Le Quotidien Indépendant Luxembourgeois
La Luxembourg House of Cybersecurity propose une simulation permettant de recréer les conditions d’une cyberattaque. Une manière pour les entreprises de se préparer à ces nouveaux dangers.
Une alarme stridente résonne dans la petite salle à l’ambiance déjà électrique. À leur bureau, huit personnes s’affairant sur leur poste de travail se tendent un peu plus. Les pirates qui ont hacké leurs serveurs viennent de prendre le contrôle du système de sécurité de l’entreprise, ajoutant de la confusion à une situation bien délicate.
Depuis une heure, l’équipe lutte contre un ransomware, un logiciel malveillant prenant en otage les données de la société contre une rançon. Tout semble hors de contrôle… Mais heureusement, tout ça n’est qu’une simulation : l’équipe est enfermée au sein de la Room #42 et vient de vivre l’un des scénarios de cyberattaque conçus par la Luxembourg House of Cybersecurity (LHC).
Derrière ses écrans, dans la pièce d’à côté, Jérôme Jacob, le créateur de l’expérience, observe chacun des participants. «C’est comme un pilote de ligne qui vient s’entraîner pour une situation anormale. Ici, c’est la même chose, on leur demande de faire face à une cyberattaque.»
L’objectif est de tester les capacités d’une équipe à gérer une telle situation de crise et d’analyser les solutions qu’elle met en œuvre à court et à long terme. «Nous les plongeons dans un environnement réaliste et immersif où l’on simule le stress que l’on pourrait vivre dans la réalité.»
La pièce ressemble ainsi à un open space classique dans lequel peuvent prendre place cinq à huit personnes. Si, bien sûr, les informaticiens et les responsables des services informatiques sont conviés à l’exercice, beaucoup d’autres métiers peuvent être mis à l’épreuve, du responsable de la communication au PDG en passant par le directeur financier.
«Ce n’est pas de la science-fiction»
«La cybersécurité est l’affaire de tous.» Dans la Room #42, les compétences techniques sont évidemment testées, mais la cohésion de l’équipe et la bonne application du processus par chacun des maillons sont également essentielles.
L’exercice se déroule en trois phases. Après un briefing qui permet de cerner les attentes des participants et d’adapter le scénario choisi selon le niveau de chacun, la simulation démarre. Une série de cyberattaques est alors lancée pour confronter l’équipe à de multiples cas pratiques.
«On exploite de nombreuses pistes en se basant sur des évènements qui sont arrivés au Luxembourg. Ce n’est pas de la science-fiction.» Une fois le test terminé, un débriefing est organisé avec Jérôme Jacob.
«On passe rapidement sur ce qu’ils ont bien réussi pour se concentrer sur leurs erreurs.» Le but n’est alors évidemment pas de rabaisser les participants, mais bien de les aider à s’améliorer. «On leur propose des ajustements sur ce qu’il serait préférable de faire.»
«On ne fait pas de sentiment»
L’expérience est d’ailleurs déjà assez éprouvante comme ça et pousse l’équipe dans ses derniers retranchements. Alors qu’ils tentent de juguler l’attaque, les participants peuvent recevoir des coups de fil leur ajoutant un coup de pression supplémentaire.
Jérôme Jacob peut ainsi se faire passer pour un journaliste souhaitant avoir des informations sur la situation ou pour un directeur qui s’impatiente de ne pas recevoir son rapport. Des lumières ou des sons désagréables peuvent aussi être diffusés pour créer encore plus d’inconfort. «On ne fait pas de sentiment, on va jusqu’au bout des choses. Mais en fonction du public, on est plus ou moins agressif.»
Pendant l'exercice, l'équipe doit faire face à toute une série de cyberattaques. (Photo Fabrizio Pizzolante)
Dans la pièce adjacente à la Room #42, des écrans de contrôle permettent d’analyser le comportement de chaque participant, mais aussi de s’assurer que l’exercice se passe bien. (Photo Fabrizio Pizzolante)
La prestation de chaque participant est ensuite commentée pour les aider à s'améliorer. (Photo Fabrizio Pizzolante)
La Room #42 a été créée au sein de la Luxembourg House of Cybersecurity. (Photo Fabrizio Pizzolante)
Ancien élève de Saint-Cyr, Jérôme Jacob a conçu la Room #42 en s’inspirant des entraînements militaires.
Si la simulation est difficile et tente de pousser à l’échec pour identifier les failles, mieux vaut vivre cette situation dans la Room #42 que d’y être confronté pour la première fois dans la réalité. Car à l’extérieur, les dangers sont nombreux.
«Notre punchline, c’est qu’il ne faut pas se demander si l’on va subir une cyberattaque, mais plutôt quand», affirme Jérôme Jacob. Attaques DDoS, ransomwares, fake news… (voir encadré), les hackers disposent de nombreux outils pour s’attaquer aux entreprises, mais aussi directement aux États, comme l’a montré la récente attaque sur les sites gouvernementaux luxembourgeois.
Et l’évolution constante de la technologie ainsi que l’utilisation grandissante de l’intelligence artificielle créent régulièrement de nouvelles menaces. «Il faut être constamment en veille. Les hackers ont une grande qualité : la curiosité.»
Bien que malmenées, les entreprises sortent de la Room #42 plutôt satisfaites. «Les participants ne savent pas vraiment ce qui les attend quand ils entrent. Au moment de ressortir, c’est un échec pour beaucoup, mais il y a aussi un acquis.»
La LHC a d’ailleurs rapidement reçu de nombreuses demandes dès la mise en place de la Room #42, en 2017. De quoi laisser le concept essaimer à l’international? Jérôme Jacob n’en est pas totalement convaincu.
Une entreprise toulousaine a effectivement acquis les droits du concept pour la France, mais dorénavant le Grand-Duché souhaite rester maître de son concept. «Le Luxembourg a une carte à jouer sur ce pôle d’excellence.»
Des attaques multiples
L’utilisation d’un logiciel malveillant est souvent ce qui vient en tête quand on parle de cyberattaque. Les ransomwares sont effectivement très prisés des hackers.
Ces logiciels peuvent bloquer l’ensemble de l’infrastructure informatique d’une entreprise afin d’obliger la victime à payer une rançon. Ces attaques touchent régulièrement des hôpitaux qui se retrouvent alors paralysés, comme ce fut le cas pour les sites de Vivalia, en Belgique, en 2022.
Mais la cybercriminalité peut prendre de nombreuses formes. Très souvent, ces attaques sont dues à une défaillance humaine. Bien connu des particuliers, le phishing, un faux e-mail contenant une pièce jointe ou un lien frauduleux, peut tout aussi bien toucher les entreprises.
Sur le même modèle, l’arnaque au président se révèle très efficace et dangereuse. Elle consiste à se faire passer pour le responsable d’une entreprise et à ordonner à l’un des salariés d’effectuer un virement rapidement et discrètement, généralement sur un compte à l’international.
Enfin, certaines cyberattaques ressemblent à de véritables bombardements, comme les attaques par déni de service (DDoS). Très médiatisées, celles-ci saturent de demandes un site internet ou un serveur, souvent grâce à des robots ou des ordinateurs infectés, afin de les rendre inutilisables.
C’est ce type d’offensive qui a touché les services gouvernementaux à la fin du mois de mars, empêchant l’accès à certains sites comme guichet.lu ou celui de l’Adem.
S’il existe encore de nombreux types d’agressions, celles-ci sont en plus en constante évolution. Le détournement des technologies d’intelligence artificielle devrait en créer de nouvelles, notamment en ce qui concerne l’usurpation d’identité ou la propagation de fake news.
