Prazis - Fotolia
Le cyber-range, une plateforme de simulation pour entraîner ses équipes
Les équipes de sécurité informatique ne gèrent pas seules, de manière isolée, les incidents. Les exercices permettent d’améliorer la coopération à l’échelle de l’entreprise et d’identifier les carences.
Les premières plateformes de simulation d’incidents de sécurité sont apparues il y a plus de quinze ans. Pour autant, selon Gartner, moins de 1 % des grandes entreprises y ont aujourd’hui recours. Cette part devrait passer à 15 % à l’horizon 2022.
Dans une note d’information à l’intention de ses clients, le cabinet décrit ce que l’on appelle aussi "cyber-range", comme « des plateformes de simulation permettant aux équipes de sécurité de s’entraîner, de développer leur expertise, et de gérer la planification de leurs ressources humaines ». Il s’agit donc de répliquer un environnement réel pour y éprouver et développer des compétences « telles que test d’intrusion, protection du réseau, durcissement de systèmes, modélisation de menaces et réponse à incident », mais également pour développer l’implication d’autres populations de l’entreprise susceptibles d’être concernées par la gestion d’incidents.
Un environnement aux usages multiples
En outre, un cyber-range peut aider à tester de nouveaux produits et contrôles de sécurité face à des attaques simulées dans un environnement maîtrisé, confiné, voire mettre à l’épreuve des candidats à l’embauche.
Dans ce contexte, Gartner recommande aux entreprises d’évaluer la pertinence du recours à un cyber-range à l’aune de leurs pratiques internes, des approches possibles pour combler les manques de compétences, pour enfin déterminer les éventuels cas d’usage susceptibles de justifier les coûts induits et les gains de résiliences.
Car selon le cabinet, à ce jour, « les cyber-ranges impliquent des coûts et un investissement opérationnel importants ». C’est d’ailleurs sans surprise que « beaucoup d’organisations utilisent des prestataires de services tiers pour accéder à un cyber-range en mode service ». Les offres en la matière ne manquent d’ailleurs pas de se développer. En France, on peut ainsi penser à Airbus Cybersecurity, BlueCyForce, ou encore Cyber Test Systems.
Gagner en « dextérité numérique »
Mais les bénéfices à l’utilisation d’un cyber-range ne sont pas négligeables. Pour Gartner, il s’agit avant tout de gagner en « dextérité numérique ». Le cabinet définit ce concept comme « la capacité et la volonté d’exploiter des technologies existantes et émergentes pour obtenir de meilleurs résultats métiers ».
Et justement, selon Sam Olyaei et Matthew Stamper, les analystes à l’origine de la note d’information du cabinet, un cyber-range peut servir de socle à « une practice de cybersécurité proactive, agile et digne de confiance » en répondant aux besoins de sécurité induits par « de nouveaux modèles technologiques ». Car il « aide à développer des équipes dotées des compétences nécessaires à la sécurisation et à l’exploitation de plateformes requises pour constituer une organisation résiliente ».
Au passage, les exercices conduits sur un cyber-range peuvent aider à renforcer la sensibilisation en interne, là où d’autres méthodes auraient échoué. Le tout grâce à des sessions interactives reproduisant des scénarios bien réels : « cela peut influencer la culture de l’organisation pour la rendre plus consciente du risque ».
Définir ses attentes
Sam Olyaei et Matthew Stamper soulignent que l’une des valeurs clés d’un cyber-range est sa capacité à répliquer un environnement de production et/ou à valider l’impact de nouvelles technologies. Et cela ne veut pas simplement dire environnement IT, mais également environnement mixte IT/OT pour tenir compte des systèmes industriels.
Surtout, « pour assurer l’usage réussi d’un cyber-range, il convient d’établir ses attentes et ses besoins ». Le sujet apparaît d’autant plus important que, selon les analystes, pour les cyber-range en mode service, la facture s’établit généralement « par utilisateur et par module, et peut aller de 50 000 $ à 200 000 $ ». Pour un déploiement interne, dans une grande organisation – « dotée typiquement d’au moins 30 professionnels de la sécurité à temps plein » –, il faut compter « entre 500 000 $ et 1,5 M$ ». A ce prix-là, pas question de rater son projet.