Messagerie inaccessible au sein du service de l’état civil, logiciel de gestion des collectes d’ordures indisponible, vol de données personnelles d’administrés… Autant d’éléments de scénario que l’ANSSI déroule dans un de ses kits d’exercices de gestion de crise cyber. En l’occurrence, celui à destination des collectivités territoriales.
Publié début novembre, ce kit n’est désormais plus seul. La semaine dernière, l’agence en avait ajouté un ciblant l’enseignement supérieur. Cette fois, elle en dégaine un multisectoriel. Thème : les JO 2024. Il vise quatre typologies d’acteurs :
– Territoires hôtes
– Pouvoirs publics et organisateurs
– Sites de compétition
– Fournisseurs de services
Sur le même principe qu’avec les autres kits, les exercices diffèrent selon le niveau de maturité. Au premier niveau, on réalise un exercice sur table. Au deuxième, une simulation de base. Et au troisième, une simulation « avancée » impliquant une mise en situation sur plusieurs jours – touchant donc aux mesures de reconstruction comme à la relation avec l’écosystème.
Au-delà de la temporalité, le niveau des exercices définit aussi la complexité des attaques. À partir du niveau 2 :
– Leur auteur peut être un acteur de la menace étatique (cela complète les options du niveau 1 : crime organisé et hacktivisme/opportunisme).
– L’intrusion peut être liée à la compromission d’un VPN sans authentification renforcée (en plus du phishing, des 0-day et des clés USB piégées).
– Il peut y avoir une prise de contrôle d’un poste admin (en plus de la reconnaissance sur les réseaux bureautiques et de la latéralisation vers les réseaux admin ou applicatifs).
Parmi les spécificités du niveau 3 :
– Possibilité de reconnaissance externe avancée (= pas seulement sur sources ouvertes)
– Corruption éventuelle d’un prestataire ou d’un collaborateur
– Risque de sabotage d’un actif critique, par destruction ou modification de long terme (en plus du déploiement d’un ransomware, de la création d’un canal d’exfiltration et d’un DDoS)
– Possibles impacts d’intégrité (en plus des impacts de confidentialité et de disponibilité)
Peu importe le niveau et le type d’acteur des JO 2024, l’exercice commence par la panne d’une application critique, suivie d’alertes du SIEM/SOC et d’un journal spécialisé. La nature de l’application, en revanche, varie : systèmes de voirie pour les territoires hôtes, outil RH pour un organisateur, poste de commande pour un site de compétition, etc.
À consulter en complément, notre article « À quelle météo cyber s’attendre pour les JO 2024 ? » Le sujet : un état de la menace cyber nourri de références à des incidents survenus lors d’éditions précédentes.
Illustration © Tof – Photographie
Comment gérer les données numériques après la mort de son détenteur ? La jeune pousse…
Ivès, expert en accessibilité de la surdité, s’est associé à Sopra Steria et à IBM…
L'Autorité de la concurrence et des marchés (CMA) a lancé la phase de recherche de…
Broadcom remplace pas moins de 168 logiciels VMware par deux grandes licences de location correspondant…
La banque d’investissement utilise l'IA pour proposer des stratégies individualisées, en termes de rendement et…
OVHCloud partage ses efforts environnementaux au sommet de l’Open Compute Project qui se tient à…