Ne pas diffuser aux joueurs TLP:AMBER

Exercice « REMPAR22 »
Atelier 1 - Scénario

1
Sommaire Ne pas diffuser aux joueurs

1. Rappel sur les modalités d’exercice et des attendus sur la planification

2. Présentation du scénario et des supports d’exercices associés

3. Conseils pour la planification

4. FAQ

2
 1. RAPPELS SUR L’EXERCICE

09/03/2022 3
Rappel des objectifs de l’exercice REMPAR22 Ne pas diffuser aux joueurs

Sensibiliser aux enjeux de continuité d’activité face au risque de blackout

numérique

Tester les dispositifs de gestion de crise afin de s’assurer de la prise en

compte des spécificités des cyber attaques

Entrainer la coordination des acteurs entre eux

Travailler les modalités de communication de crise en interne et en

externe

4
Modalités d’exercice et formats possibles Ne pas diffuser aux joueurs

Selon les objectifs de votre organisation, l’exercice va pouvoir prendre différentes formes:
• Exercice sur table (format plus léger, déroulement d’un scénario en mode présentation pour
identifier les réactions de chaque partie prenante)
• Exercice d’anticipation (afin d’identifier les impacts du scénario sur l’organisation et les possibles
évolution de la crise, et pour identifier les actions à prendre sans jouer la gestion de crise)
• Exercice mono-cellule:
• Au niveau opérationnel – Equipes SI, SSI, Communication de crise, Métiers, etc.
• Au niveau décisionnel – Equipe dirigeante
• Exercice multi-cellules, combinant la cellule opérationnelle et décisionnelle

5
Le rôle du planificateur pour l’organisation de l’exercice
Ne pas diffuser aux joueurs

• S’approprier les modalités et le scénario de l’exercice

• Définir les objectifs d’exercice pour la structure et les modalités de jeu
• Mobiliser les bonnes équipes au sein de sa structure vis-à-vis des objectifs
• Modifier le scénario en conséquence
• Intégrer les aspects logistiques pour l’exercice (réservation de salles, outillage de
crise, partage de procédures, etc.)
• Préparer les joueurs pour l’exercice (brief sur leur rôle durant la crise à minima)
• Mener le RETEX de l’exercice
 2. PRÉSENTATION DU SCÉNARIO

09/03/2022 7
Présentation du scénario Ne pas diffuser aux joueurs

Cyberattaque via la supply-chain

Votre organisation est impactée par des cyberattaques sur un fournisseur de services infonuagiques, ce qui conduit à la
perte d’applications bureautiques et en ligne, ainsi qu’à la fuite de données sensibles.
Votre organisation va devoir gérer les impacts de cette attaque majeure sur ses activités:
• Perte de production (impossibilité de travailler, de fournir un service ou de produire un bien), ce qui conduit à
• Pression des équipes internes pour la reprise d’activité
• Perte financière
• Pression médiatique importante (relai sur les réseaux sociaux et les médias de l’attaque)
• Perte de confiance des parties prenantes (impact sur l’image de l’entreprise, fuites de données sensibles –
données personnelles, fuites de coûts de production, etc.)
• Obligations réglementaires à respecter

8
Temporalité de la crise Ne pas diffuser aux joueurs

11h00

10h20
09h40
9h00
Phase 2 Phase 3
Phase 1 Activation du rançongiciel – Fuites de données sensibles
Panne des services Blocage des postes
bureautiques et informatiques informatiques
en nuage

Suite à la perte d’infrastructure Après avoir récolté des données Pour mettre la pression sur les
d’un fournisseur infonuagique, les sensibles, l’attaquant utilise les organisations touchés, l’attaquant
services de bureautique informations récupérées pour décide de publier certaines
(messagerie, tableur, traitement de s’introduire sur le réseau interne données sensibles récupérées sur
texte, stockage en ligne, etc.) ainsi et pour chiffrer des postes de les stockages en ligne.
que plusieurs applications SaaS travail et des serveurs avec un
cessent de fonctionner. rançongiciel.
9
 Phase 1 - Panne des services bureautiques et Ne pas diffuser aux
informatiques en nuage joueurs

Contexte: Un fournisseur de service infonuagique** est victime d’un chiffrement massif sur ses hyperviseurs*. Les
applications du fournisseur s’appuyant sur ces services d’hébergement (bureautique, mail) mais également d’autres
services numériques s’appuyant sur l’hébergement de ce fournisseur (RH, paie, etc.) sont indisponibles. Les services de
stockage de données en ligne sont également indisponibles.

Enjeux et impacts:
• Comprendre l’origine de la défaillance et les alternatives pour continuer à travailler
• Répondre à la pression interne des collaborateurs et sur la pression externe des clients et des médias sur
l’indisponibilité des services
• Identifier les moyens et la coordination nécessaire avec le fournisseur touché

Aspect cyber : Compromission d’un fournisseur de service infonuagique à partir d’une mise à jour vérolé du logiciel de
supervision. Déploiement d’un spyware pour collecter des données stratégiques présentes sur les machines virtuelles
déployées sur les hyperviseur. Chiffrement par rançongiciel des machines virtuelles de l’hébergeurs, et sur le SI d’autres
clients à partir des données récupérés. La transmission du rançongiciel est faite de manière manuelle.

Equipes pertinentes à impliquer : DSI, SSI, équipes métiers, Continuité d’activité, Direction de crise, communication,
juridique, etc.

A adapter en priorité: Applications internes et externes indisponibles, périmètre touché, noms des départements
touchés, noms de clients ou fournisseurs importants
*Infrastructure permettant de virtualiser un grand nombre serveurs sur une machine unique, permettant une administration commune et un partage des ressources 10
**Si l’organisation ne possède pas d’’infrastructure Cloud, elle peut simuler une panne suite à la mise à jour non réversible d’une technologie très utilisé dans l’organisation (ex: système d’exploitation).
Phase 2 - Activation du rançongiciel / Blocage des Ne pas diffuser aux joueurs
postes informatiques

Contexte: L’attaquant déploie le rançongiciel à partir des infos récoltés à travers l’attaque. Plusieurs postes de travail et
serveurs impliqués dans des activités critiques de l’organisation sont chiffrés et inaccessibles. Les équipes s’inquiètent
de perdre leurs capacités à travailler. Le public s’inquiète de voir l’organisation victime de la cyberattaque, et demande
des comptes sur le niveau de protection apporté. Les équipes SSI et SI sont fortement mobilisées.

Enjeux et impacts:
• Endiguer la diffusion du rançongiciel sur le réseau de l’entreprise
• Identifier les mécanismes de continuité d’activité à activer
• Mettre en place la stratégie de communication de crise pour répondre à la pression médiatique
• Anticiper la reconstruction et la reprise d’activité

Aspect cyber : Lors de sa phase d’exfiltration de données, l’attaquant a récolté des informations d’accès à distance et
des identifiants/mots de passe d’administration. Avec ceux-ci, il s’introduit sur le réseau, escalade ses privilèges
successivement pour prendre le contrôle d’un contrôleur de domaine, récolte des données supplémentaires et lance le
déploiement du rançongiciel.

Equipes pertinentes à impliquer : DSI, SSI, équipes métiers, Continuité d’activité, Direction de crise, communication,
etc.

A adapter en priorité: Périmètre victime du rançongiciel, impacts métier, obligations contractuelles ou réglementaires,
etc.
11
Phase 3 - Fuites de données sensibles Ne pas diffuser aux joueurs

Contexte: Pour mettre la pression sur l’organisation victime et encourager le paiement d’une rançon, l’attaquant met en
ligne un jeu de données de l’entreprise. Il menace de mettre en vente d’autres données dans les prochaines heures
sans paiement d’une rançon. La presse et le grand public se saisissent du sujet et demandent des réponses sur les
conséquences de cette fuite.

Enjeux et impacts:
• Analyser les données et les conséquences de la fuite pour l’activité et l’organisation
• Notification des autorités pertinentes et des parties prenantes
• Restreindre l’accès aux données encore exposé

Aspect cyber : L’attaquant a rassemblé l’ensemble des données disponibles sur les différents réseaux de stockage de
données en ligne, et a réalisé un extrait en se concentrant sur des données sensibles pour encourager la reprise
médiatique. Ils les met à disposition sur sa plateforme de fuite de données et met des annonces de vente sur les forums
cybercriminels.

Equipes pertinentes à impliquer : DSI, SSI, équipes métiers, Continuité d’activité, Direction de crise, communication,
juridique, etc.

A adapter en priorité: Type de données ayant fuitées, obligations réglementaires, conséquences métier, etc.

Les effets des attaques sont croissants au fur et à mesure des phases d’exercice. Ainsi, la fuite de donnée est
une addition au fait que les applications du fournisseurs sont indisponibles et qu’une partie du SI est chiffrée. 12
Adaptation selon les secteurs Ne pas diffuser aux joueurs

Pour adresser les spécificités de chaque secteur, le chronogramme d’exercice a été adapté
pour introduire des pans scénaristiques contextualisés sur les secteurs suivants :

Banque / Services
Industrie Editeurs Conseil
Assurance (public/privé)

Ces spécificités ne porteront pas sur les aspects techniques, mais plutôt sur les conséquences
métiers de l’attaque sur l’activité:
• Type d’applications bureautique perdu suite à la perte d’infrastructure infonuagique
• Pression de la part du métier
• Périmètre d’exécution du rançongiciel
• Type de données fuitant sur Internet
• Obligations réglementaires
• Etc.
13
Les règles d’adaptation Ne pas diffuser aux joueurs

Respecter la temporalité Respecter les aspects Prendre en compte les

des phases techniques de l’attaque interactions avec
l’écosystème

Pour que le scénario soit cohérent Afin de garder une cohérence de Dans les nouveautés intégrés dans le
d’une structure à l’autre, il est scénario, les modifications ne scénario initiale, les nouvelles
important de ne pas sortir des phases peuvent pas toucher les aspects interactions avec l’écosystème
horaires prévues pour chaque techniques. Les attaques doivent doivent être anticipées. Ainsi, si un
temporalité de crise. Durant rester en ligne avec celles du stimulus requierant une interaction
l’exercice, le timing devra également scénario (chiffrement d’infrastructures avec un tiers simulé est introduit, il
être respecté pour éviter les écarts infonuagiques, rançongiciel sur le est bon de vérifier avec l’animation
d’une organisation à l’autre. réseau interne, fuite de données centrale si celle-ci n’est pas déjà
sensibles). simulée ailleurs.
14
Le kit de planification Ne pas diffuser aux joueurs

Pour vous aider dans la préparation et l’adaptation du scénario, un kit de planification est mis à
disposition des planificateurs:
• Chronogramme du scénario – Temporaire, version finale envoyé très prochainement
• Pack de stimuli médiatique (modèle de stimuli)
• Fiche pratique d’adaptation des stimuli
• Deck de présentation du scénario (présentation du jour)

Le dossier de mise en situation (DMS) ainsi que les questions de debriefing seront partagés plus tard.

15
Le rôle du planificateur pour le scénario Ne pas diffuser aux joueurs

Prendre connaissance du scénario dans sa globalité, et bien

relire le chronogramme fourni

Identifier les équipes et personnes à mobiliser, vis-à-vis du

chronogramme et des objectifs choisis pour l’exercice

Modifier le chronogramme pour rendre les stimuli cohérents et

personnalisés avec la structure joueuse

Adapter les injects médiatiques pour intégrer le nom ou le

contexte de l’entreprise (voir pack stimuli)
16
 3. CONSEIL POUR LES PLANIFICATEURS

09/03/2022 17
 Planning recommandé de préparation Ne pas diffuser aux joueurs

Phase 1 : Phase 3 : Phase 4 :

• Prendre connaissance du scénario • Finaliser une première version du • Briefer les observateurs et les animateurs
• Déterminer les objectifs de jeu pour la chronogramme adaptée à la structure • Valider les derniers aspects logistiques
structure • Présenter aux responsables d’équipes
• Identifier les joueurs/équipes à mobiliser mobilisées les objectifs et enjeux de
• Identifier si des préparations l’exercice
supplémentaires sont nécessaires • Identifier les modalités de RETEX de
(formations, exercices sur table, etc.) l’exercice pour la structure
• Préparer les éventuelles « mallettes de
Phase 2 : crise » à utiliser par les participants
• Bloquer les agendas des joueurs pour
l’exercice et pour le briefing joueur Phase 4 :
• Bloquer les salles nécessaires pour le • Finaliser les aspects logistiques (outillage
jour de l’exercice de crise, restauration, etc.)
• Identifier les éléments logistiques • Finaliser l’adaptation du chronogramme
supplémentaires (outillage de crise, • Aligner les derniers changements sur les
restauration, etc.) stimuli médiatiques
• Commencer la modification du scénario • Partager aux joueurs les matériaux
• Réfléchir à la valorisation de l’exercice en d’exercice pertinents (malette de crise,
interne annuaires, DMS, etc.)
• Identifier des observateurs et/ou
animateurs d’exercice
• Finaliser l’animation et l’envoi des injects
Conseil sur comment mener la préparation en interne Ne pas diffuser aux joueurs

• Identifier des complices (non-joueurs!) pour vous aider à modifier le chronogramme en

prenant en compte la réalité métier
• Bloquer les agendas des joueurs et les salles le plus tôt possible
• Identifier si des joueurs ont besoin d’être formés en amont de l’exercice, et organiser des
formations ou exercices sur table si nécessaire
• Consolider la documentation de crise pour les joueurs
• Briefer en amont de l’exercice les dirigeants participants à l’exercice
• Penser à la valorisation de l’exercice
• Ne pas laisser les aspects logistiques au dernier moment
Logistique à prendre en compte Ne pas diffuser aux joueurs

• Salle de crise
• Outils de crise (ordinateurs, téléphone, points d’accès internet) et logiciels (main
courante, espace de stockage, messagerie, etc.)
• Accès au bâtiment de la salle de crise
• Badges (si les participants ne se connaissent pas)
• Restauration (petit-déjeuner, déjeuner) si nécessaire
 4. FAQ

09/03/2022 21
 Questions / Réponses Ne pas diffuser aux joueurs

• Est-ce que le kit intègre des stimuli «type » ? Oui

• De quelles manières peut-on interagir avec les acteurs de son secteur ? Cet aspect dépend de vos objectifs d’exercice. Il
peut être intéressant de jouer certaines interactions mais cela nécessite une coordination en amont entre les entités et de
respecter le timing d’exercice.

• L’organisation devra t-elle contacter les institutions pour jouer les procédures d’alerte ? Pour les institutions, il faudra
uniquement simuler ces échanges.
• Est-il possible de mener l’exercice à la fois en distanciel et présentiel ? Oui, cela dépend de vos objectifs et procédures
internes.

• Quel est le lien entre l’incident chez le fournisseur et le rançongiciel pour le scénario ? Ces attaques sont menées par le
même groupe d'attaquants mais il s'agit de les distinguer. Pour l’incident sur le fournisseur, un de leur logiciel a été compromis
(attaque par supply chain) et créer cette indisponibilité de services. Pour le rançongiciel, les attaquants ont réussi à trouver des
portes vers d'autres cibles (ex :accès à des mots de passe administrateur) pour se latéraliser.

22