Dots
Dots
Gartner Report
/ news / CYBERSÉCURITÉ_:_SIMULATION_DE_PROCESSUS_CRITIQUES

Cybersécurité : simulation de processus critiques

Published on April 16, 2025

Introduction

Chaque année, le Forum économique mondial (WEF) élabore un rapport (World Economic Forum Global Risk Report) sur les risques auxquels le monde des affaires est exposé ; ceux-ci incluent également des risques liés à la cybersécurité. En particulier, l’un des risques les plus élevés, tant en termes de probabilité que d’impact, a des conséquences sur la continuité des activités des entreprises : il s’agit d’attaques cybernétiques.

Évaluation des risques

L’évaluation du WEF est influencée par plusieurs facteurs : en ce qui concerne l’impact économique d’une attaque, celui-ci varie selon les secteurs, avec un minimum de 2 millions de dollars pour le secteur public et plus de 9 millions pour le secteur de la santé (IBM Security Report). Ces chiffres représentent le coût moyen que diverses entreprises engagent pour gérer des attaques cybernétiques.

Quant à la probabilité, celle-ci est sujette à de nombreux facteurs. Tout d’abord, la grande disponibilité d’outils et de services de piratage et d’attaque, accessibles en ligne, parfois gratuitement, élargit le champ d’action des cybercriminels, en touchant même des segments de la population aux compétences techniques moyennes. De plus, il existe de réelles entreprises créées dans le but d’attaquer et de compromettre divers secteurs à l’échelle mondiale, avec pour objectif principal le profit. En effet, le chiffre d’affaires de ces organisations criminelles est exorbitant (des millions et des millions de dollars), constamment en hausse et avec des retours sur investissement impressionnants.

Outre les attaques intentionnelles, un autre risque majeur pour la continuité du business provient d’événements naturels ainsi que d’actions malveillantes ou accidentelles de la part du personnel interne.

Tous ces événements présentent le caractère de potentiellement mettre en péril la poursuite de l’activité de l’entreprise, en y ajoutant les énormes coûts de gestion et de remédiation du sinistre, coûts qui ne se limitent pas aux pertes d’exploitation mais englobent également le rétablissement des systèmes, les actions juridiques, les pénalités, les atteintes à l’image, etc.

Gestion des risques

Dans ce contexte, il est fondamental pour chaque entreprise d’être préparée et apte à gérer les situations de crise.

La préparation débute par les aspects formels, incluant des plans de continuité d’activité et de reprise après sinistre formalisés et régulièrement mis à jour, définis en fonction des besoins réels de l’entreprise.

Cependant, la capacité à gérer une catastrophe repose également sur les compétences (la connaissance des procédures) et la mise en pratique (tests et simulations de gestion d’urgences), ces deux éléments se renforçant mutuellement dans un cercle vertueux centré sur l’exécution concrète des procédures.

Or, la plupart des entreprises se concentrent souvent sur le test des aspects techniques des procédures, comme vérifier que la séquence de redémarrage des systèmes fonctionne correctement ou que la récupération des systèmes et des applications est opérationnelle.

Bien que ces vérifications soient essentielles, une partie des procédures est rarement testée, alors même qu’elle revêt une importance tout aussi grande ; il s’agit ici des aspects organisationnels et décisionnels, à savoir la vérification de la connaissance des processus de gestion de la continuité, la capacité à prendre des décisions conformes aux procédures en situation de stress, et la gestion des communications avec des organismes externes (presse/médias, clients, fournisseurs, forces de l’ordre, autorités de régulation, etc.).

Pour répondre à cette problématique, nous proposons à nos clients une solution innovante reposant sur une plateforme de simulation immersive, nommée Cyber Jumanji.

Cyber Jumanji permet de simuler de façon réaliste n’importe quelle situation de crise afin de

  1. vérifier l’exhaustivité et la justesse des procédures ;
  2. évaluer la connaissance des procédures par les différents rôles impliqués ;
  3. former les équipes de gestion de crise à prendre en charge des situations défavorables.

Cyber Jumanji est une plateforme simple et intuitive, accessible entièrement en ligne, permettant à tous les participants de réaliser leurs missions depuis leur bureau ou depuis tout endroit disposant d’un navigateur.

Cyber Jumanji offre la simulation d’une situation de crise dans laquelle chaque composante et/ou équipe impliquée participe à un jeu de rôle, pouvant incarner leur rôle professionnel ou un autre rôle attribué lors de la phase de configuration (par exemple, clients, concurrents, parties prenantes, autorités, autres rôles internes, etc.) dans le but de résoudre de manière collaborative des défis stratégiques.

Comme dans la réalité, tous les participants agissent simultanément et de façon concurrente, sans avoir l’ensemble des informations nécessaires pour comprendre pleinement ce qui se passe et pour gérer des facteurs externes habituellement hors de leur contrôle.

C’est uniquement à la fin d’un cycle de simulation que chaque membre pourra évaluer et mesurer l’impact combiné de ses décisions et actions avec celles des autres participants.

Comment fonctionne Cyber Jumanji ? Il se compose de trois éléments principaux :

  1. Le configurateur de la procédure à simuler : cette activité est assurée par l’équipe de consultants de Neverhack, selon des accords avec le client, dans le but de définir la procédure à tester et les caractéristiques spécifiques du scénario de test (par exemple, l’activation d’un plan de reprise après sinistre pouvant être déclenchée par un incendie, un tremblement de terre, une inondation, etc. – des situations différentes nécessitant une gestion spécifique mais menant à l’activation du même plan) ;
  2. Le Simulateur : il s’agit du composant qui gère concrètement la simulation ; chaque participant doit se connecter au système et réagir aux inputs proposés en fonction de son rôle, de ses compétences et de sa connaissance de la procédure mise en place par l’entreprise ;
  3. Les Analytics : utilisé par l’équipe de Neverhack, ce composant recueille les données de la simulation et les présente sous forme de graphiques divers, mettant en lumière les points forts et les faiblesses détectés. Ces éléments identifiés sont ensuite interprétés et partagés à la fois avec l’équipe participant à la simulation et avec le client, selon leurs intérêts respectifs.

Durant la simulation, la plateforme confronte les participants à des situations à gérer et/ou à des événements imprévus, comme c’est souvent le cas dans la réalité en période de crise, afin d’évaluer l’adéquation de la procédure, la réactivité des équipes et leur capacité à gérer des situations stressantes.

De surcroît, il est possible de soumettre des questionnaires ou des demandes d’analyse et de décision qui révèlent le niveau de connaissance et de maîtrise de la situation d’urgence ainsi que la capacité à réaliser des analyses précises pour trouver des solutions face à des situations inattendues.

La possibilité de simuler la présence de rôles habituellement non impliqués dans les tests de continuité (tels que journalistes, forces de l’ordre, autorités de régulation et la direction générale) permet de générer des situations génératrices de pression et de stress, à l’image de ce qui se passe dans la réalité. Cette caractéristique confère à la simulation un haut degré de réalisme.

Les rôles prévus

La simulation implique la participation de trois rôles, décrits ci-dessous :

  1. Rôles actifs : ces rôles participent activement à la simulation, chargés d’analyser les situations, de prendre des décisions, d’interagir entre eux et avec des rôles représentés. Chaque rôle actif correspond à une fonction de la procédure, pouvant être assuré par la personne qui occupe réellement ce poste dans l’entreprise ou par une autre personne. À chaque rôle actif sont attribuées des identifiants de connexion pour accéder à la simulation, et le profil associé correspond au rôle à jouer.
  2. Rôles représentés : ces rôles, indispensables à la bonne exécution de la procédure, ne peuvent pas être occupés par une personne réelle. Par exemple, il s’agit généralement de la presse, des forces de l’ordre, des autorités de régulation (Banca d’Italia, IVASS, etc.), ou encore de hauts responsables qui ne peuvent être impliqués dans l’activité. La gestion des rôles représentés est assurée par le responsable de la simulation.
  3. Responsable de la simulation : ce rôle opérationnel gère l’ensemble du processus de simulation. Il envoie les communications initiales et finales, interprète les rôles représentés, et déclenche ainsi que gère les éléments relatifs aux situations stressantes. Ce rôle est assuré par le personnel de l’équipe Neverhack.

Objectifs et Résultats

Indépendamment de l’intérêt spécifique d’un scénario isolé, la conduite d’une simulation de crise permet d’obtenir des informations précieuses quant à la solidité, à l’exhaustivité et à la pertinence de la procédure simulée, ainsi qu’à la maîtrise qu’en possède l’équipe.

Par ailleurs, les participants développent des compétences, une capacité de réaction et des connaissances essentielles à l’atteinte des objectifs, éléments difficiles à acquérir par des méthodes plus conventionnelles.

À l’issue de la simulation, un rapport d’analyse est rédigé portant sur :

  1. l’évaluation de l’exhaustivité et de la justesse de la procédure simulée ;
  2. l’appréciation de la connaissance et du respect des procédures par l’équipe impliquée.

En complément de l’exercice, la simulation donne lieu à la rédaction d’un rapport qui décrit fidèlement les caractéristiques de la simulation et les résultats obtenus. L’analyse s’appuie sur les observations effectuées pendant la simulation ainsi que sur les rapports générés par Cyber Jumanji, lesquels mettent en évidence de manière objective les difficultés rencontrées.

Ce rapport est ensuite accompagné d’une proposition de plan de remédiation destiné à pallier les problèmes identifiés.

Simulation

La simulation s’appuie sur des politiques et procédures opérationnelles définies ; à défaut, il est indispensable de disposer au moins d’une description verbale du modus operandi en cas d’urgence.

Par la suite, il convient de définir précisément le scénario à simuler, par exemple : une attaque par ransomware sur le PC d’un employé, une attaque par DDoS sur un site web, un tremblement de terre empêchant l’accès à un bâtiment ou un bureau, etc., en précisant les participants réels et représentés. Il est conseillé de ne pas divulguer le scénario aux participants afin de préserver l’effet de surprise, similaire à celui de la réalité.

Les simulations durent en moyenne de 2 à 3 heures, correspondant au degré d’engagement requis de la part des participants.

You can also read

All the latest news