Natalia80 - stock.adobe.com

Comment le cyber-range s’impose peu à peu dans l’entreprise

Ces environnements de simulation permettent d'organiser des exercices hautement sophistiqués, et toujours plus réalistes. Initialement développés pour le monde militaire, ils ont considérablement évolué et intéressent un public toujours plus large.

Les premiers environnements de simulation d’incidents de sécurité informatique, ou cyber-ranges, sont véritablement apparus autour de 2007 avec en particulier, aux Etats-Unis, le National Cyber Range (NCR) de la Darpa. Grégory Fresnais a participé au déploiement de plusieurs de ces environnements à travers le monde. Alors il se souvient : « à l’époque, il s’agissait d’environnements totalement physiques, des installations immenses ». Les militaires s’y intéressaient principalement. Mais depuis, les choses ont bien changé.

Fort de son expérience, Grégory Fresnais a co-fondé Cyber Test Systems en 2014. La jeune pousse a reçu le prix de la PME innovante lors de l’édition 2016 du Forum International de la Cybersécurité (FIC). Sa plateforme a été utilisée pour l’exercice de cyberdéfense interarmes Defnet, en mars dernier, avec celle de Diateam, ou encore Locked Shields organisé par l’Otan.

Une grosse décennie d’évolutions

Au tournant des années 2010, les cyber-ranges ont commencé à se démocratiser et à se multiplier, profitant des apports de la virtualisation, tant en termes d’espace physique occupé que d’administration et d’exploitation. Elbit Systems s’est fait un nom dans le domaine. Sa plateforme Cyberbit est largement utilisée à travers le monde, par RUAG en Suisse, notamment. C’est aussi en 2010 que Boeing présente son Cyber-Range-In-a-Box (Criab).

L’engouement progresse largement à partir de 2013 et là, se souvient Grégory Fresnais, beaucoup d’acteurs liés au monde de la défense se lancent : BAE, Thales, Airbus, ou encore Raytheon. L’offre se diversifie, avec SimSpace, Daedalus de Root9B, Quali Systems…

Des évolutions techniques...

Du virtuel, l’offre s’étend au Cloud pour gagner encore en flexibilité. Mais ce n’est pas sans limites : « cela ne permet pas de couvrir tous les vecteurs d’attaque ». Par exemple, pour s’entraîner avec d’authentiques maliciels, il faut utiliser un cyber-range virtualisé, qu’il soit déployé et exploité en interne, ou par un prestataire. Mais ce n’est pas la seule limite des environnements virtualisés ou en mode cloud.

Pour son cyber-range, Airbus CyberSecurity reconnaît ainsi qu’il convient d’utiliser un générateur de trafic matériel pour simuler efficacement des attaques en déni de service. Grégory Fresnais juge que cela vaut aussi pour des exercices impliquant des objets connectés ou des systèmes de contrôle industriel (ICS/Scada) : « le niveau de réalisme n’est pas le même sans composants physiques ». L’actuelle et troisième génération de plateformes de cyber-range est donc hybride. Mais les évolutions n’ont pas été que techniques.

...et organisationnelles

Les premiers cyber-range se contentaient, pour l’essentiel, de permettre de confronter attaquants – la red team– et défenseurs – la blue team. A l’instar de ce que font encore de nombreux outils, comme ceux de Verodin et d’AttackIQ, relève Grégory Fresnais.

Pour autant, ce n’est pas suffisant pour entraîner ses équipes avec un minimum de réalisme : d’où l’ajout de la notion de green team, pour l’intégration de trafic réseau tout ce qu’il y a de banal et de légitime. Puis est venue celle de yellow team : « des utilisateurs qui se font piéger par des opérations de phishing, par exemple ».

Mais là encore, « ce n’était pas suffisant et l’Otan a développé la notion de purple team », celle qui s’occupe notamment des dimensions communication et juridique de la gestion des incidents, intégrant donc la gouvernance d’entreprise. A cela est venue s’ajouter une dernière notion, celle de white team : « les instructeurs qui vont gérer le dynamisme de l’exercice, en superviser le déroulement ».

Une demande croissante

L’évolution du cadre d’entraînement a conduit les plateformes à évoluer au-delà de la génération de trafic ou de l’orchestration de l’infrastructure virtuelle, pour intégrer la notation des participants à plusieurs dimensions : délais, collaboration, etc. Car au final, c’est la capacité d’équipes à intervenir ensemble pour réagir à une attaque qu’il s’agit d’évaluer.

Grégory Fresnais relève en outre que l’intérêt pour ces plateformes de simulation va aujourd’hui bien au-delà du seul monde de la défense : « de plus en plus d’entreprises s’y intéressent, ne serait-ce que pour des besoins réglementaires » - qui touchent notamment les opérateurs d’importance vitale et de services essentiels, mais sans exclusivité. Pour éprouver son infrastructure, ses processus, et se donner une chance de réussir un premier audit un peu strict, « il faut répliquer à minima une infrastructure de production, pour voir comment l’on sait réagir à des attaques sans affecter ses systèmes de production. D’où la demande croissante ».

Pour des publics plus variés

Les établissements scolaires s’intéressent également au cyber-range : « toutes les écoles polytechniques sont équipées à Singapour, pour la formation des étudiants. Et aux Etats-Unis, beaucoup d’universités le font aussi ». C’est moins le cas en France, mais comme l’a montré Airbus CyberSecurity l’an passé, au travers de quatre partenariats, cela commence.

Et bien sûr, il faut compter avec tous les exercices de type Capture the flag, visant à éprouver les compétences des participants. De plus en plus populaires depuis quelques années, « ils permettent notamment à des entreprises d’identifier de futurs employés potentiels ».

Pour approfondir sur Cyberdéfense