Les techniciens ne réussissent pas suffisamment à faire comprendre aux échelons supérieurs ce que représente les cyberdangers pour l’entreprise. Orange Cyberdefense veut changer cela en proposant une simulation rigoureuse adaptée aux entreprises et aux particuliers. Nous savons de première main ce que cela signifie.
On a été promus. Au dernier étage des nouveaux bureaux d’Orange Cyberdefense sur le Canal Albert à Wijnegem, nous sommes accueillis en tant que PDG d’Althys : une entreprise fictive dont le chiffre d’affaires annuel s’élève à environ 290 millions d’euros. L’entreprise est active dans l’industrie de fabrication : l’un des secteurs sur lesquels Orange Cyberdefense se concentre avec son tout nouveau Cyber Experience Center. Dans un instant, nous expérimenterons ce que cela signifie réellement d’être piraté lors d’une simulation en direct.
« Dans notre centre d’expérience, nous avons construit une expérience fondée sur les données de nos équipes CERT, nos propres recherches, nos expériences et celles des clients », explique Simen Van De Perre, conseiller stratégique chez Orange Cyberdefense. Il tient le rôle de meneur de jeu. « Nous avons cinq versions majeures de la simulation destinées aux entreprises de fabrication, aux soins de santé, au gouvernement, au secteur financier et à l’éducation. Il s’agit des principaux groupes de clients, mais chaque simulation est encore plus personnalisée. Les organisations qui sont des invités jouent elles-mêmes le rôle principal. »
Hollywood au bord du Canal Albert
Nous regardons un petit film très dramatique qui pourrait sortir directement d’un grand film d’Hollywood. Dans ce film, une attaque visuellement intéressante contre une entreprise est simulée et bloquée par Orange Cyberdefense. « Malheureusement, tout ne se termine pas toujours bien », dit Van De Perre. On se rend compte qu’avec notre expérience journalistique, nous ne sommes pas qualifiés pour être le PDG d’Althys et nous n’avons jamais pensé à la cybersécurité de notre entreprise fictive. Avons-nous déjà une politique de sécurité ? Nous sommes vraiment très nerveux.
Voilà en partie le but de cette expérience. Van De Perre : « Lorsque nous demandons à nos clients quel est le plus grand défi pour eux, ils le savent parfaitement. Les spécialistes de la sécurité ont besoin de ressources et de fonds, mais la quasi-totalité d’entre eux ont beaucoup de mal à convaincre la hiérarchie de cette nécessité. Il est complexe d’expliquer la cybersécurité de manière concrète. Nous voulons leur donner un coup de main à cet égard. »
Quiz où l’on perd de l’argent
On nous remet une tablette personnalisée et nous nous installons au cœur de la simulation : un décor qui semble sortir directement du meilleur des quiz. Chaque fonction de cadre a son propre endroit et on voit de gigantesques écrans partout. Van De Perre se tient derrière sa propre barre lumineuse d’où partent des câbles lumineux qui traversent le sol. Ils n’ont pas de fonction, mais ils sont beaux et excitants et ils nous font plonger davantage dans l’atmosphère.
La simulation démarre et, comme on le craignait, elle frappe immédiatement. Notre entreprise a été piratée, toutes les données ont été cryptées et les systèmes sont hors service. Nos 3 000 employés ne savent plus que faire. En tant qu’entreprise de fabrication, cela coûte de l’argent, et un compteur nous montre exactement combien.
Orange Cyberdefense utilise les revenus réels des organisations visiteuses pour refléter le coût de la cyberattaque en temps réel. Nous avons été piratés la nuit dernière et notre prix a grimpé à plus d’un million d’euros pendant la nuit. Chaque seconde, le compteur avance. Notre poste de PDG peut être de courte durée.
Emprisonné par un ransomware
Van De Perre explique clairement que les ransomwares ont affecté l’ensemble de notre activité. Ce n’est pas surprenant : les ransomwares sont en effet le type d’attaque le plus populaire en ce moment. C’est pourquoi Orange concentre son Cyber Experience Center sur ce type de piratage. D’autres attaques, comme le cyberespionnage, se produisent également, mais elles sont plus rares et servent donc moins les objectifs convaincants de cette expérience.
Une courte présentation permet de comprendre exactement ce qui s’est passé. Van De Perre montre comment les criminels utilisent l’hameçonnage, les vulnérabilités ou les logiciels d’accès à distance pour s’introduire dans l’entreprise. Il explique ensuite brièvement comment un attaquant se déplace sur le réseau de l’organisation et obtient davantage de privilèges. « L’attaquant attendra souvent un certain temps avant de lancer une attaque par ransomware », explique Van De Perre. « D’abord, les sauvegardes sont arrêtées ou détruites. Parfois, des données sensibles sont également volées, de sorte que les attaquants peuvent menacer de rendre ces données publiques. Ce n’est qu’à la fin que les pirates cryptent les données et que la demande de rançon suit. »
Wat betekent dat voor de CEO, CFO, CIO …
Toutefois, l’accent n’est pas mis sur les aspects techniques. Orange Cyberdefense veut s’adresser aux cadres supérieurs en s’appuyant sur sa propre expérience. Un PDG ne se demandera pas quel correctif non installé a donné aux attaquants une porte dérobée. Il est plus important de savoir comment cette cyberattaque affecte réellement l’entreprise. En tant que cadre supérieur, la vue d’ensemble joue un rôle crucial.
Pour les autres membres de l’équipe de direction, les questions sont différentes. Le directeur financier, par exemple, sera curieux de connaître l’impact financier plus large. Vous associez une attaque de ransomware à un paiement de rançon en bitcoins, mais l’impact financier va au-delà. Les systèmes cryptés, peuvent entre autres rendre la facturation impossible : un problème auquel le directeur financier doit trouver une solution rapidement. Au cours de la simulation, Orange Cyberdefense tente de rendre les conséquences de l’attaque concrètes pour tous les membres de la direction.
Payer ou pas ?
Nous n’avons pas assez utilisé les grandes tablettes que nous avons reçues au début. Van De Perre nous pose des questions à choix multiples de temps en temps. Combien de temps faut-il en moyenne pour qu’une attaque soit résolue ? Des jours, des semaines ou des mois ? Nous savons qu’il s’agit de semaines et choisissons correctement. Le spécialiste de la sécurité utilise la question pour expliquer qu’en moyenne, une organisation consacre 19 jours à un incident de ransomware. Entre-temps, le compteur d’argent avance. Pendant ce temps, le plateau bien éclairé devient tout rouge et notre rythme cardiaque s’accélère. Cette bêtise va coûter de l’argent à Althys.
22,6 % de toutes les victimes de ransomware, comme Althys, sont actives dans l’industrie de la fabrication. Les rançons demandées par les pirates informatiques ont doublé en un an et vont même probablement tripler cette année. Payer une rançon est une idée séduisante pour une entreprise de fabrication. Une étude menée par Sophos montre que 36 % des cadres supérieurs sont prêts à payer une rançon pour redresser l’organisation. Dans la simulation d’Orange Cyberdefense, Althys perdra environ 23 millions de dollars de chiffre d’affaires en total. L’envie de payer est compréhensible. En outre, de nombreuses organisations sont assurées.
Plan catastrophe catastrophique
« Une police d’assurance cybernétique couvre rarement le montant de la rançon », indique Van De Perre. « De plus, l’assurance n’intervient pas nécessairement si la sécurité était manifestement insuffisante. » L’inexistant directeur financier d’Althys souffre d’une crise d’angoisse à ce stade.
Pleins d’espoir, nous tournons nos yeux de PDG vers la place vide où le DSI s’assiérait normalement. Il saura sûrement que faire. « Pas nécessairement », dit Van De Perre. « Quatre-vingt-dix pour cent des organisations disposent d’un plan de reprise, mais 23 % d’entre elles ne le testent jamais. La plupart des organisations découvrent que la récupération prend beaucoup plus de temps que prévu. » De plus, dans le cas d’Althys, il n’y a pas grand-chose à récupérer, car les sauvegardes sont également affectées. Des livres alors ?
Une deuxième chance
Van De Perre nous sauve. Un grand bouton orange de retour en arrière apparaît sur la tablette. On remonte dans le temps jusqu’à la période sans contrainte avant l’attaque. C’est là que se conclut l’expérience du Cyber Experience Center. Maintenant que nous avons fait l’expérience directe de l’impact d’une cyberattaque et que chaque responsable connaît les problèmes auxquels il doit faire face, Van De Perre explique calmement comment vous pouvez armer votre organisation pour que la situation ne se produise pas réellement. Encore une fois, cela se fait de manière non technique et avec des mesures concrètes pour le PDG, le directeur financier, le directeur informatique et le directeur des systèmes d’information. « Normalement, une discussion ouverte a lieu à ce stade », sait-il.
L’expérience se termine en beauté. Sur un écran interactif, les visiteurs découvrent des exemples concrets des avantages que les technologies sûres apportent aux villes, aux écoles, au secteur de la logistique, etc. « Nous voulons sensibiliser sans effrayer », peut-on lire. Orange Cyberdefense ne veut pas que les visiteurs repartent avec une nouvelle peur de tout ce qui fonctionne avec des bits et des octets.
Entre-temps, Van De Perre a acquis l’expérience nécessaire pour mener à bien cette mission. Une vingtaine de clients réels ont passé l’examen avant nous. Ce ne sont pas des entreprises villageoises. « Nous visons les organisations de plus de 500 employés dans l’un des secteurs verticaux sur lesquels nous nous concentrons », explique-t-il. Dans un premier temps, Orange Cyberdefense souhaite inviter ses clients existants, mais les prospects sont également les bienvenus.
De la salle de conférence au centre d’expérience
L’enthousiasme est remarquable. Réunir tous les membres de la direction pour une journée de cyberstress n’est pas évident, et Orange Cyberdefense ne le sait que trop bien. Au septième étage de la tour de bureaux, on trouve donc non seulement le Cyber Experience Center, mais aussi une véritable salle de conférence. Lors de notre visite, il fait beau et nous pouvons voir depuis le site voisin d’Axel Vervoordt, de l’autre côté du Canal Albert, la centrale nucléaire de Doel. Orange met cette salle de conférence à disposition pour des réunions trimestrielles, par exemple, où l’expérience dans l’Experience Center est un bonus. De cette manière, le spécialiste de la sécurité espère inciter les cadres réticents à visiter son centre d’expérience.
L’étage entier est exclusivement réservé à la simulation et au cadre. Orange Cyberdefense a grandement investi ici. Cela illustre bien l’importance de faire comprendre aux cadres supérieurs ce que la cybersécurité signifie pour eux. L’impact peut être majeur. Les entreprises, dont on espère qu’elles deviendront plus sûres, et Orange, qui attend sans aucun doute un retour sur investissement, peuvent en profiter.
Nous sortons du bureau, heureux de ne pas être le PDG d’une grande entreprise. À notre arrivée au bureau, nous jetons un rapide coup d’œil à la qualité des sauvegardes d’ITdaily.