Le wargaming : le pire en jeu
![Image [Rédaction d’une PSSI :] les salariés soulignent le manque d’implication de la direction](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-management-direction-human-rh-885x690.jpg)
![Image [Forum InCyber 2024] Comment l’[IA générative] va « augmenter » le SOC](https://incyber.org//wp-content/uploads/2024/03/incyber-news-threat-cybersecurite-cybersecurity-885x690.jpg)
![Image France : création d’une « Ligue pour la sécurité du [Web3] »](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-web3-exploration-2024-885x690.jpg)
C’est toute une industrie qui s’est formée afin d’aider les organismes et entreprises à former leur personnel pour se prémunir des déprédations des cybercriminels. Parmi les solutions offertes, le wargaming permet de simuler dans un environnement sécuritaire des scénarios de crise dans lesquels les participants peuvent s’immerger pour apprendre à mieux les gérer. Regard sur les avantages, mais aussi les limites, de cet outil désormais crucial.
Si votre travail touche de près ou de loin la cybersécurité, vous avez sans doute déjà entendu l’adage suivant : « En entreprise, une cyberattaque n’est pas une question de si, mais de quand. » Toute une industrie dédiée à offrir des formations de prévention et de sensibilisation s’appuie sur ce truisme courant.
Deux approches s’affrontent sur ce terrain. Les uns prônent des formations ciblées et non exhaustives pour ne pas saturer l’individu d’informations superflues. Les autres préfèrent des séances de formation en continu traitant d’un éventail de sujets plus large afin d’équiper les individus d’une connaissance plus ample des enjeux et des risques.
Dans le cadre de ces programmes de formation s’ajoutent souvent des simulations en temps réel via des mails truffés de pièces jointes ou de liens suspects. Ce genre d’envoi, d’ordinaire géré par une compagnie tierce, sert à renforcer les acquis et à identifier les failles en vue de mieux sauvegarder la sécurité de l’entreprise.
Mais en ce qui concerne la gestion de crise grave, une approche plus soutenue est nécessaire. Développé initialement par la RAND Corporation, le wargaming permet l’immersion complète dans une crise simulée pour renforcer les réflexes et les modes de pensée adéquats lors d’événements critique.
« Prise de décision humaine »
Qu’est-ce que le wargaming ? Il s’agit d’un jeu – même s’il est bien sérieux –, avec en son centre la prise de décision humaine. Via une simulation, informatisée ou non, d’un conflit fictif ou réel le wargaming permet d’analyser un conflit sous tous les angles et d’évaluer les divers choix qui s’offrent aux participants, et de voir les conséquences sur une possible résolution de conflit. Un wargame offre une version simplifiée, mais réaliste, d’événements complexes.
Historiquement, le wargaming s’est développé autour de campagnes militaires sur terre et sur mer, notamment pour former les officiers. Toutefois, la version électronique du wargaming prend de plus en plus d’importance. L’OTAN et ses alliés, par exemple, organisent depuis 2010 Locked Shields, une simulation qui met l’accent sur la défense des infrastructures critiques qui rassemble plus de 2 000 experts mis à l’épreuve contre plus de 4 000 attaques.
Le wargaming et votre cybersécurité : pratiquer l’événement unique
Malgré ses origines militaires, le wargaming se transfère aisément en entreprise, à condition d’adapter certains paramètres. Les exemples mentionnés plus haut coûtent des dizaines de milliers d’euros à mettre sur pied. Or il est possible de créer des scénarios sur papier, appelé matrix games, qui offrent de bons résultats à bien moindre coût. En mode jeu de rôle, les participants se réunissent autour d’une table avec un maître de jeu qui dicte le scénario et les modalités de départ. Les participants doivent alors défendre la valeur de leurs solutions.
Prenons un exemple. Le « Handbook of Cyber Wargames: Wargaming the 21st Century », écrits par John Curry et Nick Drage, propose une simulation où une équipe (les Rouges) cherche à pénétrer le système d’une entreprise, lequel est protégé par une autre (les Bleus). Au début de la simulation, le maître de jeu demande à l’équipe bleue de penser à leurs planifications. Quelles sont les défenses en place : défenses physiques (par exemple la salle des serveurs est sous clé en tout temps), cyberdéfenses (par exemple, les authentifications 2FA, les sauvegardes sécurisées sur et hors site et les pare-feu) ainsi que les procédures en place dans l’entreprise (vérification des courriels, l’interdiction d’envoyer des fichiers), etc.
De son côté, l’équipe rouge décide du genre et du plan d’attaque : un vol de propriété intellectuelle ? Une attaque DDoS à l’heure du déjeuner ? L’équipe doit ensuite expliquer les motivations derrière l’attaque. On peut attaquer à chaque tour. Chaque attaque doit être accompagnée d’une discussion des effets escomptés et des raisons qui la motivent. De son côté, l’équipe bleue doit expliquer comment l’attaque a été détectée et quelle défense réussit à la prévenir.
L’équipe bleue a seulement à sa disposition la liste de défenses qu’elle a dressée d’entrée de jeu. La résolution peut se faire simplement par l’argumentaire ou en ajoutant un élément de hasard via l’utilisation de dés. L’équipe qui obtient le résultat le plus élevé gagne. L’élément aléatoire généré par l’utilisation de dés aide à reproduire les aspects imprévisibles d’une crise.
Ce genre de simulation permet à une entreprise de développer des mécanismes de décision tactique en période de stress très intense. Lors d’une cyberattaque, le temps de réaction des intervenants sur le terrain est crucial pour contrecarrer les plans des cybercriminels ou en tout cas minimiser les dégâts.
Le wargaming : forces et faiblesses
Chaque crise de cybersécurité est unique mais les réflexes et stratégies à développer pour les confronter restent les mêmes. En temps de crise, il faut savoir prendre rapidement des décisions, comprendre les limites des systèmes, et savoir déléguer l’autorité. C’est ici que le wargaming prend toute sa valeur en comparaison des formations traditionnelles, puisqu’il permet un apprentissage concret dans un environnement où l’erreur n’a pas vraiment de coût réel. Ce genre de simulation permet également d’habituer les membres d’une cellule de crise à travailler ensemble.
Malgré l’intérêt que représente le wargaming, il convient de garder en tête ses limites. Il est d’abord impératif d’impliquer des experts en cybersécurité dans le design d’une simulation pour arriver à des conclusions utiles, fondées sur une mise en scène pertinente. De la même manière, le scénario doit être fait en proche collaboration avec l’entreprise ou l’organisme demandeur pour s’assurer de répondre à ses besoins.
De même, il va sans dire que le maître de jeu bénéficie non seulement d’une vaste expérience en ce qui concerne le jeu mais aussi en ce qui concerne les situations réelles. Autrement, comment savoir si les participants arrivent aux bonnes conclusions relativement à leurs actions ?
Il est impossible de prévoir la forme que prendra une crise en lien avec une cyberattaque. En revanche, les réflexes de gestion de crises, eux, sont généralisables et applicables dans plusieurs situations. Comme tout bon réflexe, les comportements à adopter doivent être répétés dans un environnement contrôlé. Le wargaming est une solution idéale en ce sens.