Le Campus Cyber, cet autre vecteur de ressources communautaires

L'heure d'orchestrer une livraison groupée ? C'est en tout cas ce que l'ANSSI a fait au nom du groupe de travail "Crise cyber et entraînement".

Voilà deux ans que l'agence a instancié, au sein du Campus Cyber, cette "communauté d'intérêt" qui fédère essentiellement des associations professionnelles. Nommément :

• AMRAE (Association pour le management des risques et des assurances de l'entreprise)
• CCA (Club de la continuité d'activité)
• CDSE (Club des directeurs de sécurité des entreprises)
• CESIN (Club des experts de la sécurité de l'information et du numérique)
• Clusif (Club de la sécurité de l'information français)

L'outillage attendra

À la naissance de cette initiative, l'ANSSI disposait déjà d'un corpus sur la crise cyber. Avec principalement trois guides : organisation d'exercices (réalisé avec le CCA), communication (avec la coopérative Cap'Com) et gestion (avec le CDSE). L'idée était d'accompagner ces documents d'éléments "plus opérationnels". En particulier, de l'outillage pour l'évaluation de maturité. En la matière, il s'agissait à la fois de recenser l'existant et de développer des services (autoévaluation, alerte et pilotage).

Aux dernières nouvelles, le groupe de travail n'a publié aucun livrable sur ce volet... au contraire de l'ANSSI. Celle-ci a effectivement transposé son guide réalisé avec le CDSE en un outil d'autoévaluation de maturité de type feuille de calcul. C'était à l'été 2023.

Quelques semaines plus tard, l'ANSSI avait ajouté à son catalogue de ressources des exercices de gestion de crise cyber à l'adresse de différents secteurs. À commencer par les collectivités locales et les établissements d'enseignement supérieur.

Non que les travaux du GDT "Crise cyber et entraînement" n'aient pas avancé sur ce point, mais ils ont eu moins de visibilité. Cela faisait néanmoins partie de la stratégie : d'abord des publications individuelles sur le wiki du Campus Cyber, puis une publication unique... à terme.

Des exercices par typologie d'attaque

Cette publication unique, désormais effectuée (dans une première incarnation, en tout cas), comprend des exercices axés non pas sur des secteurs, mais sur des typologies d'attaques. En l'occurrence, DDoS, défacement, exfiltration, ransomware, supply chain et systèmes industriels. Le tout assorti d'une méthodologie pour le développement d'une stratégie d'entraînement.

Le GDT avait aussi pour objectif de créer des éléments de doctrine. Pour le moment, il a élaboré trois fiches, relatives aux enjeux du cloud et de la supply chain ainsi qu'aux rôles et fonctions en crise. Il en a trois autres sur sa feuille de route (communication technique, anticipation & CTI, seuils et alerte). Laquelle contient aussi un kit de construction PCA/PRA et une formation type pour l'enseignement supérieur.

Des livrables, il en reste également à produire sur la partie entraînement. Parmi eux, des fiches dédiées au retour d'expérience et aux scénarios de référence à tester.

D'autres communautés d'intérêt évoluent au sein du Campus Cyber. Elles se consacrent entre autres à :

• Cryptoactifs (réalisation d'un panorama des attaques, application de la méthodologie de cible d'évaluation de sécurité aux smart contracts et aux noeuds Ethereum, etc.)
• Cybersécurité agile (élaboration d'un schéma de cycle de vie de développement logiciel sécurisé, évaluation de l'intérêt des security champions, etc.)
• Drones et robots (authentification dans les essaims, repérage de drone anti-ennemi, etc.)
• Formation (élaboration de matrices de compétences des métiers de la cybersécurité et des métiers connexes, écriture d'un synopsis de minisérie pour la sensibilisation aux risques cyber, etc.)
• Sécurisation du cloud (gouvernance des configurations dans le cloud public, chiffrement des données, etc.)

Illustration via Adobe Stock