Messagerie inaccessible au sein du service de l’état civil, logiciel de gestion des collectes d’ordures indisponible, vol de données personnelles d’administrés… Autant d’éléments de scénario que l’ANSSI déroule dans un de ses kits d’exercices de gestion de crise cyber. En l’occurrence, celui à destination des collectivités territoriales.
Publié début novembre, ce kit n’est désormais plus seul. La semaine dernière, l’agence en avait ajouté un ciblant l’enseignement supérieur. Cette fois, elle en dégaine un multisectoriel. Thème : les JO 2024. Il vise quatre typologies d’acteurs :
– Territoires hôtes
– Pouvoirs publics et organisateurs
– Sites de compétition
– Fournisseurs de services
Sur le même principe qu’avec les autres kits, les exercices diffèrent selon le niveau de maturité. Au premier niveau, on réalise un exercice sur table. Au deuxième, une simulation de base. Et au troisième, une simulation « avancée » impliquant une mise en situation sur plusieurs jours – touchant donc aux mesures de reconstruction comme à la relation avec l’écosystème.
Au-delà de la temporalité, le niveau des exercices définit aussi la complexité des attaques. À partir du niveau 2 :
– Leur auteur peut être un acteur de la menace étatique (cela complète les options du niveau 1 : crime organisé et hacktivisme/opportunisme).
– L’intrusion peut être liée à la compromission d’un VPN sans authentification renforcée (en plus du phishing, des 0-day et des clés USB piégées).
– Il peut y avoir une prise de contrôle d’un poste admin (en plus de la reconnaissance sur les réseaux bureautiques et de la latéralisation vers les réseaux admin ou applicatifs).
Parmi les spécificités du niveau 3 :
– Possibilité de reconnaissance externe avancée (= pas seulement sur sources ouvertes)
– Corruption éventuelle d’un prestataire ou d’un collaborateur
– Risque de sabotage d’un actif critique, par destruction ou modification de long terme (en plus du déploiement d’un ransomware, de la création d’un canal d’exfiltration et d’un DDoS)
– Possibles impacts d’intégrité (en plus des impacts de confidentialité et de disponibilité)
Peu importe le niveau et le type d’acteur des JO 2024, l’exercice commence par la panne d’une application critique, suivie d’alertes du SIEM/SOC et d’un journal spécialisé. La nature de l’application, en revanche, varie : systèmes de voirie pour les territoires hôtes, outil RH pour un organisateur, poste de commande pour un site de compétition, etc.
À consulter en complément, notre article « À quelle météo cyber s’attendre pour les JO 2024 ? » Le sujet : un état de la menace cyber nourri de références à des incidents survenus lors d’éditions précédentes.
Illustration © Tof – Photographie
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…
Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…
De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…
Sous la bannière SpreadSheetLLM, Microsoft propose un framework destiné à optimiser le traitement des feuilles…
Selon le magazine Wired, AT&T aurait payé près de 400 000 $ à un pirate…