Les services IT se mesurent à un feu digital grandeur nature

Ce n’est pas une aventure immersive dans le monde de Tintin, mais dans celui de la cybercriminalité la plus sophistiquée, qui a été proposée en septembre dernier aux collaborateurs et collaboratrices des services IT de la BCV. L’équipe a en effet été soumise à un exercice de simulation de cyberdéfense grandeur nature, encore jamais réalisé à la BCV et rarement mis en place dans les entreprises. Un test hors norme par sa durée, par sa complexité, par son adhérence au réel et par les moyens engagés par la Banque. L’événement a été parrainé par Martin Dion, directeur du département Sécurité, et sa gestion opérationnelle confiée à Mathieu Louvet, ingénieur cybersécurité senior.

La menace cyber grandit

«Cette initiative intervient dans un contexte où le cybercrime est non seulement prospère, mais en forte expansion», rappelle Martin Dion. En effet, l’ancrage de plus en plus profond de la numérisation dans nos sociétés augmente la surface des attaques. Par ailleurs, l’aggravation des tensions géopolitiques s’accompagne d’une montée en puissance des tentatives de déstabilisation du cyberespace des démocraties occidentales. Enfin, insiste Martin Dion, «le rapport bénéfice-risque du cybercrime gagne en attractivité au vu du potentiel de plus en plus lucratif des attaques et de la difficulté à appliquer des sanctions contre les assaillants.» Pour ceux-ci, les entreprises, et a fortiori les banques dont le modèle d’affaires est basé sur la confiance, représentent des cibles de guerre de premier choix. Sommes-nous bien préparés, à la BCV, pour faire face à cette menace diffuse et à ses conséquences potentiellement létales?

La BCV est bien préparée, mais doit s’adapter

«La stratégie de défense de la BCV est robuste», rassure Martin Dion. Elle repose sur la mise en œuvre de mesures de prévention éprouvées et sur la capacité de réaction des équipes IT. Sur le plan préventif, nos services adaptent constamment notre architecture à la menace pour renforcer l’étanchéité de notre système d’information. Celui-ci bénéficie d’une défense en couches qui permet de repérer les attaques de façon précoce et de les contenir à la périphérie pour mieux les contrer.

Il est néanmoins capital d’envisager des hypothèses dérangeantes et d’aider nos spécialistes à développer les bons réflexes et à acquérir les compétences techniques nécessaires en cas de scénario extrême. «À cette fin, rappelle Martin Dion, des exercices de crise établis sur la base de cas fictifs sont déjà organisés chaque année pour évaluer la qualité de nos réactions et la pertinence de nos processus de décision. Toutefois, compte tenu de la croissance de la menace et des enjeux pour la BCV, il est légitime d’offrir à nos cyberpompiers des expériences plus sophistiquées que celles fondées sur de simples jeux de rôle. C’est le sens de l’exercice de simulation innovant que nous avons mis sur pied les 20 et 21 septembre dernier.»

Recours à un prestataire de premier plan

Pour ce faire, le département Sécurité de la BCV a mandaté CyberExer, une entreprise de référence dans le domaine du «cyber wargaming» qui a notamment travaillé pour l’Organisation du Traité de l'Atlantique Nord (OTAN) et pour la Banque centrale européenne (BCE). L’élaboration du projet a nécessité trois mois de préparation et une intense collaboration. «Nous avons conçu avec CyberExer un environnement de simulation, naturellement indépendant de l’univers BCV, mais représentatif d’un système d’information d’une banque, avec des serveurs, des PC, des bases de données, un site web, une messagerie, des comptes et des données clients, etc., détaille Mathieu Louvet. Parallèlement, nous avons conceptualisé des scénarios d’attaques adaptés à la réalité de nos activités et pertinents au regard des menaces cyber actuelles.»

Des attaques de complexité croissante

L’exercice à proprement parler s’est déroulé sur deux jours au Centre administratif bancaire (CAB) et a mobilisé une trentaine de personnes parmi lesquelles les collaborateurs des secteurs Solution IT, Services IT et Sécurité. Sept représentantes et représentants de CyberExer ont fait le déplacement dans les locaux de Prilly pour endosser le rôle d’une équipe de cybercriminels. Ils ont lancé des offensives de complexité croissante dans le système d’information simulé auxquelles ont dû répondre deux équipes de défense BCV. Celles-ci ont été successivement confrontées à des attaques «defacement», «DDoS» et «Ransomware» (voir les explications ci-dessous).

Les bénéfices de l’exercice

Cet exercice pratique a permis aux équipes de la Banque de s’entraîner, dans des conditions réelles, à détecter et à repousser efficacement des attaques telles qu’elles se présentent aujourd’hui.

Martin Dion tire un bilan très positif de l’événement: «Nous avons pu nous assurer que nos spécialistes sont capables d’aller chercher la menace au bon endroit et d’y répondre efficacement dans un temps limité. L’expérience a aussi mis en exergue l’importance de la communication, de la gestion du stress, de l’esprit critique et des réflexes d’autonomie dans ce genre de situation. Des pistes d’amélioration continue ont pu être identifiées.»

Compte tenu de l’enthousiasme qu’a suscité cet exercice auprès des participants et du saut qualitatif qu’il représente dans la stratégie de cyberdéfense de la BCV, le renouvellement de cette expérience sur une base régulière est à l'étude.