TLP-AMBER

Ne pas diffuser
aux joueurs en amont
de l’exercice

EXERCICE DE CRISE CYBER JOP 2024

RETEX à Froid

1
SOMMAIRE

1 Retour sur l’exercice

2 Enjeux de résilience à évaluer
3 Synthèse des résultats de l’exercice
4 Résultats détaillés
5 Élaboration d’un plan d’action

TLP-AMBER 2
1. RETOUR SUR L’EXERCICE
 PRINCIPES DIRECTEURS DE L’EXERCICE

1
Sensibiliser Générer une crise cyber durant un moment clé des JOP2024
et mobiliser

2
Attaquants motivés disposant de moyens, s’introduisant dans le SI via des
Nature
de l’attaque
collaborateurs / partenaires / administrateurs systèmes, s’appuyant éventuellement sur
cyber des vulnérabilités « 0-jour »

3 • Des attendus de gestion de crise à traiter, en lien avec les bonnes pratiques de
Enjeux résilience
de résilience et • Des impacts métiers forts, liés aux principaux risques de l’opérateur,
impacts pour
l’opérateur notamment
de disponibilité, confidentialité et intégrité
4
Organisation de crise habituelle :
Acteurs
• Restreinte aux fonctions SI / RSSI pour le niveau C1
impliqués
• Etendue aux autres fonctions de l’opérateur pour les niveaux C2 et C3

TLP-AMBER 4
 OBJECTIFS PÉDAGOGIQUES DE L’EXERCICE

L’exercice de crise a pour multiples objectifs de vous :

1. Exercer à la méthodologie de gestion de crise,

2. Préparer aux impacts spécifiques d’une crise d’origine cyber,
3. Tester et exercer votre réaction collective face à un défi majeur,
4. Questionner sur les dispositifs de continuité d’activité disponibles pendant la durée des jeux,
5. Identifier vos principales ressources de résolution face à une crise de cybersécurité,
6. Préparer aux enjeux de la communication de crise et les procédures de notification d’incident,
7. Exercer à répondre aux exigences légales et réglementaires,
8. Identifier les principales failles de votre dispositif de sécurité des SI.

TLP-AMBER 5
OBJECTIFS SPÉCIFIQUES DE L’EXERCICE
Page nécessitant des ajouts ou
modifications de votre part en
amont de la distribution du
support de briefing aux joueurs

OBJECTIF

[compléter avec vos objectifs]

TLP-AMBER 6
 ORGANISATION DE LA CELLULE DE CRISE C1
Simulation des tiers
avec stimuli (*)

Interne :
 Collaborateurs
 Directions métier
 Personne réalisant une veille
Durée de l’exercice : médiatique
2 heures  …

Externe :
 ANSSI
RSSI  Experts PRIS / Journal
(et chefs d’équipes) spécialisé / SIEM-SOC
 Autorités compétentes
(préfecture, ministère, etc.)
DSI  COJO (Paris 2024)
(et chefs d’équipes)  Média et Journalistes
 Pirate informatique
Directeur
Communication
[si la fonction est incarnée
dans votre organisation]
Cellule de
crise centrale
(RPCA) Observateur
[si la fonction est incarnée
dans votre organisation]

Joueur

Animateur
(*) Eléments fournis à titre d’exemple, liste non exhaustive des tiers simulés pendant l’exercice

TLP-AMBER 7
 ORGANISATION DES CELLULES DE CRISE C2
Durée de l’exercice :
3 heures
Simulation des tiers
avec stimuli (*)
Interne :
 Collaborateurs
 Directions métier
 Personne réalisant une veille
médiatique
 Chargé du support/standard
 Administrateurs systèmes

Externe :
 ANSSI
 Experts PRIS / Journal spécialisé
DRH Responsable(s) / SIEM-SOC
DG métier  Autorités compétentes
(préfecture, ministère, etc.)
 COJO (Paris 2024)
 Média et Journalistes
Responsables
 Pirate informatique
Cellule de crise IT / SSI
Cellule de crise DSI
 Utilisateur et spectateur
Directeur stratégique opérationnelle
Juridique IT/SSI

RSSI

Observateur
Directeur
Secrétaire de Secrétaire de
Communication PRIS
crise crise
Joueur

ANIMATION
Animateur
(*) Eléments fournis à titre d’exemple, liste non exhaustive des tiers simulés pendant l’exercice

TLP-AMBER 8
 ORGANISATION DES CELLULES DE CRISE C3
Durée de l’exercice :
5,5 heures
Simulation des tiers
avec stimuli (*)
Interne :
 Collaborateurs
 Directions métier
 Personne réalisant une veille
médiatique
 Chargé du support/standard
 Administrateurs systèmes
 Responsable sureté

Externe :
 ANSSI
Responsables  Experts PRIS / Journal spécialisé /
DG DRH Responsable(s)
IT / SSI SIEM-SOC
métier  Assurance cybersécurité
 Autorités compétentes (préfecture,
ministère, etc.)
Directeur  COJO (Paris 2024)
Juridique Cellule de crise  Média et Journalistes
Cellule de crise DSI  Pirate informatique
opérationnelle
stratégique  Utilisateur et spectateur
IT/SSI  Fournisseur de services

Directeur
Communication RSSI

PRIS
Secrétaire Observateur
Secrétaire de
Directeur de crise crise
Financier
Joueur
ANIMATION

Animateur
(*) Eléments fournis à titre d’exemple, liste non exhaustive des tiers simulés pendant l’exercice

TLP-AMBER 9
 JOUEURS DE L’EXERCICE (C1)

Cellule de crise centrale

Plus de [xxx]
personnes
mobilisées pour
l’animation et
[Compléter les noms et
fonctions des joueurs] l’observation.

TLP-AMBER 10
 PARTIES PRENANTES DE L’EXERCICE (C2 & C3)

Cellule de crise stratégique Cellule de crise opérationnelle

Plus de [xxx]
personnes
mobilisées pour
l’animation et
l’observation.

[Compléter les
noms et fonctions
des joueurs]

TLP-AMBER 11
 RETOUR SUR LE SCÉNARIO
En amont de l’évènement sportif :
La méthode utilisée pour permettre une introduction sur le système d’information se fera par le biais de 4 possibilités différentes :
Hameçonnage d’un salarié, Clé USB piégée, exploitation d’une vulnérabilité « 0-jour », corruption d’un prestataire

Nous sommes le jour d’un grand évènement sportif dans le cadre des JOP2024. Votre organisation accueille et participe à cet évènement de grande ampleur et se retrouve sous le feu des
projecteurs : la compétition est retransmise en direct à la télévision.

01
Dysfonctionnements applicatifs
02
Soupçons de cyber attaque et demandes
03
Impacts “en cascade” liés à la cyber attaque
d’investigations de la part du management

Des utilisateurs constatent des dysfonctionnements
sur les applications permettant d’assurer le bon
déroulé de l’évènement.
Exemple : Accessibilité aux caméras, accès à de la
documentation, site web inaccessible.
Après de nombreuses plaintes utilisateurs, le Les gestionnaires de la crise reçoivent des demandes de
management décide d’investiguer sur les raisons des la part des collaborateurs sur la résolution des impacts
indisponibilités constatées. et les contournements à mettre en place.

04
Fuite de données et enjeux de communication
Publication sur le dark web de données confidentielles issues
des applications critiques. Réaction en chaîne des médias
pour obtenir des informations sur la crise en cours. Les
autorités publiques souhaitent avoir l’assurance que la
situation est maîtrisée.
05
Définition d’une stratégie de continuité et de reprise
06 Gestion juridique, résolution de la crise et
d’activité plan d’action
Elaboration d’une stratégie de continuité / reprise d’activité Organisation du dépôt de plainte auprès des autorités
par les gestionnaires de crise. compétentes
Vérification des impacts sur l’évènement de la journée (sécurité
des participants, diffusion, etc.)
Définition d’un plan d’action sur la supervision du SI.

TLP-AMBER
2. ENJEUX DE RÉSILIENCE À ÉVALUER
 ENJEUX DE RÉSILIENCE À ÉVALUER (NIVEAUX 1, 2 & 3)
Niveau Thème d’analyse
Niveau 1 Ouverture de crise
Pilotage de crise
Capacité à impliquer /
prévoir d’impliquer un acteur
PRIS
Alerte managériale
Capacité de communication
Alerte aux autorités
de référence
Réfléchir à des modalités
de reprise informatique
(palliatifs et/ou
sauvegardes)
Référence au guide ANSSI
8 - Activer son dispositif de crise cyber
9 - Piloter son dispositif de crise
8 - Activer son dispositif de crise cyber
11 - Activer ses réseaux de soutien
8 - Activer son dispositif de crise cyber
12 - Communiquer efficacement
11 - Activer ses réseaux de soutien
14 - Mettre en place un mode de fonctionnement dégradé
pour les métiers impactés
16 - Préparer et industrialiser la reconstruction
Intégration dans le scénario final
Stimuli proposés
• Remontées d’alertes cyber par des
utilisateurs de l’opérateur
(dysfonctionnements, pannes, etc.)
• Demande de visibilité sur les évènements
et la crise
• Rattrapage : Demande du management
de réaliser des investigations
• Demande du management d’obtenir
des informations sur l’état de la crise
• Pression médiatique et de la part
des organisateurs
• Demande des fonctions de communication
pour avertir les utilisateurs et collaborateurs
• Réception de la demande d’une autorité
de tutelle / pouvoirs publics d’obtention
d’informations
• Pression des utilisateurs et du management
à relancer les services
TLP-AMBER
Attendus de la part des opérateurs / joueurs
• Appui sur la documentation de crise
• Appui sur les critères d’activation de crise cyber pour déclencher le
processus d’alerte et informer les fonctions décisionnelles de
l’organisation
• Déclenchement de la crise
• Armement des cellules de crise
• Revue des systèmes de détection d’incidents (« SIEM/SOC »)
• Mobilisation des équipes
• Suivi via main courante
• Suivi des mesures conservatoires et de remédiation
• Identification des experts à impliquer
• Activation le cas échéant d’une assurance cyber
• Lancement d’investigations
• Recherche des vecteurs potentiels d’infection
• Revue des modalités d’escalade de l’alerte vers la direction générale
(synthèse, informations, arbitrages)
• Capacité à établir (en amont si possible) une stratégie de communication
• Capacité à communiquer
• Anticipation des déclarations obligatoires
• Appui sur le PCA / PRA
• Préparation d’une stratégie de reconstruction
• Checklist de reconstruction
14
 ENJEUX DE RÉSILIENCE À ÉVALUER (NIVEAUX 2 & 3)
Niveau Thème d’analyse Référence au guide ANSSI Intégration dans le scénario final
Stimuli proposés Attendus de la part des opérateurs / joueurs

Niveau 2 Cf. niveau 1 9 - Piloter son dispositif de • Demande d’état du SI • Capacité à s’appuyer sur une cartographie du SI
Cartographie des crise • Capacité à s’appuyer sur une cartographie des actifs
systèmes impactés sensibles

Impliquer un acteur PRIS 11 - Activer ses réseaux de • Demande du management de réaliser des investigations • Contractualisation avec un acteur PRIS
soutien • Réaliser un point de situation incluant la liste des actions • Capacité à préparer l’intervention du partenaire
constatées et réalisées à destination d’un prestataire
PRIS

Cartographie des 13 - Conduire • Demande de l’étendue des impacts, des points d’entrée • Identification du périmètre de compromission
impacts l’investigation numérique • Demande des principales actions de l’attaquant • Recherche des vecteurs potentiels d’infection
• Documentation des actions de l’attaquant

Plan d'actions 13 - Conduire • Demande des opérationnels d’un plan d’action de • Comprendre l’étendue et le chemin de la compromission
d’endiguement l’investigation numérique défense • Prioriser les actions de remédiation par un plan de
et d’endiguement défense

Maitrise des tiers 12 - Communiquer • Demande d’un ou plusieurs tiers concernant • Rassurer ses parties prenantes
efficacement la compromission de leur données / accès et/ou métiers • Dresser et schématiser le périmètre de la compromission

Restauration de 14 - Mettre en place un
sauvegarde / continuité mode de fonctionnement
métier dégradé pour les métiers
impactés
• Nécessité d’avoir accès aux sauvegardes
• Nécessité d’assurer les fonctions essentielles liées aux
JO (assurer les épreuves, assurer la sécurité des
athlètes et des spectateurs, assurer la couverture
médiatique de l’évènement, etc.)
• Définir et soutenir les modes d’utilisation des solutions
de contournement
• Communiquer en interne sur les solutions de
contournement choisies

Communiquer vers les 11 - Activer ses réseaux de • Demande de déclaration auprès des autorités • Déclarer son incident auprès des autorités compétentes
autorités de tutelle soutien compétentes (Stimuli balais uniquement) (ANSSI, CNIL, autorités judiciaires)
• Dépôt de plainte

TLP-AMBER 15
 ENJEUX DE RÉSILIENCE À ÉVALUER (NIVEAU 3)

Niveau Thème d’analyse Référence au guide ANSSI Intégration dans le scénario final

Stimuli proposés Attendus de la part des opérateurs / joueurs

Niveau 3 Formaliser un plan 16 - Préparer et industrialiser • Demande de stratégie opérationnelle de reconstruction • Construire une stratégie de reconstruction
d’action reconstruction la reconstruction • Processus de restauration des sauvegardes • Stratégie de restauration des données par des sauvegardes
• Demande de calendrier prévisionnel de réouverture des saines
services (avec un arbitrage coût à proposer) • Dresser un calendrier prévisionnel réaliste pour la
réouverture des applications métiers

Interactions en multi- 10 - Soutenir ses équipes de • Demande de point de situation inter-cellules par la DG • Bien dissocier la cellule stratégique, la cellule opérationnelle
cellules (cellules gestion de crise • Demande d’identification des obligations auprès des et la cellule de communication
stratégiques / partenaires, clients et fournisseurs qui ne pourront pas être • Création « d’équipes-projet » afin de répartir les sujets
opérationnelle, multisite respectées • Qualité d’échange des informations entre chaque cellule
• Prévoir le roulement des équipes, anticiper l’augmentation • Mobilisation des équipes juridiques
du nombre d’heures des collaborateurs concernés, effectuer • Support RH à prévoir
le suivi RH des prestataires mobilisés, etc.

Investigation 13 - Conduire l’investigation • Cf. Cartographie des impacts (niveau 2) • Poursuivre la stratégie d’investigation (en lien avec le PRIS)
numérique • Organiser la suite des investigations sur l’étendue
des compromissions

Plan d’amélioration 15 - Durcir et remédier
de sécurité numérique 18 - Tirer les leçons de la
crise
• Orienter les participants vers la révision des pratiques
d’administration et de gestion du SI
• Orienter les participants vers une réflexion autour de leur
gestion des sauvegardes
• Orienter les participants vers l’adaptation du PCA/PRA
• Orienter les participants vers une meilleure surveillance du
SI
• Protéger le SI de nouvelles attaques
• Reprendre le contrôle des systèmes et durcir pour empêcher
de nouvelles compromissions
• Commencer à construire un plan d’actions d’amélioration
du niveau de sécurité SI
• Réflexion autour de la surveillance des systèmes

TLP-AMBER 16
3. SYNTHÈSE DES RÉSULTATS DE
L’EXERCICE
SYNTHÈSE GLOBALE DE L’EXERCICE

Points forts Axes d’amélioration

[à compléter] [à compléter]

TLP-AMBER 18
FAITS MARQUANTS

[à compléter] [à compléter] [à compléter]

[à compléter] [à compléter] [à compléter]

TLP-AMBER 19
4. RÉSULTATS DÉTAILLÉES
 RÉSULTATS DÉTAILLÉS : JOUEUR
Cellule de crise décisionnelle
Point de vue joueur

Thème Points forts Points à améliorer

Exercice et ingénierie d’exercice

Gouvernance et interactions entre

équipes mobilisées

Processus et outillage

[à compléter] Communication de crise et relations

externes

Détection et réponse à incidents

Continuité d’activité et reconstruction

TLP-AMBER 21
 RÉSULTATS DÉTAILLÉS : JOUEUR
Cellule de crise opérationnelle
Point de vue joueur

Thème Points forts Points à améliorer

Exercice et ingénierie d’exercice

Gouvernance et interactions entre

équipes mobilisées

Processus et outillage

[à compléter] Communication de crise et relations

externes

Détection et réponse à incidents

Continuité d’activité et reconstruction

TLP-AMBER 22
 RÉSULTATS DÉTAILLÉS : ANIMATEUR
Cellule d’animation
Point de vue animateur

Thème Points forts Points à améliorer

Exercice et ingénierie d’exercice

Gouvernance et interactions entre

équipes mobilisées

Processus et outillage

[à compléter] Communication de crise et relations

externes

Détection et réponse à incidents

Continuité d’activité et reconstruction

TLP-AMBER 23
 RÉSULTATS DÉTAILLÉS : OBSERVATEUR
Cellule de crise décisionnelle
Point de vue observateur

Thème Points forts Points à améliorer

Exercice et ingénierie d’exercice

Gouvernance et interactions entre

équipes mobilisées

Processus et outillage

[à compléter] Communication de crise et relations

externes

Détection et réponse à incidents

Continuité d’activité et reconstruction

TLP-AMBER 24
 RÉSULTATS DÉTAILLÉS : OBSERVATEUR
Cellule de crise opérationnelle
Point de vue observateur

Thème Points forts Points à améliorer

Exercice et ingénierie d’exercice

Gouvernance et interactions entre

équipes mobilisées

Processus et outillage

[à compléter] Communication de crise et relations

externes

Détection et réponse à incidents

Continuité d’activité et reconstruction

TLP-AMBER 25
 RÉSULTATS DÉTAILLÉS : OBSERVATEUR
Cellule d’animation
Point de vue observateur

Thème Points forts Points à améliorer

Exercice et ingénierie d’exercice

Gouvernance et interactions entre

équipes mobilisées

Processus et outillage

[à compléter] Communication de crise et relations

externes

Détection et réponse à incidents

Continuité d’activité et reconstruction

TLP-AMBER 26
5. ÉLABORATION D’UN PLAN D’ACTION
 ÉLABORATION D’UN PLAN D’ACTION
[à compléter]

Axe d’amélioration identifié Proposition de mesure d’amélioration Délai de mise en place

TLP-AMBER 28
MERCI DE VOTRE PARTICIPATION!

29