et à faire en sorte que votre scénario soit le plus réaliste possible.

Préparez des questions pour alimenter la discussion

Notez toutes les questions soulevées au cours de l’élaboration de votre scénario. Ces questions pourront susciter des discussions entre les participants.

Examinez votre scénario

Évaluez votre scénario plusieurs fois avant de le présenter aux participants. Il est parfois difficile de prévoir le temps qu’il faudra aux participants pour terminer le scénario. En cas de doute sur le temps à consacrer au scénario, optez pour la prudence. Si vous constatez que votre présentation se rapproche ou dépasse le temps dont disposent les participants, modifiez-la.

Encouragez les participants

Lorsque les participants sont réunis avant de prendre part à l’exercice, veillez à les encourager à participer. L’exercice est l’occasion pour chaque participant de faire entendre sa voix et d’aider votre entreprise à améliorer sa posture en matière de sécurité. Si les participants communiquent et collaborent les uns avec les autres, tout le monde peut tirer le meilleur parti de l’exercice.

Modérez l’exercice

Si vous modérez l’exercice, résistez à l’envie d’y participer. Dans ce rôle, vous pouvez fournir aux participants le scénario et les aider à le suivre. Vous pouvez également donner aux participants un temps de parole pour discuter des différents sujets de l’histoire et leur proposer des questions de discussion et des pistes de réflexion.

Relevez les éventuels problèmes

Assurez-vous que quelqu’un note toutes les difficultés rencontrées au cours de l’exercice. Vous aurez ainsi un retour d’expérience sur des problèmes qui risquent de nuire à l’efficacité de votre scénario.

Surveillez l’heure

Fixez un délai pour votre exercice et respectez-le. Assurez-vous que les participants ne font pas fausse route et invitez-les à poursuivre leurs efforts à mesure qu’ils progressent.

Analysez vos résultats

Au terme de l’exercice de simulation, examinez les résultats et la manière dont ils peuvent être intégrés dans les activités quotidiennes de votre entreprise. Par exemple, si vous avez effectué le test en vous appuyant sur des exigences de conformité, vous pouvez créer un fichier PDF contenant les informations dont les auditeurs auront besoin.

Vous pouvez également donner aux participants la possibilité de consulter vos conclusions et d’effectuer le même exercice plus tard. Cela permet de vérifier que les corrections ou les changements apportés ont permis de résoudre les problèmes découverts lors de l’exercice initial.

Exemple d’exercice de simulation de sécurité

Ce qui suit est un scénario fictif que nous avons précédemment rédigé et mis en œuvre au sein de Sophos.

En savoir plus