JO 2024 : un kit ANSSI pour la gestion de crise cyber

Clément Bohic,
Linkedin
ANSSI kit exercices JOP 2024

Dans la lignée de son panorama de la menace cyber pour les JO 2024, l’ANSSI publie un kit d’exercices de gestion de crise.

Messagerie inaccessible au sein du service de l’état civil, logiciel de gestion des collectes d’ordures indisponible, vol de données personnelles d’administrés… Autant d’éléments de scénario que l’ANSSI déroule dans un de ses kits d’exercices de gestion de crise cyber. En l’occurrence, celui à destination des collectivités territoriales.

Publié début novembre, ce kit n’est désormais plus seul. La semaine dernière, l’agence en avait ajouté un ciblant l’enseignement supérieur. Cette fois, elle en dégaine un multisectoriel. Thème : les JO 2024. Il vise quatre typologies d’acteurs :

– Territoires hôtes
– Pouvoirs publics et organisateurs
– Sites de compétition
– Fournisseurs de services

Sur le même principe qu’avec les autres kits, les exercices diffèrent selon le niveau de maturité. Au premier niveau, on réalise un exercice sur table. Au deuxième, une simulation de base. Et au troisième, une simulation « avancée » impliquant une mise en situation sur plusieurs jours – touchant donc aux mesures de reconstruction comme à la relation avec l’écosystème.

La compromission de VPN envisagée à partir du niveau 2

Au-delà de la temporalité, le niveau des exercices définit aussi la complexité des attaques. À partir du niveau 2 :

– Leur auteur peut être un acteur de la menace étatique (cela complète les options du niveau 1 : crime organisé et hacktivisme/opportunisme).

– L’intrusion peut être liée à la compromission d’un VPN sans authentification renforcée (en plus du phishing, des 0-day et des clés USB piégées).

– Il peut y avoir une prise de contrôle d’un poste admin (en plus de la reconnaissance sur les réseaux bureautiques et de la latéralisation vers les réseaux admin ou applicatifs).

Les impacts d’intégrité, spécifiques au niveau 3

Parmi les spécificités du niveau 3 :

– Possibilité de reconnaissance externe avancée (= pas seulement sur sources ouvertes)

– Corruption éventuelle d’un prestataire ou d’un collaborateur

– Risque de sabotage d’un actif critique, par destruction ou modification de long terme (en plus du déploiement d’un ransomware, de la création d’un canal d’exfiltration et d’un DDoS)

– Possibles impacts d’intégrité (en plus des impacts de confidentialité et de disponibilité)

Peu importe le niveau et le type d’acteur des JO 2024, l’exercice commence par la panne d’une application critique, suivie d’alertes du SIEM/SOC et d’un journal spécialisé. La nature de l’application, en revanche, varie : systèmes de voirie pour les territoires hôtes, outil RH pour un organisateur, poste de commande pour un site de compétition, etc.

À consulter en complément, notre article « À quelle météo cyber s’attendre pour les JO 2024 ? » Le sujet : un état de la menace cyber nourri de références à des incidents survenus lors d’éditions précédentes.

Illustration © Tof – Photographie