I. Introduction
Cet article est le dernier d’une série portant sur la gestion des incidents cyber. Il a tout d’abord été question de se préparer technologiquement et humainement dans le premier article (link), puis d’étudier une approche plus formelle qu’est le plan de réponse à incidents, pour finir cet article détaillera l’entraînement des collaborateurs d’une entreprise via, notamment, l’organisation d’exercices de crise.
L’informatique et plus particulièrement la cybersécurité est en constant mouvement. Tous les 6 mois une nouvelle technologie de rupture arrive sur le marché et change la donne pour les blue teams. Une entreprise, pour correctement se défendre, doit être à jour technologique parlant, connaître les dernières menaces, mais également avoir des procédures lui permettant de répondre aux nouveaux enjeux et à l’augmentation de la menace cyber.
Le facteur humain a beau être le maillon faible de la cybersécurité, les procédures de gestion de crise repose sur ce dernier. On aura beau investir des sommes astroniques, si les collaborateurs ne connaissent pas le b.a.-ba de la cybersécurité et si les équipes opérationnelles ne connaissent pas les procédures de réponse à incidents, cela ne sauvera pas l’entité.
On comprend donc rapidement qu’investir dans le capital humain est essentiel.
II. Formation et sensibilisation
Avant de partir et d’organiser des exercices plus dynamiques, il convient de commencer par planifier des formations et des moments de sensibilisation pour collaborateurs et vos équipes opérationnelles. Ces derniers permettront à vos employés de comprendre les enjeux de la cyber mais également comment à acquirer une bonne hygiène informatique, voire une cybervigilance
Les formations pour les équipes opérationnelles doivent permettre à vos équipes de connaître l’état de l’art de la cybersécurité et de la cyberdéfense et d’être en capacité d’appréhender les dernières technologies.
Les collaborateurs ont tout d’abord besoin de sessions de sensibilisation leur permettant de comprendre la menace et les enjeux de la cyber. Une fois cette acculturation effectuée, il convient de répéter cet exercice afin qu’ils continuent à être attestif à leurs cyber actions mais également de constamment améliorer leur compréhension des enjeux. Des formations doivent être organisées pour permettre à vos collaborateurs de comprendre leur rôle dans le process de sécurité mais également de leur apprendre à avoir une bonne hygiène informatique. Le but de ces dernières est d’augmenter le niveau d’acculturation des employés et leur acceptation des mesures de cybersécurité au sein de votre entité grâce, notamment, à une meilleure compréhension des enjeux et de leurs intérêts.
Ces formations et ces moments de sensibilisation peuvent être des prestations externes mais peuvent également être faites par des équipes internes. Typiquement, le SOC (Security Operations Center) peut mettre en place des sessions de sensibilisation. Les équipes techniques peuvent profiter de ces moments pour expliquer et réexpliquer comment est gérée la sécurité au sein de l’entreprise, notamment en rappelant aux employés les procédures qu’ils doivent utiliser s’ils doivent un jour remonter un incident de sécurité.
Ces formations et ces sessions de sensibilisation sont indispensables mais ne suffisent pas. Certaines situations ne peuvent être anticipées sans être vécues. De même, un plan de réponse à incidents (link article 2) n’est efficace que s’il a été approuvé par les cellules de crise et les employés. De même, un collaborateur d’une entreprise ne comprendra jamais aussi bien ce qu’est le phishing, qu’après avoir été piégé.
III. Campagnes de phishing et exercice de gestion de crise
Les exercices de sensibilisation permettent une mise en situation et une manière « ludique » de comprendre les enjeux cyber dans lesquels les collaborateurs peuvent s’identifier et appliquer les mesures préconisées. Les deux exercices les plus intéressants en lien avec la gestion de crise sont les campagnes de phishing et les exercices de gestion de crise.
Le but n’est pas ici de s’attarder sur comment mettre en place une campagne de phishing, cela a déjà été traité dans un article précédent (link article phishing n°2), mais de décrire rapidement ce qu’est une campagne de phishing et son intérêt.
Tout d’abord, le phishing (link article phishing n°1) ou spear phishing (ciblé) correspond aux techniques d’ingénierie sociale utilisées par les cybercriminels pour forcer des utilisateurs à effectuer une action donnée. Typiquement, un cyberattaquant va écrire un email ciblant une partie des employés d’une entreprise afin de les amener à cliquer sur un lien et gagner un accès au système d’information de leur entreprise. Une campagne de phishing correspond à un ensemble d’emails envoyés à tout ou une partie d’une entité. Le but est d’analyser la réaction des employés à cette menace et de les former en aval afin d’éviter que réduire leur vulnérabilité à ce vecteur d’attaque.
Le second exercice consiste à réaliser un exercice de gestion de crise, c’est-à-dire, organiser un incident factice pour challenger ses équipes et voir leur réaction. Cela peut être réalisé uniquement au profit des équipes techniques mais également au sein de toute l’entité. C’est typiquement mis en place une fois qu’un plan de réponse à incidents a été rédigé afin qualifier sa pertinence. L’ANSSI a publié un guide en 2020 pour guider les entreprises et les administrations dans l’élaboration d’un tel évènement.
IV. Conclusion
Les formations et les sessions de sensibilisation sont très importants pour une entreprise mais doivent être complétés par des cas pratiques. Cela permettra aux employés de comprendre les enjeux de la cyber mais également de voir concrètement la manifestation d’évènements de ce type et de connaître les mesures à prendre en cas de crise cyber.
