Donjons et reprise après sinistre : exercices sur table pour la formation informatique

Un groupe de cadres est assis autour d'une table. Devant eux se trouve une carte, six personnages héroïques debout dans un modèle de centre de données, entourés de tous côtés par de petites créatures accroupies en sweat à capuche. À une extrémité de la table, le sous-ministre parle de façon dramatique. "Vous vous êtes retiré dans la salle des serveurs alors que le DDoS continue. Les pirates ont été repoussés à plusieurs reprises, mais vous êtes tous blessés et à court de ressources. Cela commence à ressembler beaucoup à un dernier rempart, et le PDG attend une mise à jour. Que faites-vous ?"

Les joueurs discutent pendant un moment, avant que le RSSI ne respire profondément et ne lève les yeux vers le MD. Visiblement la décision qu'elle s'apprête à prendre pèse sur elle, c'est un dernier recours, et il y aura des dommages collatéraux. Pourtant, sa voix est forte et confiante alors qu'elle entonne: "Je lance un pare-feu renforcé."

Aujourd'hui, nous allons examiner des exercices sur table, ou des scénarios, et comment ils sont utilisés pour se préparer au pire en matière de sécurité.

Utiliser des exercices sur table pour former des ingénieurs en cybersécurité

Malheureusement (ou heureusement), ce n'est pas ainsi que les exercices sur table sont réellement exécutés, bien qu'il existe certaines variétés qui sont très proches du bord d'être plein de jeux (et en effet, certaines qui non seulement contournent le bord mais sautent avec impatience dessus la tête la première) . Alors que la réalité peut être moins pleine de cybercriminels invoquant des gremlins maléfiques et d'équipes de sécurité maniant la magie, il y a un fort chevauchement dans les objectifs d'un bon scénario et d'une bonne campagne de jeu de rôle.

Les exercices sur table sont des moyens de tester les plans et les préparations sans prendre l'étape un peu plus drastique de brûler votre propre centre de données. Il est important de savoir comment l'entreprise fonctionnerait après une telle crise et de s'y préparer, mais passer à l'étape réelle de l'incendie de votre centre de données peut sembler un peu trop loin pour un exercice. Au lieu de cela, ces événements de crise sont organisés, que ce soit pour découvrir des lignes de communication, pour tester des plans de réponse aux incidents (qu'il s'agisse de continuité des activités ou de reprise après sinistre), ou simplement pour former les employés et les sensibiliser à l'importance de la sécurité.

Une brève histoire

Ces exercices ont également une longue et noble histoire en dehors des utilisations modernes de l'informatique et de la cybersécurité, remontant au moins deux cents ans au "Kriefsspiel" de Reisswitz en 1824, développé par lui et son père et décrit par le général Karl von Mueffling comme "pas un C'est un entraînement pour la guerre. Je le recommanderai avec enthousiasme à toute l'armée. C'est une approche utilisée par les armées mondiales pour préparer leurs forces aux engagements, l'OTAN ayant lancé une initiative Wargaming en 2022 à Paris. Même les services d'urgence, le NHS exécutant régulièrement des simulations impliquant des dizaines d'acteurs et des équipes de maquillage complètes pour simuler efficacement les blessures.

Étant donné qu'il existe des siècles (même si seulement deux) de preuves d'exercices sur table, de scénarios ludiques, aidant à se préparer aux crises, aux catastrophes, aux engagements militaires, etc., ainsi que le coût de ces exercices étant extrêmement faible par rapport à l'absence de préparation lorsqu'un scénario frappe , vous pourriez tomber dans le piège de penser qu'ils sont utilisés partout aujourd'hui. Malheureusement, ce n'est pas le cas.

Pour toute une série de raisons, alors que ceux qui font bon usage des exercices sur table ne jurent que par la valeur qu'ils apportent, de nombreuses organisations ne les utilisent tout simplement pas. Il pourrait s'agir du syndrome de l'autruche, car ces scénarios peuvent être exceptionnellement efficaces pour éliminer toutes sortes de défauts que les gens ne veulent pas reconnaître. Il peut s'agir d'une réticence à s'impliquer dans quelque chose considéré comme un « jeu » ou « enfantin ». Peut-être a-t-il vécu des scénarios mal exécutés consistant en une présentation PowerPoint trop sophistiquée sans interaction et avec beaucoup de FUD marketing. Pour une raison quelconque, certaines organisations hésitent à les rechercher et à utiliser cet outil précieux.

Cela est heureusement en train de changer, avec des événements comme la conférence annuelle Play Secure réunissant des experts de l'apprentissage, des simulations, de la gamification et des jeux. En outre, un certain nombre d'entreprises proposent des exercices standard et sur mesure pour leurs catalogues de produits. Divulgation complète, comme vous vous en doutez, ma propre entreprise familiale, Bores , les gère avec d'excellents résultats depuis des années.

L'idée d'utiliser des scénarios de table comme un endroit pour tester ou tester des plans et se préparer aux catastrophes, en développant des tolérances au stress et à la panique chez les personnes impliquées (bien courir, ce sont des expériences intenses), et fournir un endroit pour se tromper en toute sécurité est diffusion.

Les différents types d'exercices sur table

Il existe toute une série d'options lorsque vous exécutez un exercice sur table, en fonction de ce que vous en attendez. En tant qu'exercice de marketing et de sensibilisation pour une menace ou un événement particulier, un format hautement structuré impliquant des entrées détaillées, des choix limités (voire aucun), presque comme une rediffusion d'événements réels peut être très efficace - moins engageant, mais évolutif à faible effort dans d'une manière plus compliquée, les scénarios ne le sont pas. À l'autre extrémité du spectre, nous nous retrouvons avec des scénarios beaucoup plus ouverts, presque entièrement non scénarisés et nécessitant l'exécution d'un modérateur qualifié, répondant en temps réel aux décisions des participants, créant de nouveaux injections à la volée.

En règle générale, plus l'exercice sur table est scénarisé, plus il est facile de l'exécuter à grande échelle, plus il faut d'efforts pour la création initiale et moins il nécessite de connaissances de la part d'un modérateur pour s'exécuter. Une entreprise pourrait facilement mettre en place un scénario interne pré-préparé dans le style d'un livre d'aventures à choisir avec des choix limités, et laisser les équipes gérer leurs propres sessions.

Moins la session est scénarisée, plus elle est difficile à exécuter à grande échelle (possible, mais nécessite plus de ressources et d'efforts), et plus les connaissances et l'expertise requises du modérateur sont importantes. L'idéal ici est quelqu'un qui a l'expérience du type d'incident simulé, ainsi que l'expérience de l'exécution de sessions de jeu (oui, je mets trente ans d'exécution de sessions RPG sur table sur mon CV lorsque je lance ces exercices). Ce que les sessions non scénarisées offrent, c'est la possibilité de tester des plans spécifiques, ou même de les construire en fonction d'actions et de choix au cours de l'exercice.

Parallèlement à cela, vous devez tenir compte du type d'incident que vous souhaitez tester. Un exercice sur table de continuité des activités visera à découvrir comment une organisation peut continuer à fonctionner à un niveau acceptable lorsque des systèmes critiques échouent.

La réponse aux incidents portera sur les incidents de sécurité, dans la plupart des cas, mais peut couvrir n'importe quoi, de la mauvaise presse à un PDG naufragé.

Les scénarios de continuité d'activité visent à déterminer comment l'entreprise réagit à une crise ou à une défaillance critique et maintient un certain niveau de fonctionnement tout au long. C'est un excellent moyen de déterminer ce qui est véritablement critique et le niveau de service requis pour être une entreprise viable.

La reprise après sinistre découle souvent naturellement de la continuité des activités, révélant comment une organisation passe des plans de continuité des activités à des opérations normales (ou comment restaurer à partir d'une sauvegarde). La gestion de crise peut être presque n'importe quoi, y compris tout ce qui précède.

Comment exécuter un exercice sur table ?

J'aimerais dire que la meilleure façon d'en gérer un est d'engager un professionnel (et c'est vrai, si vous avez un budget et que vous pouvez trouver un professionnel , alors vous devriez). Cependant, si vous cherchez simplement à tester l'idée ou à chercher une nouvelle approche pour une soirée de jeu en famille, vous pouvez facilement organiser vous-même une session sur table avec un effort limité. Vous comptez sur votre propre expertise, alors choisissez un scénario dont vous avez une certaine expérience pour de meilleurs résultats (et un environnement que vous connaissez bien - lors de la construction de ces scénarios, j'impliquerai généralement une phase de découverte intense pour comprendre suffisamment bien l'organisation ).

La manière la plus simple une fois que vous avez un scénario est de décider quelle est la « vérité ». C'est ce qui s'est réellement passé dans les coulisses. Qui est l'agresseur, ou qu'est-ce qui a vraiment mal tourné. Cela n'a pas besoin d'être incroyablement détaillé, selon vos compétences d'improvisation et votre confiance, mais une règle d'or est de ne pas le modifier pendant l'exercice - une petite incohérence peut détruire l'engagement et supprimer tout potentiel d'apprentissage.

Une fois que vous avez cette « vérité », passez un peu de temps à réfléchir à la façon dont les participants la verront. Ils n'auront pas toutes les informations dès le départ - même dans un scénario aussi simple qu'un centre de données brûlant, la première chose que l'organisation est susceptible de voir est une défaillance des services. Tout ce que vous réfléchissez ici formera vos premières injections - ce qui pourrait être aussi simple que de dire au groupe "voici ce que vous voyez" ou, pour un effet plus puissant, des messages de médias sociaux de clients, des avis de rançongiciels, des titres d'actualités, etc. ( vous pouvez récupérer des modèles gratuits pour en créer quelques-uns ici ).

Une fois que vous avez fait cela, le plus difficile est de planifier un moment pour réunir vos participants. Celui-là, je ne peux pas m'en empêcher.

Enfin, vous aurez tout ce dont vous avez besoin : le scénario, les injects, vos participants et, idéalement, quelqu'un pour prendre des notes détaillées sur ce qui se passe.

Après cela, il s'agit de narration et de narration. Commencez avec les injections initiales, puis passez la main à vos participants pour décider de ce qui se passera ensuite. Lorsqu'ils entreprennent une action, répondez avec plus d'informations en fonction de ce qu'ils ont fait, peut-être avec plus d'injections, et itérez jusqu'à ce que le scénario soit terminé.

L'achèvement peut être difficile à définir, donc de manière réaliste, vous voulez exécuter jusqu'à ce que le scénario soit stable - ce qui signifie que toute autre action ne fera aucune différence immédiate (une fois que la décision est prise de reconstruire un centre de données par exemple, il y a peu de valeur à jouer au fil des mois de construction qui seraient impliqués). Prenez les notes, sortez tout ce qui est important et commencez à vous préparer pour le prochain exercice sur table.

Si vous êtes convaincu d'en essayer un et que vous avez besoin d'un petit conseil, ou si vous souhaitez que quelqu'un vienne vous proposer une série d'exercices, vous pouvez me joindre sur Twitter ou LinkedIn .