TECH NEWS
En immersion dans la Room 42
Inauguré à la mi-octobre, le C3, Centre national de compétence en cyber-sécurité, propose différents services aux acteurs publics et privés. Dans ce bouquet de prestations, nous avons voulu tester la Room 42, une « stress room » qui permet de confronter les employés d’une société à une cyber attaque. Une expérience anxiogène et assez révélatrice…
December 12, 2017
Pour permettre à la transformation digitale à l’œuvre dans la plupart des secteurs d’activité de se déployer en toute quiétude, le Luxembourg a décidé de se doter d’un outil unique au monde. Son but ? Tester la sécurité des outils informatiques, et former ou informer les équipes des entreprises ou secteurs publics intéressés.
« Le volet training, représente 80% de notre activité », explique Jérôme Jacob, responsable de la formation pour le C3 et « père » de la Room 42. « La Room 42 est peut-être la formule la plus originale, mais nous mettons aussi en place d’autres offres. En 2018, l’une de nos salles va ainsi être équipée avec des outils informatiques de haut niveau qui nous permettront de reproduire les infrastructures informatiques des sociétés qui font appel à nos services. Nous lancerons alors des attaques informatiques parmi les plus actuelles et nous évaluerons comment les spécialistes de ces sociétés réagissent. »
Tester tous les maillons de la chaîne
Ce principe est aussi à l’œuvre dans la « Room 42 », si ce n’est qu’il s’étend à tous les départements de l’entreprise, et pas seulement aux experts IT. « Notre point de départ, c’est de se dire qu’une société ou un service public est une chaîne dont les employés sont les maillons, poursuit Jérôme Jacob. Lorsqu’une cyber attaque survient, tout le monde a son rôle à jouer – et pas seulement les spécialistes de la sécurité informatique. Si un maillon est faible, c’est toute la boîte qui est mise en danger. C’est typiquement ce qui se produit avec les fraudes au président : l’escroc appelle la comptabilité en se faisant passer pour le président du groupe et demande un versement d’une telle somme sur un tel compte… »
La « Room 42 » accueille donc un groupe de 5 à 8 personnes, issues des différents services de la société : responsable presse, spécialiste de la cyber-sécurité, membre de la direction, juriste, secrétaire, etc. L’espace, restreint, met rapidement les nerfs à l’épreuve. « Je dis aux gens que tout peut se passer à partir du moment où ils franchissent ces portes… et que je suis le seul qui peut les ouvrir ! », s’amuse Jérôme Jacob. Les lumières sont tamisées, avec du rouge, du bleu… Un fond sonore tapisse également l’environnement et on comprend pourquoi le « maître de cérémonie » demande avant le début de l’exercice si personne n’est claustrophobe…
Un scénario, des dizaines de possibilités
Dans ce cadre inquiétant sont aménagés plusieurs postes de travail : les juristes d’une côté, les spécialistes IT de l’autre, le responsable presse et les responsables RH encore à un autre endroit. Le président, lui, est absent. Chacun doit réaliser une tâche de départ, et l’une d’elle ouvrira la porte à une cyber attaque d’ampleur… « J’ai vécu beaucoup d’attaques informatiques dans ma carrière et j’en ai retenu une chose : Le stress et l’empressement sont souvent les premières réponses alors qu’il faut justement garder son calme pour parvenir à prendre les bonnes décisions, celles qui vont faire gagner du temps, explique Jérôme Jacob. C’est la raison pour laquelle nous avons mis ces éléments en place : les lumières, les sons, le fait qu’on ne leur fasse qu’un briefing de 10 minutes avant l’exercice, etc. »
De l’autre côté d’une vitre sans tain, un directeur et un observateur entendent tout ce qui se passe dans la « Room 42 » et peuvent déclencher différents événements, passer des coups de fil aux participants, changer les sons et les lumières, etc. Le scénario est donc unique, mais ses variations sont très nombreuses. « C’est tout l’intérêt de l’exercice, indique Jérôme Jacob. On peut à tout moment influer sur la situation pour mettre en difficulté les participants et, surtout, tester leurs réactions. Quand on les appelle, on fait en sorte d’être le plus réaliste possible : si je suis un client fâché ou un journaliste qui appelle pour savoir pourquoi le site a été hacké, je joue vraiment le jeu. »
Un débriefing pour identifier les bonnes réactions
Au terme de cet exercice qui dure jusqu’à une heure et demi, les participants se retrouvent dans une salle de réunion pour débriefer la séance. « Ce que nous voulons faire apparaître, ce sont les bonnes pratiques comme le fait de laisser tomber les choses inutiles pour s’occuper des vrais problèmes, de ne pas inviter tout le monde à discuter d’un souci qui ne touche que l’informaticien ou le juriste, etc., détaille Jérôme Jacob. Cela dit, nous n’émettons jamais de critique individuelle, nous voyons plutôt comment le groupe a réagi collectivement. »
Déjà testée sur un groupe, la formule a enthousiasmé les participants. Aujourd’hui, la « Room 42 » commence seulement à accueillir ses premières équipes. Mais elle vise un large développement, notamment à l’international. « Nous voulons montrer que le Luxembourg est un centre de référence pour la cyber sécurité, indique le responsable de la formation au sein du C3. Mais nous voulons aussi permettre à certains employés de nos clients de devenir eux-mêmes formateurs « Room 42 ». Ils peuvent ainsi créer leurs propres scénarios, plus proches de leur réalité, et tester leurs équipes. Plusieurs grosses sociétés ont déjà montré leur intérêt pour cette formule. »