Nous suivre Industrie Techno

FIC 2016 : Game of Threats simule des cyberattaques pour sensibiliser les cadres dirigeants

FIC 2016 : Game of Threats simule des cyberattaques pour sensibiliser les cadres dirigeants

A la 8e édition du FIC, PwC propose une démonstration de son jeu Game of Threats.

© Juliette Raynal pour Industrie & Technologies

Le cabinet de conseil et d’audit PwC a profité de l’édition 2016 du Forum international de la cybersécurité (FIC) pour donner le coup d’envoi officiel sur le marché français de son jeu Game of Threats. Celui-ci permet de simuler toutes sortes de cyberattaques et vise à sensibiliser les équipes dirigeantes des entreprises aux enjeux liés à la sécurité informatique de leur société.

Les dirigeants d’une entreprise pharmaceutique forment une cellule de crise. Ils viennent de se rendre compte que leur site web avait fait l’objet d’une attaque (infructueuse) et que certains de leurs employés avaient été victimes d’une campagne de Phishing. Ils hésitent. Comment réagir ? Investir dans des outils ? Étoffer les équipes de sécurité informatique ? Mener une opération de sensibilisation auprès de leurs employés ? Conscients que la propriété intellectuelle du groupe peut-être menacée, ils décident dans un premier temps d’investir dans de nouveaux outils pour lutter contre ces campagnes d’hameçonnage. Bonne décision. En peu de temps l’attaque est neutralisée. D’autres réactions auraient pu conduire à des conséquences bien plus désastreuses…

Fort heureusement, il ne s’agit pas d’une véritable attaque mais d’un scénario développé dans le cadre du jeu Game of Threats, développé par le cabinet d’audit et de conseil PwC. Ce Serious Game est sorti au printemps dernier aux Etats-Unis. Le cabinet PwC profite de l’édition 2016 du Forum international de la cybersécurité (FIC 2016), qui se tient actuellement à Lille, pour lancer officiellement le dispositif sur le marché français. « Le jeu a déjà été testé par une entreprise du CAC40 et est actuellement utilisé par près de 120 entreprises dans le monde », assure  Arnaud Fritz, associé IT Risk Management chez PwC. « L’objectif de ce jeu est de sensibiliser les équipes dirigeantes des entreprises aux enjeux liés à la sécurité informatique de leur société pour qu’elles prennent conscience des potentielles failles et des conséquences de certaines attaques », poursuit-il. In fine, l’objectif est bien de changer la perception qu’ont les cadres dirigeants sur les investissements en matière de cybersécurité. « Ces investissements sont perçus comme des coûts, les dirigeants ne perçoivent pas immédiatement le retour sur investissement », explique Arnaud Fritz.

Une meilleure compréhension des risques pour de meilleurs investissements "Cyber"

Pour déclencher cette prise de conscience, le cabinet de conseil a donc mis au point un jeu de rôle interactif.  Les sessions de sensibilisation se déroulent sur une demi-journée et regroupent à chaque fois une douzaine de personnes coachées par un médiateur. Un premier groupe de six joue les attaquants, tandis que le second groupe joue l’entreprise ciblée par l’attaque. Les rôles sont ensuite inversés. Le Serious Game peut être configuré pour prendre en compte certains paramètres de l’entreprise. Par exemple, les dirigeants pourront retrouver dans le jeu les investissements en matière Cyber déjà réalisés par leur entreprise. Les deux équipes devront également développer leur stratégie de défense et d’attaque en respectant une certaine enveloppe budgétaire.

Tous se retrouvent dans une pièce où trois écrans sont positionnés. Sur l’écran principal, les attaquants et les attaqués peuvent consulter, sur la partie basse, les informations publiées dans les médias et les réseaux sociaux pour ajuster respectivement leur stratégie. Sur la partie haute : le score de la partie évolue selon les attaques réalisées et les contre-mesures prises par l’entreprise. Le compteur passe dans le rouge à partir du moment où les hackers parviennent à mettre en péril la société. Chaque groupe a également accès à un écran où défilent différentes cartes qui leur permettent d’initier différentes actions, dans un temps limité (90 secondes) : lancer une campagne de Phishing, une attaque Zero Day ou exécuter une prise de contrôle à distance pour le groupe "hacker". Mettre un Firewall, sécuriser la messagerie électronique, ou démarrer une campagne de sensibilisation du côté de l’entreprise.

Comme dans la vie réelle, les hackers disposent de plus d’agilité que les dirigeants d’entreprise et peuvent plus facilement changer de stratégie. Les cadres, eux, subissent une certaine inertie. « Game of Threat permet aux équipes dirigeantes d’avoir une meilleure compréhension des risques pour pouvoir, par la suite, focaliser leurs investissements là où ils sont les plus pertinents », commente Arnaud Fritz. Une démarche essentielle car désormais la question n’est plus de savoir : « Est-ce que je vais me faire attaquer ? » mais bien « Quand vais-je me faire attaquer ? »

Bienvenue !

Vous êtes désormais inscrits. Vous recevrez prochainement notre newsletter hebdomadaire Industrie & Technologies

Nous vous recommandons

Avec AI4GEO, CS Group veut créer un Google Earth Engine augmenté

Avec AI4GEO, CS Group veut créer un Google Earth Engine augmenté

Lancé le 10 décembre pour une durée de 4 ans et porté par CS Group, le projet AI4GEO a pour but de créer une[…]

12/12/2019 | 3DEspace
L'open source séduit toujours plus les entreprises françaises et s'impose pour l'IA et la blockchain

L'open source séduit toujours plus les entreprises françaises et s'impose pour l'IA et la blockchain

Pour bien commencer la semaine : Chez Renault, un jumeau numérique pour optimiser la production

Pour bien commencer la semaine : Chez Renault, un jumeau numérique pour optimiser la production

Avec le jumeau numérique de Cosmo Tech, Renault optimise sa production de moteurs

Avec le jumeau numérique de Cosmo Tech, Renault optimise sa production de moteurs

Plus d'articles