Au FIC, nous avons vécu la gestion en temps réel d'une attaque par ransomware contre un opérateur télécom, dans un exercice de crise passionnant organisé par Alcyconie.

La simulation de crise cyber devient indispensable pour toute entreprise aujourd'hui. © DC Studio / Shutterstock
La simulation de crise cyber devient indispensable pour toute entreprise aujourd'hui. © DC Studio / Shutterstock

Cyberattaque par ransomware, décisions sous pression et communication de crise. Mercredi 2 avril au FIC, sur invitation d'Alcyconie, une entreprise française spécialisée dans la gestion de crise cyber, j'ai assisté, et c'est extrêmement rare pour un média, à un exercice en version accélérée (1h30) simulant la compromission de « Connectis », un grand opérateur de télécommunications français et européen totalement fictif, auquel des experts cyber eux bien réels ont pu prendre part.

L'objectif ? Plonger les participants dans les mécanismes d'une cellule de crise confrontée à un ransomware (ou rançongiciel en français), alors que la directive NIS2, plus contraignante pour les entreprises, vient d'entrer en application. Vous ne verrez que peu d'images de cet exercice, sachez que c'est volontaire. J'essaie de protéger le travail d'Alcyconie, ainsi que les participants à l'exercice, dont certains étaient des RSSI, des juristes et autres.

Tout est pensé pour soigner la simulation de la cyberattaque, jusqu'à l'environnement applicatif

Nous sommes en tout début d'après-midi, tout le monde s'installe. Sur ma table, j'ai à ma droite le scénariste d'une célèbre série française, venu en fin curieux. En face, un représentant du Campus Cyber, et non loin de là, un enquêteur du parquet J3, la section de lutte contre la cybercriminalité du parquet de Paris. Puis à ma gauche se trouve Stéphanie Ledoux, la fondatrice d'Alcyconie, qui accueille les participants micro à la main et explique ce qu'elle attend des « joueurs » de cette simulation.

« La crise, pour beaucoup, c'est je remonte les manches et je mets les mains dans le cambouis. Ce qu'on attend des cellules stratégiques, c'est de prendre les décisions. » Chaque participant reçoit une carte avec son rôle (RSSI, DRH, directeur juridique, DSI, communicant et autres), et ses identifiants pour accéder à la simulation.

Quelques-uns des rôles joués par les participants : les noms, eux, sont bien fictifs. © Alexandre Boero / Clubic
Quelques-uns des rôles joués par les participants : les noms, eux, sont bien fictifs. © Alexandre Boero / Clubic

La mise en scène est soignée. Sur chacune des quatre tables remplies d'experts, deux téléphones portables sonnent en permanence, ce qui crée une ambiance tendue. Personne ne pense d'ailleurs à couper la sonnerie dans les premières minutes.

Aspect très sympa, l'environnement applicatif de la simulation reproduit fidèlement celui de notre vie de tous les jours. On retrouve « Emails », « Pims » (l'équivalent de Teams), les réseaux sociaux « Y » (pour X) et « Instagrum » (vous l'avez, celui-ci), en plus du fil d'actualités mélangeant vrais articles et contenus fictifs liés à l'attaque. L'application « Documents » est aussi créée, tout comme l'« Annuaire », une obligation de NIS2 pour les contacts de crise ; et « Main Courante ». Cette dernière est l'équivalent du journal de bord, le lieu où on trace tout ce qui se passe dans l'événement.

La première phase, celle des premières pannes et des premiers signalements

14h15 : Dans notre scénario, les participants découvrent que le logiciel métier central de Connectis est paralysé depuis plus d'une heure. Il affecte à ce stade la gestion des abonnements clients, et la facturation. « En crise cyber, la prise de décision est d'une rare complexité. On vous demande de décider face à une situation que votre cerveau a du mal à intégrer, dans un délai hyper serré et sans éléments concrets », explique Stéphanie Ledoux.

À 15h12 arrive le message « htf-t », reçu par les équipes de Connectis. La tension monte d'un cran. Les joueurs multiplient les échanges sur les différents canaux et vérifient un peu nerveusement les réseaux sociaux simulés, à la recherche d'indices.

Et effectivement, sur la plateforme Y, des signalements arrivent, comme c'est le cas régulièrement lorsqu'une entreprise dit subir une panne. De vrais-faux internautes se plaignent sur Y de ne plus pouvoir accéder à leurs services Connectis, ce qui va compter pour la suite.

Face au ransomware, la pression monte dans la cellule de crise

À 15h26 tombe une bombe informationnelle. Une note de rançon du groupe Medusa (qui existe réellement) arrive par e-mail et en PDF chez Connectis. « Les cybercriminels disent être de bonne foi et redonner les données à l'entreprise » commente Stéphanie Ledoux. « Ils ont adopté les codes du marketing et donne même des garanties en cas de paiement. » Je suis frappé par le professionnalisme et le réalisme de la note des hackers, loin de l'image des fameux écrans noirs avec une tête de mort souvent véhiculée.

Sur la note, le groupe de cybercriminels indique avoir pénétré le réseau de l’opérateur et copié les données. Il dit aussi avoir chiffré celles-ci.

Il est 15h27, celle de la première décision critique : la coupure réseau est décidée pour contenir l'attaque. Une décision lourde pour un opérateur télécom. Les visages se crispent et les discussions s'intensifient. « Dans une vraie crise, si quelqu'un cherche à vous joindre et que ça ne passe pas par la porte, il passera par la fenêtre », ajoute Stéphanie Ledoux, pour nourrir un peu plus la tension du moment.

Les participants étaient répartis entre quatre groupes distincts. © Alexandre Boero / Clubic

De mon poste d'observation, je vois les participants se démener, avec des sourires qui laissent place à la concentration. Un RSSI tente frénétiquement de joindre ses équipes techniques, pendant qu'un directeur juridique consulte le formulaire de déclaration à la CNEL, l'équivalent fictif de la CNIL, le gendarme des données. Sur un écran, un article de presse fictif annonce déjà la cyberattaque, avec des détails inquiétants.

À 15h35, le service juridique envoie un lien pour déclarer l'incident à la CNEL. Certains DPO (les délégués à la protection des données) hésitent, peu familiers avec ce formulaire. « Les entreprises ont souvent peur de déclarer aux autorités, alors que c'est dans leur intérêt », me glisse Stéphanie.

Les nouvelles obligations légales entrent en scène

Rappelons que cette simulation s'inscrit dans le contexte de la directive NIS2, cadre réglementaire majeur pour la cybersécurité. « Demain, les organisations devront disposer de dispositifs de gestion de crise et d'une politique transverse », détaille Ryan Le Calloch, juriste chez Alcyconie. « Il faudra identifier qui doit être autour de la table, réaliser des fiches réflexes, créer un annuaire de crise. »

Mais retour à notre simulation. À 15h40, l'appel à l'ANSSI, l'agence française cyber, est effectué. La « main courante » (journal de bord) est finalement activée, mais tardivement. « Dans 60 à 70% des cas, personne n'y pense spontanément » observe la fondatrice d'Alcyconie. Cette documentation devient pourtant cruciale pour les assurances et les procédures judiciaires.

L'exercice permet d'expérimenter ces nouvelles obligations : on a le formulaire de déclaration à la CNEL (CNIL), la notification rapide, la documentation méticuleuse. « Dans certains exercices, nous faisons même venir des gendarmes en uniforme pour que les directeurs juridiques s'entraînent à déposer plainte », ajoute Stéphanie Ledoux. Une dimension essentielle quand on sait que sans dépôt de plainte, les assurances ne peuvent généralement pas être déclenchées.

Les réactions humaines face à la crise, qui prend fin

Il est 15h50, et la DRH de Connectis décide de communiquer aux salariés. « En raison d'un incident, nous devons couper les accès à notre système informatique. Basculez sur réseau mobile pour fonctionner en mode dégradé ». Le terme « incident » plutôt que « cyberattaque » fait débat chez moi. Je note que même dans ces simulations, les entreprises rechignent à utiliser des termes directs. Sans doute pour ne pas renforcer l'état de panique inconscient de la situation.

Ce qui étonne aussi pendant l'exercice, c'est le comportement sous pression des participants. Certains deviennent hyper-actifs, d'autres se figent. « Dans une crise réelle, nous avons vu un DAF (directeur administratif et financier) qui, pendant que tout s'effondrait, s'est mis à valider les congés de son équipe. C'était sa façon de rester dans sa zone de confort », raconte Stéphanie Ledoux.

Des profils sont-ils plus en difficulté dans une situation de crise ? « Oui, les juristes, à qui on demande de raisonner très vite sur une matière qui n'est souvent pas la leur, et les communicants, qui doivent formuler des messages techniquement justes et compréhensibles », observe la fondatrice d'Alcyconie.

En fin d'exercice, après la sortie assez brillante d'un communiqué de presse fictif en à peine une heure, un participant se confie : « On part avec très peu d'infos. C'est très dur de se dire qu'on est en crise mais qu'on n'a aucune info pour raconter ». Une leçon essentielle selon Stéphanie Ledoux : « Vitesse ne veut pas dire précipitation. Être réactif ne signifie pas prendre des décisions à la hâte sans analyser la situation ».

Nous n'aurons pas de meilleure conclusion. J'espère que vous aurez aimé le partage de cette belle expérience cyber, presque de vie, je dirais.