Académique Documents
Professionnel Documents
Culture Documents
Ne pas diffuser
aux joueurs en amont
de l’exercice
1
SOMMAIRE
TLP-AMBER 2
1. RETOUR SUR L’EXERCICE
PRINCIPES DIRECTEURS DE L’EXERCICE
1
Sensibiliser Générer une crise cyber durant un moment clé des JOP2024
et mobiliser
2
Attaquants motivés disposant de moyens, s’introduisant dans le SI via des
Nature
de l’attaque
collaborateurs / partenaires / administrateurs systèmes, s’appuyant éventuellement sur
cyber des vulnérabilités « 0-jour »
3 • Des attendus de gestion de crise à traiter, en lien avec les bonnes pratiques de
Enjeux résilience
de résilience et • Des impacts métiers forts, liés aux principaux risques de l’opérateur,
impacts pour
l’opérateur notamment
de disponibilité, confidentialité et intégrité
4
Organisation de crise habituelle :
Acteurs
• Restreinte aux fonctions SI / RSSI pour le niveau C1
impliqués
• Etendue aux autres fonctions de l’opérateur pour les niveaux C2 et C3
TLP-AMBER 4
OBJECTIFS PÉDAGOGIQUES DE L’EXERCICE
TLP-AMBER 5
OBJECTIFS SPÉCIFIQUES DE L’EXERCICE
Page nécessitant des ajouts ou
modifications de votre part en
amont de la distribution du
support de briefing aux joueurs
OBJECTIF
TLP-AMBER 6
ORGANISATION DE LA CELLULE DE CRISE C1
Simulation des tiers
avec stimuli (*)
Interne :
Collaborateurs
Directions métier
Personne réalisant une veille
Durée de l’exercice : médiatique
2 heures …
Externe :
ANSSI
RSSI Experts PRIS / Journal
(et chefs d’équipes) spécialisé / SIEM-SOC
Autorités compétentes
(préfecture, ministère, etc.)
DSI COJO (Paris 2024)
(et chefs d’équipes) Média et Journalistes
Pirate informatique
Directeur
Communication
[si la fonction est incarnée
dans votre organisation]
Cellule de
crise centrale
(RPCA) Observateur
[si la fonction est incarnée
dans votre organisation]
Joueur
Animateur
(*) Eléments fournis à titre d’exemple, liste non exhaustive des tiers simulés pendant l’exercice
TLP-AMBER 7
ORGANISATION DES CELLULES DE CRISE C2
Simulation des tiers
avec stimuli (*)
Interne :
Collaborateurs
Directions métier
Personne réalisant une veille
Durée de l’exercice : médiatique
3 heures Chargé du support/standard
Administrateurs systèmes
Externe :
ANSSI
Experts PRIS / Journal spécialisé
DRH Responsable(s) / SIEM-SOC
DG métier Autorités compétentes
(préfecture, ministère, etc.)
COJO (Paris 2024)
Média et Journalistes
Responsables
Pirate informatique
Cellule de crise IT / SSI
Cellule de crise DSI
Utilisateur et spectateur
Directeur stratégique opérationnelle
Juridique IT/SSI
RSSI
Observateur
Directeur
Secrétaire de Secrétaire de
Communication PRIS
crise crise
Joueur
ANIMATION
Animateur
(*) Eléments fournis à titre d’exemple, liste non exhaustive des tiers simulés pendant l’exercice
TLP-AMBER 8
ORGANISATION DES CELLULES DE CRISE C3
Simulation des tiers
avec stimuli (*)
Interne :
Collaborateurs
Directions métier
Personne réalisant une veille
Durée de l’exercice : médiatique
Chargé du support/standard
5,5 heures Administrateurs systèmes
Responsable sureté
Externe :
ANSSI
Responsables Experts PRIS / Journal spécialisé /
DG DRH Responsable(s)
IT / SSI SIEM-SOC
métier Assurance cybersécurité
Autorités compétentes (préfecture,
ministère, etc.)
Directeur COJO (Paris 2024)
Juridique Cellule de crise Média et Journalistes
Cellule de crise DSI Pirate informatique
opérationnelle
stratégique Utilisateur et spectateur
IT/SSI Fournisseur de services
Directeur
Communication RSSI
PRIS
Secrétaire Observateur
Secrétaire de
Directeur de crise crise
Financier
Joueur
ANIMATION
Animateur
(*) Eléments fournis à titre d’exemple, liste non exhaustive des tiers simulés pendant l’exercice
TLP-AMBER 9
JOUEURS DE L’EXERCICE (C1)
Plus de [xxx]
personnes
mobilisées pour
l’animation et
[Compléter les noms et
fonctions des joueurs] l’observation.
TLP-AMBER 10
PARTIES PRENANTES DE L’EXERCICE (C2 & C3)
Plus de [xxx]
personnes
mobilisées pour
l’animation et
l’observation.
[Compléter les
noms et fonctions
des joueurs]
TLP-AMBER 11
RETOUR SUR LE SCÉNARIO
En amont de l’évènement sportif :
La méthode utilisée pour permettre une introduction sur le système d’information se fera par le biais de 4 possibilités différentes :
Hameçonnage d’un salarié, Clé USB piégée, exploitation d’une vulnérabilité « 0-jour », corruption d’un prestataire
Nous sommes le jour d’un grand évènement sportif dans le cadre des JOP2024. Votre organisation accueille et participe à cet évènement de grande ampleur et se retrouve sous le feu des
projecteurs : la compétition est retransmise en direct à la télévision.
01
Dysfonctionnements applicatifs
02
Soupçons de cyber attaque et demandes
03
Impacts “en cascade” liés à la cyber attaque
d’investigations de la part du management
Des utilisateurs constatent des dysfonctionnements Après de nombreuses plaintes utilisateurs, le Les gestionnaires de la crise reçoivent des demandes de
sur les applications permettant d’assurer le bon management décide d’investiguer sur les raisons des la part des collaborateurs sur la résolution des impacts
déroulé de l’évènement. indisponibilités constatées. et les contournements à mettre en place.
Exemple : Accessibilité aux caméras, accès à de la
documentation, site web inaccessible.
04
Fuite de données et enjeux de communication
05
Définition d’une stratégie de continuité et de reprise
06 Gestion juridique, résolution de la crise et
d’activité plan d’action
Publication sur le dark web de données confidentielles issues Elaboration d’une stratégie de continuité / reprise d’activité Organisation du dépôt de plainte auprès des autorités
des applications critiques. Réaction en chaîne des médias par les gestionnaires de crise. compétentes
pour obtenir des informations sur la crise en cours. Les Vérification des impacts sur l’évènement de la journée (sécurité
autorités publiques souhaitent avoir l’assurance que la des participants, diffusion, etc.)
situation est maîtrisée. Définition d’un plan d’action sur la supervision du SI.
TLP-AMBER
2. ENJEUX DE RÉSILIENCE À ÉVALUER
ENJEUX DE RÉSILIENCE À ÉVALUER (NIVEAUX 1, 2 & 3)
Niveau Thème d’analyse Référence au guide ANSSI Intégration dans le scénario final
Niveau 1 Ouverture de crise 8 - Activer son dispositif de crise cyber • Remontées d’alertes cyber par des • Appui sur la documentation de crise
utilisateurs de l’opérateur • Appui sur les critères d’activation de crise cyber pour déclencher le
(dysfonctionnements, pannes, etc.) processus d’alerte et informer les fonctions décisionnelles de
l’organisation
• Déclenchement de la crise
• Armement des cellules de crise
• Revue des systèmes de détection d’incidents (« SIEM/SOC »)
• Mobilisation des équipes
Pilotage de crise 9 - Piloter son dispositif de crise • Demande de visibilité sur les évènements • Suivi via main courante
et la crise • Suivi des mesures conservatoires et de remédiation
Capacité à impliquer / 8 - Activer son dispositif de crise cyber • Rattrapage : Demande du management • Identification des experts à impliquer
prévoir d’impliquer un acteur 11 - Activer ses réseaux de soutien de réaliser des investigations • Activation le cas échéant d’une assurance cyber
PRIS • Lancement d’investigations
• Recherche des vecteurs potentiels d’infection
Alerte managériale 8 - Activer son dispositif de crise cyber • Demande du management d’obtenir • Revue des modalités d’escalade de l’alerte vers la direction générale
des informations sur l’état de la crise (synthèse, informations, arbitrages)
Capacité de communication 12 - Communiquer efficacement • Pression médiatique et de la part • Capacité à établir (en amont si possible) une stratégie de communication
des organisateurs • Capacité à communiquer
• Demande des fonctions de communication
pour avertir les utilisateurs et collaborateurs
Alerte aux autorités 11 - Activer ses réseaux de soutien • Réception de la demande d’une autorité • Anticipation des déclarations obligatoires
de référence de tutelle / pouvoirs publics d’obtention
d’informations
Réfléchir à des modalités 14 - Mettre en place un mode de fonctionnement dégradé • Pression des utilisateurs et du management • Appui sur le PCA / PRA
de reprise informatique pour les métiers impactés à relancer les services • Préparation d’une stratégie de reconstruction
16 - Préparer et industrialiser la reconstruction
(palliatifs et/ou • Checklist de reconstruction
sauvegardes)
TLP-AMBER 14
ENJEUX DE RÉSILIENCE À ÉVALUER (NIVEAUX 2 & 3)
Niveau Thème d’analyse Référence au guide ANSSI Intégration dans le scénario final
Stimuli proposés Attendus de la part des opérateurs / joueurs
Niveau 2 Cf. niveau 1 9 - Piloter son dispositif de • Demande d’état du SI • Capacité à s’appuyer sur une cartographie du SI
Cartographie des crise • Capacité à s’appuyer sur une cartographie des actifs
systèmes impactés sensibles
Impliquer un acteur PRIS 11 - Activer ses réseaux de • Demande du management de réaliser des investigations • Contractualisation avec un acteur PRIS
soutien • Réaliser un point de situation incluant la liste des actions • Capacité à préparer l’intervention du partenaire
constatées et réalisées à destination d’un prestataire
PRIS
Cartographie des 13 - Conduire • Demande de l’étendue des impacts, des points d’entrée • Identification du périmètre de compromission
impacts l’investigation numérique • Demande des principales actions de l’attaquant • Recherche des vecteurs potentiels d’infection
• Documentation des actions de l’attaquant
Plan d'actions 13 - Conduire • Demande des opérationnels d’un plan d’action de • Comprendre l’étendue et le chemin de la compromission
d’endiguement l’investigation numérique défense • Prioriser les actions de remédiation par un plan de
et d’endiguement défense
Maitrise des tiers 12 - Communiquer • Demande d’un ou plusieurs tiers concernant • Rassurer ses parties prenantes
efficacement la compromission de leur données / accès et/ou métiers • Dresser et schématiser le périmètre de la compromission
Restauration de 14 - Mettre en place un • Nécessité d’avoir accès aux sauvegardes • Définir et soutenir les modes d’utilisation des solutions
sauvegarde / continuité mode de fonctionnement • Nécessité d’assurer les fonctions essentielles liées aux de contournement
métier dégradé pour les métiers JO (assurer les épreuves, assurer la sécurité des • Communiquer en interne sur les solutions de
impactés athlètes et des spectateurs, assurer la couverture contournement choisies
médiatique de l’évènement, etc.)
Communiquer vers les 11 - Activer ses réseaux de • Demande de déclaration auprès des autorités • Déclarer son incident auprès des autorités compétentes
autorités de tutelle soutien compétentes (Stimuli balais uniquement) (ANSSI, CNIL, autorités judiciaires)
• Dépôt de plainte
TLP-AMBER 15
ENJEUX DE RÉSILIENCE À ÉVALUER (NIVEAU 3)
Niveau Thème d’analyse Référence au guide ANSSI Intégration dans le scénario final
Niveau 3 Formaliser un plan 16 - Préparer et industrialiser • Demande de stratégie opérationnelle de reconstruction • Construire une stratégie de reconstruction
d’action reconstruction la reconstruction • Processus de restauration des sauvegardes • Stratégie de restauration des données par des sauvegardes
• Demande de calendrier prévisionnel de réouverture des saines
services (avec un arbitrage coût à proposer) • Dresser un calendrier prévisionnel réaliste pour la
réouverture des applications métiers
Interactions en multi- 10 - Soutenir ses équipes de • Demande de point de situation inter-cellules par la DG • Bien dissocier la cellule stratégique, la cellule opérationnelle
cellules (cellules gestion de crise • Demande d’identification des obligations auprès des et la cellule de communication
stratégiques / partenaires, clients et fournisseurs qui ne pourront pas être • Création « d’équipes-projet » afin de répartir les sujets
opérationnelle, multisite respectées • Qualité d’échange des informations entre chaque cellule
• Prévoir le roulement des équipes, anticiper l’augmentation • Mobilisation des équipes juridiques
du nombre d’heures des collaborateurs concernés, effectuer • Support RH à prévoir
le suivi RH des prestataires mobilisés, etc.
Investigation 13 - Conduire l’investigation • Cf. Cartographie des impacts (niveau 2) • Poursuivre la stratégie d’investigation (en lien avec le PRIS)
numérique • Organiser la suite des investigations sur l’étendue
des compromissions
Plan d’amélioration 15 - Durcir et remédier • Orienter les participants vers la révision des pratiques • Protéger le SI de nouvelles attaques
de sécurité numérique 18 - Tirer les leçons de la d’administration et de gestion du SI • Reprendre le contrôle des systèmes et durcir pour empêcher
crise • Orienter les participants vers une réflexion autour de leur
gestion des sauvegardes de nouvelles compromissions
• Orienter les participants vers l’adaptation du PCA/PRA • Commencer à construire un plan d’actions d’amélioration
• Orienter les participants vers une meilleure surveillance du du niveau de sécurité SI
SI • Réflexion autour de la surveillance des systèmes
TLP-AMBER 16
3. SYNTHÈSE DES RÉSULTATS DE
L’EXERCICE
SYNTHÈSE GLOBALE DE L’EXERCICE
[à compléter] [à compléter]
TLP-AMBER 18
FAITS MARQUANTS
TLP-AMBER 19
4. RÉSULTATS DÉTAILLÉES
RÉSULTATS DÉTAILLÉS : JOUEUR
Cellule de crise décisionnelle
Point de vue joueur
Processus et outillage
TLP-AMBER 21
RÉSULTATS DÉTAILLÉS : JOUEUR
Cellule de crise opérationnelle
Point de vue joueur
Processus et outillage
TLP-AMBER 22
RÉSULTATS DÉTAILLÉS : ANIMATEUR
Cellule d’animation
Point de vue animateur
Processus et outillage
TLP-AMBER 23
RÉSULTATS DÉTAILLÉS : OBSERVATEUR
Cellule de crise décisionnelle
Point de vue observateur
Processus et outillage
TLP-AMBER 24
RÉSULTATS DÉTAILLÉS : OBSERVATEUR
Cellule de crise opérationnelle
Point de vue observateur
Processus et outillage
TLP-AMBER 25
RÉSULTATS DÉTAILLÉS : OBSERVATEUR
Cellule d’animation
Point de vue observateur
Processus et outillage
TLP-AMBER 26
5. ÉLABORATION D’UN PLAN D’ACTION
ÉLABORATION D’UN PLAN D’ACTION
[à compléter]
TLP-AMBER 28
MERCI DE VOTRE PARTICIPATION!
29