Campus de la cyberdéfense: Une simulation de crise réussie renforce les capacités de cybersécurité en Suisse

Le jeudi 16 mai 2024, un événement intitulé « Cyber-Defence Campus, Cyber Crisis Simulation » a eu lieu au Cyber-Defence Campus à Zurich. Cet événement d'une journée a réuni 20 participants issus d'infrastructures critiques, d'unités de police, d'autorités cantonales et fédérales et de leurs fournisseurs de services. La simulation a été soutenue tout au long par des employés du Cyber-Defense Campus et deux officiers de milice du Commandement Cyber de l'armée suisse.

L'événement a débuté par un discours du Dr Vincent Lenders, directeur du Cyber-Defence Campus, et par une présentation générale de Cédric Aeschlimann, chef de projet scientifique au Cyber-Defence Campus, qui a expliqué les objectifs de l'exercice. Les participants ont ensuite été divisés en quatre groupes, chacun d'entre eux étant supervisé par les organisateurs et disponible pour des questions et du soutien.

Simulation de crise cyber

Au cours de la simulation, les participants ont été confrontés à un scénario fictif : La Compagnie d'énergie de Zurich, une entreprise fictive chargée de fournir de l'énergie à la ville de Zurich et détenue à 100 % par le canton et la ville, devait faire face à une crise. L'entreprise exploite des centrales électriques, des barrages et des parcs éoliens, et gère également les lignes électriques vers les clients. Comme il n'existait pas de lignes directrices préexistantes en matière de gestion de crise, les participants ont dû les élaborer au cours de l'exercice. L'équipe de crise de l'entreprise était composée de cinq départements : Relations avec les clients, Production d'électricité, Gestion du réseau, Relations publiques et Informatique.

Dans ce scénario fictif, le nombre de cyberincidents signalés a augmenté en 2023, en particulier les courriels frauduleux, l'hameçonnage et les attaques par ransomware. Les attaques contre les systèmes de contrôle industriel et les technologies opérationnelles représentent la plus grande menace pour les entreprises du secteur de l'énergie.

Les participants ont reçu divers événements, appelés « injecs », auxquels ils devaient répondre. Ces injects se présentaient sous la forme d'e-mails envoyés par des personnes fictives au sein ou en dehors de l'organisation, ainsi que par des représentants des médias. Les participants devaient décider à quelles injections répondre, créer et mettre en œuvre un plan de communication et élaborer un plan de continuité pour gérer la crise. Au cours de l'exercice, les participants ont dû soumettre les documents suivants :

• Évaluation de la situation
• Plan de communication et résumé des actions entreprises (deux fois par jour)
• Plan de continuité des activités

Des coachs du Cyber-Defence Campus et des outils tels que des modèles étaient disponibles tout au long de la journée pour fournir des conseils, un soutien et une orientation aux participants travaillant en groupe.

Enseignements tirés

À la fin de la journée, un rapport commun après action et un débriefing ont eu lieu. Tous les participants se sont réunis pour réfléchir à la journée et donner leur avis. Le retour d'information a été extrêmement positif. De nombreux participants ont souligné que l'exercice leur avait permis d'identifier clairement les lacunes de leur organisation et les points à améliorer en interne. Ils ont également mentionné l'importance d'une pratique régulière dans de telles situations.

Les modèles utilisés pendant l'exercice ont été particulièrement bien accueillis, de même que la possibilité d'identifier les connaissances manquantes et de comprendre ce sur quoi il faut travailler. Les participants ont également salué la diversité de la composition des groupes de travail, les scénarios réalistes et les injections. En outre, il a été noté que le travail d'équipe est d'une grande valeur et qu'il est crucial de comprendre la nécessité de communiquer avec des personnes spécifiques à des moments spécifiques.

Du point de vue des officiers de milice du Commandement Cyber de l'armée suisse, il a été déterminé qu'une structure précise et une division des tâches sont essentielles. Dans les situations de crise, il est crucial de ne pas faire de suppositions. Il faut également veiller à ce qu'une personne soit chargée de documenter la situation. Les conclusions les plus importantes de l'exercice ont été résumées comme suit :

• Une pratique régulière est essentielle « exercice, exercice, exercice ».
• Chaque membre de l'organisation doit connaître ses forces, ses faiblesses et ses ressources,
• il est important de connaître les bonnes personnes pour le soutien.

Les directives de communication de crise et les directives de gestion de crise de l'armée suisse ont été mises à la disposition des participants pendant l'exercice. Ces documents ont été jugés utiles. Les directives de communication de crise de l'armée suisse prévoient une communication claire et précise en cas de crise, la définition des canaux et des voies de communication, ainsi que l'attribution des responsabilités en matière de communication.

L'événement « Cyber-Defence Campus, Cyber Crisis Simulation » a été un grand succès. Les participants ont pu acquérir une expérience précieuse et des connaissances importantes sur la manière dont ils peuvent améliorer leurs processus internes. Les réactions positives et les enseignements tirés soulignent l'importance de ces exercices pour renforcer les capacités de cybersécurité dans l'industrie et les infrastructures critiques.

Nous remercions tout particulièrement les employés de l’OFCS et de l'armée suisse, qui ont participé activement à la préparation et à l'organisation de cet événement.

Plus d'informations :

• Cyber-Defence Campus: Renforcer la cyberdéfense de la Suisse (admin.ch)
• Le groupement de la Défense (admin.ch)
• Page d'accueil OFCS (admin.ch)
• armasuisse Science et technologies S+T (admin.ch)
• Cyberstratégie nationale CSN (admin.ch)
• Cyber Training (admin.ch)