EBRC au cœur du plus grand exercice de cyber-sécurité au monde
Les 13 et 14 octobre derniers, EBRC, parmi d'autres acteurs luxembourgeois et européens,était confronté à la plus grande attaque cybercriminelle jamais simulée. L’exercice, coordonné à l’échelle du continent, avait notamment pour objectif de renforcer la coopération entre professionnels et autorités face à une cyber-menace globale.
Le scénario est digne des meilleurs thrillers. De grands magnats d’une contrée lointaine, avec la volonté de faire tomber leurs concurrents actifs dans le domaine des télécoms et du cloud, orchestrent une cyber-attaque à l’échelle de l’Union européenne. En mettant à mal leurs infrastructures, ils espèrent voir leurs valeurs boursières chuter… pour mieux les racheter. Plusieurs opérateurs européens, dont des acteurs clés luxembourgeois, sont simultanément la cible d’attaques DDOS. Des fausses informations à leur égard sont propagées via les médias et sur les réseaux sociaux. Les moyens de communication traditionnels sont mis à mal. Des drones visent les data centres… C’est à ces éléments, entre autres, qu’ont été confrontés les équipes d’EBRC, comme d’autres acteurs européens, opérateurs télécoms, cloud providers, autorités étatiques. Cet exercice hyperréaliste d’une ampleur inédite était organisé par l’ENISA, l’agence de l’Union européenne pour la sécurité des réseaux et de l’information.

Evaluer la coordination nécessaire face à des attaques majeures

« Depuis 2010, tous les deux ans, un exercice est organisé à l’échelle du continent. En tant qu’opérateur clé et gestionnaire d’infrastructures sensibles au Luxembourg, EBRC s’est mobilisé avec un intérêt tout particulier à cette initiative. Un tel exercice est une opportunité unique et complète de tester nos réponses en cas d’attaques majeures et de s’assurer de la coordination nécessaire entre acteurs et autorités face à de telles menaces », assure Lionel Dupré, CISO d’EBRC.

Certes, le cloud provider luxembourgeois, leader dans le domaine de la gestion de la donnée sensible, met régulièrement en place des exercices en interne afin de renforcer et d’adapter continuellement les réponses à apporter face à la menace. Cependant, les opportunités de s’évaluer dans un contexte plus large sont rares, et donc précieuses : « A nos yeux, c’est essentiel. La sécurité, cela repose essentiellement sur des analyses de risques, la mise en place de contre-mesures, la détection d’incidents et les réponses à y apporter », poursuit le CISO. « Si nous veillons sans cesse à l’amélioration de notre niveau de sécurité, il est primordial de nous évaluer face à des attaques coordonnées, dépassant largement le cadre d’EBRC : nous devons nous tester au pied du mur, c’est-à-dire en situation de crise la plus réaliste possible. »

A nos yeux, la sécurité est essentielle

Synchronisation exigée

Dans notre économie numérique, en effet, les interdépendances sont nombreuses. Aussi, comment réagir quand les cybercriminels s’organisent et se regroupent, que leurs objectifs sont précis, et qu’ils mettent en œuvre des attaques complexes visant simultanément des acteurs dépendants les uns des autres ? « Répondre à ce genre d’attaques exige en effet une synchronisation entre les différentes acteurs au niveau de l’Etat et même, dans ce cas précis, de l’Europe. Si chacun demeure isolé, impossible d’avoir conscience des effets de bord et de coordonner une réponse appropriée. L’exercice proposé par l’ENISA vise justement à renforcer la coordination entre tous les acteurs face à ces menaces, selon le slogan ‘stronger together’ », explique Régis Jeandin, Head of Security Services chez EBRC. Le scénario envisage diverses formes d’attaques pour solliciter les réponses à apporter mais aussi éprouver la résistance d’un écosystème. « Le test a démontré qu’EBRC avait une excellente capacité de réponse. Cependant, l’intérêt réel de l’exercice dépasse le cadre des réponses que nous pouvions apporter seuls. Dans de nombreux cas, nous avons fait comme s’il était possible qu’une attaque ait pu tout de même se produire même si elle est normalement empêchée par nos protections déjà en place. Nous testions aussi la coordination nécessaire pour faire face à ce genre de crise », assure Lionel Dupré.
Stronger together

Révéler des points d’amélioration

L’exercice le plus élaboré au monde était particulièrement charpenté, histoire de donner quelques sueurs aux équipes. « Nous étions confrontés à Cyber-11 Septembre, une course contre la montre avec obligation de résultats face à des vagues d’attaques successives et coordonnées. Nous l’avons mené à fond et avons choisi d’assumer l’impact lié à l’implication de l’ensemble de nos ressources, en mobilisant tous les départements, de la sécurité au marketing en passant par le légal et les services financiers… Nous avons vécu cet exercice comme si nous étions en situation de crise réelle. Notre CERT était en contact permanent avec le GovCERT, l’ANSSI, ainsi que les représentants des 28 états membres regroupés dans la ‘Situation Room’ de l’ENISA à Athènes. Face à une attaque d’une telle ampleur, la mise en place de notre cellule de crise nous a permis de bien réagir. La communication permanente avec les autres cellules européennes nous a permis de coordonner notre propre gestion de la crise : il s’agissait de communiquer sans délai, avec les bonnes personnes, les autorités, les médias, en délivrant les bons messages… tout en s’assurant de la fiabilité de nos interlocuteurs », assure Régis Jeandin.

EBRC peut se rassurer quant à la robustesse de sa sécurité. Les équipes ont joué le jeu à fond quand bien même, sur beaucoup de points, EBRC était nativement « immunisée » contre de telles attaques. Face à ce scénario catastrophe, l’exercice a révélé des points d’optimisation. « C’est tout l’intérêt de ce genre d’exercices de grande ampleur. Si nous sommes capables d’adresser un grand nombre de problématiques à notre niveau, nous devons tester et comprendre comment nous réagirions si elles intervenaient toutes simultanément, à intervalles courts, et si elles impactaient plus que le périmètre EBRC. Nous devions comprendre comment nous pourrions contribuer à la reprise des activités de tout un continent après avoir subi de telles attaques. Le contexte actuel nous incite à nous coordonner plus encore avec tous les acteurs volontaires de la cyber-sécurité. Dans ce domaine, rien ne doit jamais être considéré comme acquis et nous devons sans cesse rester en alerte pour nous renforcer et garantir la qualité de nos services et notre réputation», conclut Lionel Dupré.