Description
Comment se former à la crise cyber avec Pascal STEICHEN (Chairperson of the ECCC Governing Board; CEO of the LHC (Luxembourg House of Cybersecurity))
Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.
Transcription
Bonjour mamie, j'ai ramené un copain. Bonsoir et bienvenue dans la cybersécurité expliquée à ma grand-mère, le podcast pour expliquer la cybersécurité à ceux qui n'y comprennent rien. Comme vous le savez, la résilience est un sujet assez important qu'on a déjà traité dans ce podcast. Mais c'est un sujet qui est tellement vaste, on peut en discuter pendant des heures et surtout avec plein d'intervenants différents. Et aujourd'hui, j'ai l'honneur d'accueillir Pascal Station, dont les auditeurs les plus assidus auront déjà entendu sa voix, puisque j'avais fait référence à lui dans l'épisode consacré au FIC 2024, dans lequel il était intervenu. pour parler de l'intelligence artificielle, avec le très célèbre, la bombe, le brut et le truand, ce qui avait été repris dans l'épisode consacré au FIC. Et donc Pascal, est-ce que tu veux bien te présenter ?
Tout d'abord, bonjour et merci de pouvoir participer à ton podcast. Oui, mon nom est Pascal Stoichel, je suis actuellement directeur de... La Luxembourg House of Cyber Security, donc la maison de la cybersécurité au Luxembourg, qui est une agence publique avec comme vocation de vraiment accompagner le développement économique, donc le développement du marché en cybersécurité. Donc on vise à identifier quelles sont les compétences qui manquent sur le marché et puis on accompagne soit les entreprises de les acquérir. ou au niveau recherche, innovation, de trouver de nouvelles entreprises ou de nouveaux acteurs pour combler ce gap dans le marché. Voilà, sinon, personnellement, je suis aussi actif au niveau européen dans une nouvelle agence européenne qui s'appelle European Cyber Security Competence Center. où je suis le président depuis quelques années maintenant, et qui justement est cette agence européenne qui a un peu une vocation similaire que notre maison au Luxembourg, c'est justement d'accompagner le développement du marché européen en cybersécurité pour pouvoir utiliser la cybersécurité comme un des différenciateurs pour l'Europe par rapport au... aux autres parties de notre planète.
D'accord. Alors justement, il y a des spécificités à Luxembourg qui sont assez intéressantes, mais je ne vais pas en parler aujourd'hui parce qu'on est en train de préparer un numéro spécial justement sur ce sujet. Donc je ne vais pas, entre guillemets, comment dire, trop avancer le sujet, mais c'est en discussion, c'est en préparation. On en reparlera à un autre moment. Le sujet qui m'intéresse aujourd'hui et sur lequel j'aimerais bien voir ton éclairage, Pascal, c'est sur le sujet de la résilience, la résilience opérationnelle, et particulièrement sur les aspects de formation, puisqu'on sait que la formation est quelque chose d'assez important. A noter aussi qu'à l'instar de Nicolas-Éloïc Fortin, que j'avais déjà reçu dans ce podcast, tu es aussi co-auteur du livre des fondamentaux de la gestion de la crise cyber. qui a été menée par Lorane Raimondo, qu'on salue d'ailleurs en passage. Donc, tu es en partie auteur de ce livre-là, et donc tu as participé aussi à la rédaction de cet ouvrage. Donc, tu fais figure, probablement, d'un expert de ce domaine. Et justement, j'aimerais bien que tu nous donnes un petit peu ton avis et ta perception, finalement, de l'importance de la formation. C'est l'importance, tout le monde est d'accord, mais aussi sur les moyens de former les gens à la gestion de la crise.
Oui, la formation au sens large, c'est vraiment un élément clé dans la cybersécurité. Et de nos jours, on va plutôt parler, utiliser des termes un peu plus modernes, de création de compétences, développement de compétences, donc le competence building, comme on dit en anglais. Parce que ça, c'est vraiment le fondamental de... permettre à acquérir des connaissances, mais aussi à pouvoir les appliquer. Donc ça, c'est, je pense, un élément important au niveau de cette activité de formation.
Ça va être très difficile, physiquement et moralement, sur la durée, physiquement. Oh, vous me laissez parler, écrasé quand je parle, d'accord ? La langue, comme vous avez l'habitude de le faire et de parler et de poser, ça par contre, ça va vous aider. Ça va vous aider à quoi ? À réfléchir,
à anticiper,
à être en mesure d'analyser, plutôt que de parler sans élu.
En fait, il y a plusieurs niveaux. Il y a une sorte de gradation. Donc, ça commence par un niveau plus de sensibilisation, où on va plutôt plus informer les gens. sur différents réflexes, différentes choses à savoir, à connaître dans une certaine situation, peut-être dans une situation de crise. Mais souvent, ça ne suffit pas. Il faut aussi pouvoir arriver à vraiment appréhender cette connaissance, à pouvoir sortir le bon réflexe au bon moment. Et donc ça, ça passe par plutôt quelque chose qu'on va... appelé de l'entraînement. Et là, justement, il y a beaucoup de développement autour de cet entraînement, notamment de faire des exercices en cybersécurité et pour la préparation à la gestion des crises, c'est de faire des exercices, ça c'est vraiment le... C'est devenu un peu l'outil ou le mécanisme vers lequel tout le monde regarde parce que c'est le plus efficace. Parce que dans une telle mise en situation, on peut vraiment pratiquer, on peut vraiment tester ce qu'on a appris, soit ce qu'on a lu dans un livre ou ce qu'on a vu dans un cours. mises en œuvre dans une procédure, par exemple, au niveau interne, et vraiment tester, vraiment vérifier est-ce que tout ça tient la route dans une situation, dans une mise en situation proche de la réalité ou très proche de la réalité. Et ça, c'est vraiment quelque chose où nous, mais plein d'autres dans ce domaine-là, mettent. tous les efforts ou tous les développements dans ce développement de l'entraînement, de faire des cyber-exercices finalement. Et ça, on en trouve au niveau international, au niveau national, au niveau européen, et même pour des entités internes dans des entreprises ou dans des structures. Il y a pour toutes les sauces, il y a pour tous les types de développement de compétences.
D'accord. Alors effectivement, parce qu'il y a des exercices de crise qui sont organisés par l'armée, on en voit souvent, etc. Et puis des exercices de crise qui sont plutôt orientés pour les entreprises. D'ailleurs, tu pourras peut-être nous parler de la Rome 42 qui permet de faire de la simulation. Mais avant de rentrer un petit peu dans le détail de la simulation en tant que telle, est-ce que tu pourrais nous donner... selon toi, les ingrédients ? Qu'est-ce qu'il faut faire pour faire un bon exercice de crise ? Est-ce qu'il faut, par exemple, arriver avec des gens qui n'ont aucune connaissance et qui acquièrent ça au fur et à mesure ? Est-ce qu'il faut les briefer avant ? Tu parlais d'une procédure, par exemple. Est-ce qu'il faut, par exemple, leur donner la procédure avant ou est-ce qu'ils doivent la découvrir en live ? Par rapport aux gens qui participent aussi à l'exercice de crise, ça peut être quelque chose d'assez important. Est-ce qu'on met par exemple que des membres de l'exco et on ne met justement pas de techniciens qui pourraient éventuellement les influencer ? Selon toi, avec ton expérience, parce que tu as mené quand même bon nombre d'exercices de gens là, encadré du moins ce type d'exercice, quel est le meilleur setup finalement pour avoir un exercice efficace et qui permette d'avoir une valeur ajoutée ?
Alors, il n'y a pas la recette miracle.
Comme souvent, on subit en super sécurité, malheureusement.
Voilà, voilà. Et surtout, on voit des exercices qui vont se focaliser sur différents, sur un public cible spécifique, par exemple. Tu as mentionné la Room 42. Et là, notamment, nous avons choisi de cibler. cette initiative de Roub42 sur un public cible très dit, très spécifique, avec un concept assez spécifique aussi. Je vais peut-être y revenir par après, mais sinon, de manière générale, au niveau des exercices, je pense qu'il y a plusieurs techniques. Donc, quand on regarde les exercices européens ou internationaux, aussi militaires, parce que ça vient quand même, conceptuellement, ça vient quand même un peu du militaire, où l'idée, c'est de faire du drill. de faire en sorte qu'en situation d'action, respectivement de guerre, les réflexes viennent tout de suite sans réfléchir. C'est ça le but de l'entraînement. Et ça, c'est aussi un peu le but avec les exercices cyber. Et il y a clairement un besoin à tous les niveaux. Donc, il y a un besoin pour les équipes techniques, mais il y a surtout un besoin pour... les équipes moins techniques et surtout des gens qui sont probablement beaucoup moins dans ou connectés avec le domaine cyber, qui au jour le jour ne travaillent pas forcément ou n'ont pas directement de lien avec ce domaine, mais qui, dans une situation de vraie crise, où l'entreprise... Il y a vraiment question de sauver l'entreprise où il faut vraiment que toutes les fonctions clés d'une entreprise puissent comprendre ce qui se passe et puissent fonctionner ensemble. Donc, un peu l'élément principal d'une toute crise est quand même la communication. Donc, de pouvoir savoir quoi communiquer à qui, quand, comment. dans quelle cadence, et puis aussi le contenu de la communication pour que vraiment ça soit bien compris, qu'il y ait des actions précises qui vont pouvoir être faites pour justement gérer ou pour mitiger les effets de la crise.
D'accord.
Donc ça c'est un peu les éléments clés. Comme je dis, il y a plusieurs techniques. Juste peut-être, tu avais dit, est-ce qu'il faut préparer en amont ? Préparer, voilà, avoir une procédure, avoir une connaissance ou faire ça fraîche comme ça. Là aussi, je pense qu'il y a un peu deux écoles. Donc la plupart du temps, on voit quand même que… des exercices sont préparés en avance. Donc, il y a des briefings, il y a des rôles bien définis, il y a tout un catalogue de choses à connaître avant de faire l'exercice, notamment parce qu'il faut, pendant un exercice, il faut simuler quand même pas mal de choses. Donc, il faut un peu savoir comment tout ça fonctionne pour éviter de... être trop occupé de faire de comprendre l'exercice que d'apprendre le contenu donc ça c'est quand même la plupart du temps du côté de la room 42 on a choisi justement l'autre école, on a choisi de faire que vraiment c'est quelque chose où on peut le faire sans connaissance sans Il y a un tout petit briefing, mais ça c'est vraiment au moment même. Donc on peut venir tout frais sans besoin d'avoir…
Un pré-hockey technique par exemple.
Exact, c'est ça. C'est un peu le cas, mais on voit quand même la plupart du temps que c'est quelque chose qui a besoin d'une grande préparation pour avoir… Parce que l'idée souvent c'est aussi que le résultat d'un tel exercice… Il est déjà plus ou moins prédéfini. On veut entraîner les personnes à suivre un certain plan ou à une certaine procédure ou à une certaine... méthodologie. Ou renforcer une collaboration ou faire en sorte qu'en temps de crise, on ait tout le monde les bons réflexes. Donc ça, c'est la plupart des exercices qui se font comme ça. Justement, pour la Home Corps 2, on a choisi plutôt... que c'est plutôt une découverte, que c'est vraiment un premier... En fait, c'est un peu le super exercice pour les nuls, en quelque sorte, parce que c'est vraiment quelque chose qu'on peut faire sans prérequis.
D'accord. Et alors, si on résume, il n'y a pas de recette magique, malheureusement, comme souvent. L'objectif est quand même d'obtenir des réflexes auprès des membres. Et là, quel que soit finalement le type de membre, que ce soit des gens qui sont plutôt du technique ou plutôt du management, ce qui est important, c'est de faire en sorte qu'ils acquièrent ces réflexes importants. La communication aussi, tu l'as souligné, c'est quelque chose de crucial. Et ça, on le voit tous les jours, mais particulièrement en matière de cybersécurité. Alors, je pense que là, on parle de la communication en interne, donc la bonne coordination entre les différents membres, mais aussi les communications externes. Et ça, on le voit bien de toute façon avec des règlements européens, comme Dora, par exemple, qui soulignent l'importance aussi d'avoir un pôle communication dédié en cas de cyberattaque. Voilà. Je voudrais juste revenir au livre, puisque là tu nous as éclairé sur les bonnes guidelines ou les bonnes pratiques en matière de test. Et juste dans le livre, dans le chapitre que tu as écrit, tu as une approche qui est assez intéressante, qui concerne l'approche 3C, donc connaissance, catégorisation et construction. Moi, c'était la première fois que j'avais l'occasion de voir ça dans le détail. Et je trouvais que c'était assez... intéressant parce que c'était un peu différent de ce qu'on voyait d'habitude. Est-ce que tu pourrais nous expliquer un petit peu ce que c'est et dans quel contexte ça peut être utilisé ?
Oui, ce n'est pas vraiment une méthode, c'est une approche, disons comme ça, qu'on a co-développée ou qu'on a utilisée pour construire. cette initiative de Room 42 qu'on a mis en place. Et justement, l'idée, c'était d'essayer de... C'était dans le cadre d'une réflexion de ce que vraiment le competence building veut dire. Comment est-ce qu'on va aider, accompagner d'autres à... acquérir de la compétence. Qu'est-ce que ça veut dire la compétence ? Il y a clairement la connaissance dans la compétence donc il faut acquérir des connaissances, il faut savoir comment faire donc la partie plutôt formation. Mais c'est aussi lié un peu à ce que j'avais déjà un peu mentionné. c'est de pouvoir pratiquer, de pouvoir utiliser ces connaissances, de pouvoir les intégrer dans le jour-à-jour, dans les activités d'une entreprise, par exemple la partie processus, mais aussi la partie organisationnelle. Il y a aussi un peu un aspect que la compétence, ce n'est pas toujours qu'une compétence individuelle d'une personne, mais ça peut être une compétence collective ou une compétence de l'entreprise ou même du domaine. L'idée, c'est aussi de peut-être co-construire. co-développer avec des partenaires, avec plusieurs ces besoins en compétences pour pouvoir adresser les solutions. Et au niveau de la gestion de crise, c'est quelque chose qui est justement important parce que on ne peut pas gérer une crise seul. Et surtout, Il y a cette multidisciplinarité qui est importante dans la gestion de crise. Si c'est une crise majeure, comme je le disais tantôt, ou tantôt où il y a question de la survie d'une entreprise, il faut vraiment que pas uniquement les gens du domaine technique participent, mais il faut... Les finances, il faut les ressources humaines, il faut le légal, il faut... Voilà, tous ces types de fonctions pour vraiment identifier est-ce que le souci technique peut vraiment être résolu avec... une solution technique ou pas du tout. Et souvent, c'est le cas que la solution n'est pas au niveau technique, mais à un autre niveau.
Alors justement, ce qui est important, c'est à la fois un mélange de compétences, un technique et non technique. Mais comment s'assurer que le lien entre les techniciens et les non techniciens fonctionne ? Parce que justement, on sait que parfois, dans certaines organisations, on peut avoir... une frontière assez hermétique entre la partie purement technique et la partie non technique. Alors justement Pascal, est-ce que tu peux nous guider sur comment faire pour que les deux parties communiquent correctement et fonctionnent correctement ?
Comment le faire ? Ça dépend beaucoup de la situation. De le faire, ça c'est vraiment important et malheureusement, on ne le voit pas assez souvent. Notamment au niveau des exercices, on voit des exercices qui sont focalisés sur le monde technique où les techniciens s'entraînent sur différents types de scénarios, d'attaques, etc. Et puis, les... Les juristes ou les gens plutôt au niveau de la politique procédurale font des exercices à leur niveau. Mais le lien est très souvent parfait. Il y a une grande exception, c'est un des plus grands exercices au niveau international qui s'appelle Lockchills, qui est organisé par l'OTAN. qui lui justement a ses différentes dimensions. Donc il y a toute la partie technique, il y a la partie plutôt stratcom, comme ils appellent ça, et tout ça fait partie d'un même grand scénario et où les personnes techniques et non techniques doivent aussi interagir et justement trouver le bon langage pour pouvoir comprendre l'un l'autre. pour pouvoir prendre des bonnes décisions ensemble ou spécifiquement d'un côté ou de l'autre côté. Et c'est ça aussi ce qu'on veut renforcer dans notre évolution, notre mise à jour du concept Troubles 42 qui est actuellement en cours. Il y aura là très prochainement, d'ici deux mois plus ou moins, on aura un... La Rome 42 sera un peu mise à jour. Et on veut justement permettre à ce que, à côté de l'équipe plutôt des décideurs, qui est le public cible principal de la Rome 42, il y ait aussi une équipe technique. qui tous les deux participent dans l'exercice et qui doivent justement communiquer entre eux et échanger de l'information dans la crise et pour comprendre comment gérer tout ça. Et ça, ce n'est pas évident parce que c'est vraiment une question de langage, de permettre de pouvoir expliquer des choses qui sont parfois... très technique et très détaillé à un directeur général pour qu'il puisse prendre une décision dans un sens ou dans l'autre sens. Mais ce n'est pas forcément uniquement dans ce sens-là, dans le sens inverse, c'est aussi le cas. Donc, on a aussi vu des cas où les gens des finances ou juristes ont eu du mal à… à vraiment transférer de l'information aux techniques parce que, de nouveau, le langage est difficile. Et c'est là, je pense, où nous sommes actuellement dans une évolution positive parce que, et tu l'avais mentionné, des règlements comme DORA ou d'autres donnent des cadres et permettent, ou déjà donnent des frameworks. plus cadré, plus précis qui vont améliorer cette communication. Personne n'est vraiment très content avec exactement le wording dans ces documents. Ni les noms techniques, ni les techniques, mais au moins là, on a un petit common ground et ça permet de... d'avoir un langage un peu plus commun pour ce domaine de la cybersécurité et idéalement aussi dans une situation de cybercrise.
Alors, c'est marrant que tu termines par le côté européen, avec les textes européens, etc. Parce que tu as cité le Chile qui est plutôt de l'OTAN. Mais comme justement tu... tu étais aussi au statut européen, est-ce que selon toi, on va peut-être commencer un jour ou l'autre à imaginer des scénarios de crise au niveau d'un État ou entre les États au niveau européen, par exemple, au-delà simplement d'organiser un exercice de crise pour une entreprise ? On sait par exemple que la Russie s'est déjà entraînée à tout un ensemble de scénarios de crise. Alors, ça s'est plus ou moins bien passé. Je parle particulièrement de la DNS, par exemple, quand ils ont voulu... Faire tourner Internet tout seul, c'est compliqué, on va dire ça comme ça. Mais voilà, est-ce que le monde dans lequel on vit est celui qui existe aujourd'hui avec toutes ses complexités et ses difficultés ? Mais je pense qu'il est légitime de se poser la question si un jour ou l'autre, l'Europe ne va pas commencer à vouloir faire ce genre d'exercice. Alors sans dévoiler peut-être des secrets, mais est-ce que tu pourrais nous donner un petit peu d'insights, comme on dit dessus, enfin d'informations ? Selon toi, quel est le sens du vent concernant ces tests ?
Alors, juste pour, comme tu parlais de la récite et de la situation géopolitique dans laquelle on se trouve, ces exercices de l'OTAN, les « Lockchains » , sont quand même assez spécifiquement dans l'idée, justement, d'une situation où les pays de l'OTAN doivent gérer une… cyberattaque massif, une crise cyber venant de pays en dehors de l'OTAN, disons comme ça. Donc là, on entraîne vraiment cette situation. Au niveau européen, il y a quand même déjà eu des exercices européens aussi. La seule différence, c'est qu'ils étaient quand même généralement moins d'envergure, de plus petite envergure que l'Ochills. Et surtout, sur plutôt un niveau de secteur, donc sectoriel. Il y a eu, le dernier, c'était, je pense, l'année passée. Et là, il y en a eu deux, trois. en fait tous les deux ans. Donc l'année passée, il y a eu un exercice dans le domaine du transport, si je me rappelle bien. Et l'année prochaine, il y en aura un dans le secteur de la santé. Donc ça c'est l'INISA, l'Agence européenne de cybersécurité, qui coordonne ces exercices. Mais ça reste encore assez loin. c'est pas négatif mais c'est beaucoup l'objectif de l'éducation c'est beaucoup vraiment de connaître toutes les personnes, toutes les contreparties dans les différents pays pour savoir dans une situation réelle qui je dois contacter pour pouvoir m'aider, donc ça c'est vraiment l'objectif vraiment de de mettre à jour en gros les carnets d'adresse. Et puis il y a quelques challenges techniques pour les certes.
Géographie.
Quoi ? Géographie. Ça existe ça ? Ben oui.
Comment s'appellent les habitants de Hong Kong ? Il faut tous les noms.
Tu ne t'en sors pas, il te faut quatre mois pour répondre là-haut. Mais il n'y a pas encore cette partie strat-com stratégique où vraiment il y a des décisions communes de gestion ou de décisions de gestion de crise communes européennes qui font partie de ces exercices. Mais la volonté est là. C'est toujours une question aussi de...
d'organiser tout ça parce que de nouveau je fais référence à Lock Shields qui est en fait le plus grand exercice au monde et il y a quand même une agence d'une trentaine de personnes qui fait quasi que ça toute l'année ça demande quand même pas mal d'efforts et là on a des équipes d'une quasi cinquantaine jusqu'à une centaine de personnes par pays donc c'est vraiment énorme c'est des milliers de personnes qui se mobilisent pour quelques jours dans ces exercices. Et naturellement, la plupart des pays européens y participent déjà. Donc, quelque part, ça fait moins de sens de refaire la même chose au niveau européen. Donc, l'idée, c'était de dire, OK, au niveau purement européen, on va essayer de faire quelque chose de complémentaire, peut-être un peu plus spécifique aux besoins spécifiques liés en Europe. Et donc... L'idée, c'était de faire ça autour de la Nice 2, avec les différents secteurs, et d'impliquer le secteur privé. Et c'est ça la grosse différence, c'est qu'au niveau Lockchile, c'est quand même principalement militaire public. Les exercices Cyber Europe, comme ils s'appellent, impliquent le secteur privé également. Et ça, c'est un... quand même un plus important parce que surtout en cyber sans les acteurs du secteur privé on n'arrivera pas à faire grand chose parce que la planète c'est quand même 80-90% dans les mains des acteurs privés
Très bien Tu veux peut-être ajouter le mot de la fin ? Quelque chose qui te tient à coeur ?
Je pense qu'on a fait un peu le tour. Ce qui est important dans tout ça, c'est de faire ces exercices, de se prendre le temps d'aller soi-même ou certaines personnes de son équipe, de pouvoir... libérer un peu le temps de l'opérationnel pour vraiment participer à de tels exercices. Il y a de plus en plus d'opportunités et les retours, les valeurs ajoutées dans ces exercices, soit les retours que nous envoient, soit les valeurs ajoutées que nous-mêmes, on a en participant à des exercices européens ou internationaux. Et vraiment... Voilà, incomparable avec ce qu'on pourrait trouver dans une formation ou dans un livre. C'est vraiment la pratique qui est le plus important. Et justement, c'est ça qui va préparer au mieux à une réelle situation de crise. Donc, ça revient un peu au 3C. Donc, vraiment tester, tester, tester, c'est le plus important.
Très bien. Écoute Pascal, un grand merci en tout cas de nous avoir éclairé sur cette problématique de crise cyber, surtout sur la formation qui est quand même quelque chose d'assez essentiel. Je comprends d'après ce que tu dis au niveau de l'Europe que peut-être on aura une cyber défense avant d'avoir une défense européenne. On le souhaite en tout cas, on verra bien comment ça se passe. Voilà, encore un grand merci et comme je le dis très souvent, pour certaines personnes, la cybersécurité est un enjeu de vie mort, bien plus sérieux que ça.
Description
Comment se former à la crise cyber avec Pascal STEICHEN (Chairperson of the ECCC Governing Board; CEO of the LHC (Luxembourg House of Cybersecurity))
Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.
Transcription
Bonjour mamie, j'ai ramené un copain. Bonsoir et bienvenue dans la cybersécurité expliquée à ma grand-mère, le podcast pour expliquer la cybersécurité à ceux qui n'y comprennent rien. Comme vous le savez, la résilience est un sujet assez important qu'on a déjà traité dans ce podcast. Mais c'est un sujet qui est tellement vaste, on peut en discuter pendant des heures et surtout avec plein d'intervenants différents. Et aujourd'hui, j'ai l'honneur d'accueillir Pascal Station, dont les auditeurs les plus assidus auront déjà entendu sa voix, puisque j'avais fait référence à lui dans l'épisode consacré au FIC 2024, dans lequel il était intervenu. pour parler de l'intelligence artificielle, avec le très célèbre, la bombe, le brut et le truand, ce qui avait été repris dans l'épisode consacré au FIC. Et donc Pascal, est-ce que tu veux bien te présenter ?
Tout d'abord, bonjour et merci de pouvoir participer à ton podcast. Oui, mon nom est Pascal Stoichel, je suis actuellement directeur de... La Luxembourg House of Cyber Security, donc la maison de la cybersécurité au Luxembourg, qui est une agence publique avec comme vocation de vraiment accompagner le développement économique, donc le développement du marché en cybersécurité. Donc on vise à identifier quelles sont les compétences qui manquent sur le marché et puis on accompagne soit les entreprises de les acquérir. ou au niveau recherche, innovation, de trouver de nouvelles entreprises ou de nouveaux acteurs pour combler ce gap dans le marché. Voilà, sinon, personnellement, je suis aussi actif au niveau européen dans une nouvelle agence européenne qui s'appelle European Cyber Security Competence Center. où je suis le président depuis quelques années maintenant, et qui justement est cette agence européenne qui a un peu une vocation similaire que notre maison au Luxembourg, c'est justement d'accompagner le développement du marché européen en cybersécurité pour pouvoir utiliser la cybersécurité comme un des différenciateurs pour l'Europe par rapport au... aux autres parties de notre planète.
D'accord. Alors justement, il y a des spécificités à Luxembourg qui sont assez intéressantes, mais je ne vais pas en parler aujourd'hui parce qu'on est en train de préparer un numéro spécial justement sur ce sujet. Donc je ne vais pas, entre guillemets, comment dire, trop avancer le sujet, mais c'est en discussion, c'est en préparation. On en reparlera à un autre moment. Le sujet qui m'intéresse aujourd'hui et sur lequel j'aimerais bien voir ton éclairage, Pascal, c'est sur le sujet de la résilience, la résilience opérationnelle, et particulièrement sur les aspects de formation, puisqu'on sait que la formation est quelque chose d'assez important. A noter aussi qu'à l'instar de Nicolas-Éloïc Fortin, que j'avais déjà reçu dans ce podcast, tu es aussi co-auteur du livre des fondamentaux de la gestion de la crise cyber. qui a été menée par Lorane Raimondo, qu'on salue d'ailleurs en passage. Donc, tu es en partie auteur de ce livre-là, et donc tu as participé aussi à la rédaction de cet ouvrage. Donc, tu fais figure, probablement, d'un expert de ce domaine. Et justement, j'aimerais bien que tu nous donnes un petit peu ton avis et ta perception, finalement, de l'importance de la formation. C'est l'importance, tout le monde est d'accord, mais aussi sur les moyens de former les gens à la gestion de la crise.
Oui, la formation au sens large, c'est vraiment un élément clé dans la cybersécurité. Et de nos jours, on va plutôt parler, utiliser des termes un peu plus modernes, de création de compétences, développement de compétences, donc le competence building, comme on dit en anglais. Parce que ça, c'est vraiment le fondamental de... permettre à acquérir des connaissances, mais aussi à pouvoir les appliquer. Donc ça, c'est, je pense, un élément important au niveau de cette activité de formation.
Ça va être très difficile, physiquement et moralement, sur la durée, physiquement. Oh, vous me laissez parler, écrasé quand je parle, d'accord ? La langue, comme vous avez l'habitude de le faire et de parler et de poser, ça par contre, ça va vous aider. Ça va vous aider à quoi ? À réfléchir,
à anticiper,
à être en mesure d'analyser, plutôt que de parler sans élu.
En fait, il y a plusieurs niveaux. Il y a une sorte de gradation. Donc, ça commence par un niveau plus de sensibilisation, où on va plutôt plus informer les gens. sur différents réflexes, différentes choses à savoir, à connaître dans une certaine situation, peut-être dans une situation de crise. Mais souvent, ça ne suffit pas. Il faut aussi pouvoir arriver à vraiment appréhender cette connaissance, à pouvoir sortir le bon réflexe au bon moment. Et donc ça, ça passe par plutôt quelque chose qu'on va... appelé de l'entraînement. Et là, justement, il y a beaucoup de développement autour de cet entraînement, notamment de faire des exercices en cybersécurité et pour la préparation à la gestion des crises, c'est de faire des exercices, ça c'est vraiment le... C'est devenu un peu l'outil ou le mécanisme vers lequel tout le monde regarde parce que c'est le plus efficace. Parce que dans une telle mise en situation, on peut vraiment pratiquer, on peut vraiment tester ce qu'on a appris, soit ce qu'on a lu dans un livre ou ce qu'on a vu dans un cours. mises en œuvre dans une procédure, par exemple, au niveau interne, et vraiment tester, vraiment vérifier est-ce que tout ça tient la route dans une situation, dans une mise en situation proche de la réalité ou très proche de la réalité. Et ça, c'est vraiment quelque chose où nous, mais plein d'autres dans ce domaine-là, mettent. tous les efforts ou tous les développements dans ce développement de l'entraînement, de faire des cyber-exercices finalement. Et ça, on en trouve au niveau international, au niveau national, au niveau européen, et même pour des entités internes dans des entreprises ou dans des structures. Il y a pour toutes les sauces, il y a pour tous les types de développement de compétences.
D'accord. Alors effectivement, parce qu'il y a des exercices de crise qui sont organisés par l'armée, on en voit souvent, etc. Et puis des exercices de crise qui sont plutôt orientés pour les entreprises. D'ailleurs, tu pourras peut-être nous parler de la Rome 42 qui permet de faire de la simulation. Mais avant de rentrer un petit peu dans le détail de la simulation en tant que telle, est-ce que tu pourrais nous donner... selon toi, les ingrédients ? Qu'est-ce qu'il faut faire pour faire un bon exercice de crise ? Est-ce qu'il faut, par exemple, arriver avec des gens qui n'ont aucune connaissance et qui acquièrent ça au fur et à mesure ? Est-ce qu'il faut les briefer avant ? Tu parlais d'une procédure, par exemple. Est-ce qu'il faut, par exemple, leur donner la procédure avant ou est-ce qu'ils doivent la découvrir en live ? Par rapport aux gens qui participent aussi à l'exercice de crise, ça peut être quelque chose d'assez important. Est-ce qu'on met par exemple que des membres de l'exco et on ne met justement pas de techniciens qui pourraient éventuellement les influencer ? Selon toi, avec ton expérience, parce que tu as mené quand même bon nombre d'exercices de gens là, encadré du moins ce type d'exercice, quel est le meilleur setup finalement pour avoir un exercice efficace et qui permette d'avoir une valeur ajoutée ?
Alors, il n'y a pas la recette miracle.
Comme souvent, on subit en super sécurité, malheureusement.
Voilà, voilà. Et surtout, on voit des exercices qui vont se focaliser sur différents, sur un public cible spécifique, par exemple. Tu as mentionné la Room 42. Et là, notamment, nous avons choisi de cibler. cette initiative de Roub42 sur un public cible très dit, très spécifique, avec un concept assez spécifique aussi. Je vais peut-être y revenir par après, mais sinon, de manière générale, au niveau des exercices, je pense qu'il y a plusieurs techniques. Donc, quand on regarde les exercices européens ou internationaux, aussi militaires, parce que ça vient quand même, conceptuellement, ça vient quand même un peu du militaire, où l'idée, c'est de faire du drill. de faire en sorte qu'en situation d'action, respectivement de guerre, les réflexes viennent tout de suite sans réfléchir. C'est ça le but de l'entraînement. Et ça, c'est aussi un peu le but avec les exercices cyber. Et il y a clairement un besoin à tous les niveaux. Donc, il y a un besoin pour les équipes techniques, mais il y a surtout un besoin pour... les équipes moins techniques et surtout des gens qui sont probablement beaucoup moins dans ou connectés avec le domaine cyber, qui au jour le jour ne travaillent pas forcément ou n'ont pas directement de lien avec ce domaine, mais qui, dans une situation de vraie crise, où l'entreprise... Il y a vraiment question de sauver l'entreprise où il faut vraiment que toutes les fonctions clés d'une entreprise puissent comprendre ce qui se passe et puissent fonctionner ensemble. Donc, un peu l'élément principal d'une toute crise est quand même la communication. Donc, de pouvoir savoir quoi communiquer à qui, quand, comment. dans quelle cadence, et puis aussi le contenu de la communication pour que vraiment ça soit bien compris, qu'il y ait des actions précises qui vont pouvoir être faites pour justement gérer ou pour mitiger les effets de la crise.
D'accord.
Donc ça c'est un peu les éléments clés. Comme je dis, il y a plusieurs techniques. Juste peut-être, tu avais dit, est-ce qu'il faut préparer en amont ? Préparer, voilà, avoir une procédure, avoir une connaissance ou faire ça fraîche comme ça. Là aussi, je pense qu'il y a un peu deux écoles. Donc la plupart du temps, on voit quand même que… des exercices sont préparés en avance. Donc, il y a des briefings, il y a des rôles bien définis, il y a tout un catalogue de choses à connaître avant de faire l'exercice, notamment parce qu'il faut, pendant un exercice, il faut simuler quand même pas mal de choses. Donc, il faut un peu savoir comment tout ça fonctionne pour éviter de... être trop occupé de faire de comprendre l'exercice que d'apprendre le contenu donc ça c'est quand même la plupart du temps du côté de la room 42 on a choisi justement l'autre école, on a choisi de faire que vraiment c'est quelque chose où on peut le faire sans connaissance sans Il y a un tout petit briefing, mais ça c'est vraiment au moment même. Donc on peut venir tout frais sans besoin d'avoir…
Un pré-hockey technique par exemple.
Exact, c'est ça. C'est un peu le cas, mais on voit quand même la plupart du temps que c'est quelque chose qui a besoin d'une grande préparation pour avoir… Parce que l'idée souvent c'est aussi que le résultat d'un tel exercice… Il est déjà plus ou moins prédéfini. On veut entraîner les personnes à suivre un certain plan ou à une certaine procédure ou à une certaine... méthodologie. Ou renforcer une collaboration ou faire en sorte qu'en temps de crise, on ait tout le monde les bons réflexes. Donc ça, c'est la plupart des exercices qui se font comme ça. Justement, pour la Home Corps 2, on a choisi plutôt... que c'est plutôt une découverte, que c'est vraiment un premier... En fait, c'est un peu le super exercice pour les nuls, en quelque sorte, parce que c'est vraiment quelque chose qu'on peut faire sans prérequis.
D'accord. Et alors, si on résume, il n'y a pas de recette magique, malheureusement, comme souvent. L'objectif est quand même d'obtenir des réflexes auprès des membres. Et là, quel que soit finalement le type de membre, que ce soit des gens qui sont plutôt du technique ou plutôt du management, ce qui est important, c'est de faire en sorte qu'ils acquièrent ces réflexes importants. La communication aussi, tu l'as souligné, c'est quelque chose de crucial. Et ça, on le voit tous les jours, mais particulièrement en matière de cybersécurité. Alors, je pense que là, on parle de la communication en interne, donc la bonne coordination entre les différents membres, mais aussi les communications externes. Et ça, on le voit bien de toute façon avec des règlements européens, comme Dora, par exemple, qui soulignent l'importance aussi d'avoir un pôle communication dédié en cas de cyberattaque. Voilà. Je voudrais juste revenir au livre, puisque là tu nous as éclairé sur les bonnes guidelines ou les bonnes pratiques en matière de test. Et juste dans le livre, dans le chapitre que tu as écrit, tu as une approche qui est assez intéressante, qui concerne l'approche 3C, donc connaissance, catégorisation et construction. Moi, c'était la première fois que j'avais l'occasion de voir ça dans le détail. Et je trouvais que c'était assez... intéressant parce que c'était un peu différent de ce qu'on voyait d'habitude. Est-ce que tu pourrais nous expliquer un petit peu ce que c'est et dans quel contexte ça peut être utilisé ?
Oui, ce n'est pas vraiment une méthode, c'est une approche, disons comme ça, qu'on a co-développée ou qu'on a utilisée pour construire. cette initiative de Room 42 qu'on a mis en place. Et justement, l'idée, c'était d'essayer de... C'était dans le cadre d'une réflexion de ce que vraiment le competence building veut dire. Comment est-ce qu'on va aider, accompagner d'autres à... acquérir de la compétence. Qu'est-ce que ça veut dire la compétence ? Il y a clairement la connaissance dans la compétence donc il faut acquérir des connaissances, il faut savoir comment faire donc la partie plutôt formation. Mais c'est aussi lié un peu à ce que j'avais déjà un peu mentionné. c'est de pouvoir pratiquer, de pouvoir utiliser ces connaissances, de pouvoir les intégrer dans le jour-à-jour, dans les activités d'une entreprise, par exemple la partie processus, mais aussi la partie organisationnelle. Il y a aussi un peu un aspect que la compétence, ce n'est pas toujours qu'une compétence individuelle d'une personne, mais ça peut être une compétence collective ou une compétence de l'entreprise ou même du domaine. L'idée, c'est aussi de peut-être co-construire. co-développer avec des partenaires, avec plusieurs ces besoins en compétences pour pouvoir adresser les solutions. Et au niveau de la gestion de crise, c'est quelque chose qui est justement important parce que on ne peut pas gérer une crise seul. Et surtout, Il y a cette multidisciplinarité qui est importante dans la gestion de crise. Si c'est une crise majeure, comme je le disais tantôt, ou tantôt où il y a question de la survie d'une entreprise, il faut vraiment que pas uniquement les gens du domaine technique participent, mais il faut... Les finances, il faut les ressources humaines, il faut le légal, il faut... Voilà, tous ces types de fonctions pour vraiment identifier est-ce que le souci technique peut vraiment être résolu avec... une solution technique ou pas du tout. Et souvent, c'est le cas que la solution n'est pas au niveau technique, mais à un autre niveau.
Alors justement, ce qui est important, c'est à la fois un mélange de compétences, un technique et non technique. Mais comment s'assurer que le lien entre les techniciens et les non techniciens fonctionne ? Parce que justement, on sait que parfois, dans certaines organisations, on peut avoir... une frontière assez hermétique entre la partie purement technique et la partie non technique. Alors justement Pascal, est-ce que tu peux nous guider sur comment faire pour que les deux parties communiquent correctement et fonctionnent correctement ?
Comment le faire ? Ça dépend beaucoup de la situation. De le faire, ça c'est vraiment important et malheureusement, on ne le voit pas assez souvent. Notamment au niveau des exercices, on voit des exercices qui sont focalisés sur le monde technique où les techniciens s'entraînent sur différents types de scénarios, d'attaques, etc. Et puis, les... Les juristes ou les gens plutôt au niveau de la politique procédurale font des exercices à leur niveau. Mais le lien est très souvent parfait. Il y a une grande exception, c'est un des plus grands exercices au niveau international qui s'appelle Lockchills, qui est organisé par l'OTAN. qui lui justement a ses différentes dimensions. Donc il y a toute la partie technique, il y a la partie plutôt stratcom, comme ils appellent ça, et tout ça fait partie d'un même grand scénario et où les personnes techniques et non techniques doivent aussi interagir et justement trouver le bon langage pour pouvoir comprendre l'un l'autre. pour pouvoir prendre des bonnes décisions ensemble ou spécifiquement d'un côté ou de l'autre côté. Et c'est ça aussi ce qu'on veut renforcer dans notre évolution, notre mise à jour du concept Troubles 42 qui est actuellement en cours. Il y aura là très prochainement, d'ici deux mois plus ou moins, on aura un... La Rome 42 sera un peu mise à jour. Et on veut justement permettre à ce que, à côté de l'équipe plutôt des décideurs, qui est le public cible principal de la Rome 42, il y ait aussi une équipe technique. qui tous les deux participent dans l'exercice et qui doivent justement communiquer entre eux et échanger de l'information dans la crise et pour comprendre comment gérer tout ça. Et ça, ce n'est pas évident parce que c'est vraiment une question de langage, de permettre de pouvoir expliquer des choses qui sont parfois... très technique et très détaillé à un directeur général pour qu'il puisse prendre une décision dans un sens ou dans l'autre sens. Mais ce n'est pas forcément uniquement dans ce sens-là, dans le sens inverse, c'est aussi le cas. Donc, on a aussi vu des cas où les gens des finances ou juristes ont eu du mal à… à vraiment transférer de l'information aux techniques parce que, de nouveau, le langage est difficile. Et c'est là, je pense, où nous sommes actuellement dans une évolution positive parce que, et tu l'avais mentionné, des règlements comme DORA ou d'autres donnent des cadres et permettent, ou déjà donnent des frameworks. plus cadré, plus précis qui vont améliorer cette communication. Personne n'est vraiment très content avec exactement le wording dans ces documents. Ni les noms techniques, ni les techniques, mais au moins là, on a un petit common ground et ça permet de... d'avoir un langage un peu plus commun pour ce domaine de la cybersécurité et idéalement aussi dans une situation de cybercrise.
Alors, c'est marrant que tu termines par le côté européen, avec les textes européens, etc. Parce que tu as cité le Chile qui est plutôt de l'OTAN. Mais comme justement tu... tu étais aussi au statut européen, est-ce que selon toi, on va peut-être commencer un jour ou l'autre à imaginer des scénarios de crise au niveau d'un État ou entre les États au niveau européen, par exemple, au-delà simplement d'organiser un exercice de crise pour une entreprise ? On sait par exemple que la Russie s'est déjà entraînée à tout un ensemble de scénarios de crise. Alors, ça s'est plus ou moins bien passé. Je parle particulièrement de la DNS, par exemple, quand ils ont voulu... Faire tourner Internet tout seul, c'est compliqué, on va dire ça comme ça. Mais voilà, est-ce que le monde dans lequel on vit est celui qui existe aujourd'hui avec toutes ses complexités et ses difficultés ? Mais je pense qu'il est légitime de se poser la question si un jour ou l'autre, l'Europe ne va pas commencer à vouloir faire ce genre d'exercice. Alors sans dévoiler peut-être des secrets, mais est-ce que tu pourrais nous donner un petit peu d'insights, comme on dit dessus, enfin d'informations ? Selon toi, quel est le sens du vent concernant ces tests ?
Alors, juste pour, comme tu parlais de la récite et de la situation géopolitique dans laquelle on se trouve, ces exercices de l'OTAN, les « Lockchains » , sont quand même assez spécifiquement dans l'idée, justement, d'une situation où les pays de l'OTAN doivent gérer une… cyberattaque massif, une crise cyber venant de pays en dehors de l'OTAN, disons comme ça. Donc là, on entraîne vraiment cette situation. Au niveau européen, il y a quand même déjà eu des exercices européens aussi. La seule différence, c'est qu'ils étaient quand même généralement moins d'envergure, de plus petite envergure que l'Ochills. Et surtout, sur plutôt un niveau de secteur, donc sectoriel. Il y a eu, le dernier, c'était, je pense, l'année passée. Et là, il y en a eu deux, trois. en fait tous les deux ans. Donc l'année passée, il y a eu un exercice dans le domaine du transport, si je me rappelle bien. Et l'année prochaine, il y en aura un dans le secteur de la santé. Donc ça c'est l'INISA, l'Agence européenne de cybersécurité, qui coordonne ces exercices. Mais ça reste encore assez loin. c'est pas négatif mais c'est beaucoup l'objectif de l'éducation c'est beaucoup vraiment de connaître toutes les personnes, toutes les contreparties dans les différents pays pour savoir dans une situation réelle qui je dois contacter pour pouvoir m'aider, donc ça c'est vraiment l'objectif vraiment de de mettre à jour en gros les carnets d'adresse. Et puis il y a quelques challenges techniques pour les certes.
Géographie.
Quoi ? Géographie. Ça existe ça ? Ben oui.
Comment s'appellent les habitants de Hong Kong ? Il faut tous les noms.
Tu ne t'en sors pas, il te faut quatre mois pour répondre là-haut. Mais il n'y a pas encore cette partie strat-com stratégique où vraiment il y a des décisions communes de gestion ou de décisions de gestion de crise communes européennes qui font partie de ces exercices. Mais la volonté est là. C'est toujours une question aussi de...
d'organiser tout ça parce que de nouveau je fais référence à Lock Shields qui est en fait le plus grand exercice au monde et il y a quand même une agence d'une trentaine de personnes qui fait quasi que ça toute l'année ça demande quand même pas mal d'efforts et là on a des équipes d'une quasi cinquantaine jusqu'à une centaine de personnes par pays donc c'est vraiment énorme c'est des milliers de personnes qui se mobilisent pour quelques jours dans ces exercices. Et naturellement, la plupart des pays européens y participent déjà. Donc, quelque part, ça fait moins de sens de refaire la même chose au niveau européen. Donc, l'idée, c'était de dire, OK, au niveau purement européen, on va essayer de faire quelque chose de complémentaire, peut-être un peu plus spécifique aux besoins spécifiques liés en Europe. Et donc... L'idée, c'était de faire ça autour de la Nice 2, avec les différents secteurs, et d'impliquer le secteur privé. Et c'est ça la grosse différence, c'est qu'au niveau Lockchile, c'est quand même principalement militaire public. Les exercices Cyber Europe, comme ils s'appellent, impliquent le secteur privé également. Et ça, c'est un... quand même un plus important parce que surtout en cyber sans les acteurs du secteur privé on n'arrivera pas à faire grand chose parce que la planète c'est quand même 80-90% dans les mains des acteurs privés
Très bien Tu veux peut-être ajouter le mot de la fin ? Quelque chose qui te tient à coeur ?
Je pense qu'on a fait un peu le tour. Ce qui est important dans tout ça, c'est de faire ces exercices, de se prendre le temps d'aller soi-même ou certaines personnes de son équipe, de pouvoir... libérer un peu le temps de l'opérationnel pour vraiment participer à de tels exercices. Il y a de plus en plus d'opportunités et les retours, les valeurs ajoutées dans ces exercices, soit les retours que nous envoient, soit les valeurs ajoutées que nous-mêmes, on a en participant à des exercices européens ou internationaux. Et vraiment... Voilà, incomparable avec ce qu'on pourrait trouver dans une formation ou dans un livre. C'est vraiment la pratique qui est le plus important. Et justement, c'est ça qui va préparer au mieux à une réelle situation de crise. Donc, ça revient un peu au 3C. Donc, vraiment tester, tester, tester, c'est le plus important.
Très bien. Écoute Pascal, un grand merci en tout cas de nous avoir éclairé sur cette problématique de crise cyber, surtout sur la formation qui est quand même quelque chose d'assez essentiel. Je comprends d'après ce que tu dis au niveau de l'Europe que peut-être on aura une cyber défense avant d'avoir une défense européenne. On le souhaite en tout cas, on verra bien comment ça se passe. Voilà, encore un grand merci et comme je le dis très souvent, pour certaines personnes, la cybersécurité est un enjeu de vie mort, bien plus sérieux que ça.
Share
Embed
You may also like
Description
Comment se former à la crise cyber avec Pascal STEICHEN (Chairperson of the ECCC Governing Board; CEO of the LHC (Luxembourg House of Cybersecurity))
Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.
Transcription
Bonjour mamie, j'ai ramené un copain. Bonsoir et bienvenue dans la cybersécurité expliquée à ma grand-mère, le podcast pour expliquer la cybersécurité à ceux qui n'y comprennent rien. Comme vous le savez, la résilience est un sujet assez important qu'on a déjà traité dans ce podcast. Mais c'est un sujet qui est tellement vaste, on peut en discuter pendant des heures et surtout avec plein d'intervenants différents. Et aujourd'hui, j'ai l'honneur d'accueillir Pascal Station, dont les auditeurs les plus assidus auront déjà entendu sa voix, puisque j'avais fait référence à lui dans l'épisode consacré au FIC 2024, dans lequel il était intervenu. pour parler de l'intelligence artificielle, avec le très célèbre, la bombe, le brut et le truand, ce qui avait été repris dans l'épisode consacré au FIC. Et donc Pascal, est-ce que tu veux bien te présenter ?
Tout d'abord, bonjour et merci de pouvoir participer à ton podcast. Oui, mon nom est Pascal Stoichel, je suis actuellement directeur de... La Luxembourg House of Cyber Security, donc la maison de la cybersécurité au Luxembourg, qui est une agence publique avec comme vocation de vraiment accompagner le développement économique, donc le développement du marché en cybersécurité. Donc on vise à identifier quelles sont les compétences qui manquent sur le marché et puis on accompagne soit les entreprises de les acquérir. ou au niveau recherche, innovation, de trouver de nouvelles entreprises ou de nouveaux acteurs pour combler ce gap dans le marché. Voilà, sinon, personnellement, je suis aussi actif au niveau européen dans une nouvelle agence européenne qui s'appelle European Cyber Security Competence Center. où je suis le président depuis quelques années maintenant, et qui justement est cette agence européenne qui a un peu une vocation similaire que notre maison au Luxembourg, c'est justement d'accompagner le développement du marché européen en cybersécurité pour pouvoir utiliser la cybersécurité comme un des différenciateurs pour l'Europe par rapport au... aux autres parties de notre planète.
D'accord. Alors justement, il y a des spécificités à Luxembourg qui sont assez intéressantes, mais je ne vais pas en parler aujourd'hui parce qu'on est en train de préparer un numéro spécial justement sur ce sujet. Donc je ne vais pas, entre guillemets, comment dire, trop avancer le sujet, mais c'est en discussion, c'est en préparation. On en reparlera à un autre moment. Le sujet qui m'intéresse aujourd'hui et sur lequel j'aimerais bien voir ton éclairage, Pascal, c'est sur le sujet de la résilience, la résilience opérationnelle, et particulièrement sur les aspects de formation, puisqu'on sait que la formation est quelque chose d'assez important. A noter aussi qu'à l'instar de Nicolas-Éloïc Fortin, que j'avais déjà reçu dans ce podcast, tu es aussi co-auteur du livre des fondamentaux de la gestion de la crise cyber. qui a été menée par Lorane Raimondo, qu'on salue d'ailleurs en passage. Donc, tu es en partie auteur de ce livre-là, et donc tu as participé aussi à la rédaction de cet ouvrage. Donc, tu fais figure, probablement, d'un expert de ce domaine. Et justement, j'aimerais bien que tu nous donnes un petit peu ton avis et ta perception, finalement, de l'importance de la formation. C'est l'importance, tout le monde est d'accord, mais aussi sur les moyens de former les gens à la gestion de la crise.
Oui, la formation au sens large, c'est vraiment un élément clé dans la cybersécurité. Et de nos jours, on va plutôt parler, utiliser des termes un peu plus modernes, de création de compétences, développement de compétences, donc le competence building, comme on dit en anglais. Parce que ça, c'est vraiment le fondamental de... permettre à acquérir des connaissances, mais aussi à pouvoir les appliquer. Donc ça, c'est, je pense, un élément important au niveau de cette activité de formation.
Ça va être très difficile, physiquement et moralement, sur la durée, physiquement. Oh, vous me laissez parler, écrasé quand je parle, d'accord ? La langue, comme vous avez l'habitude de le faire et de parler et de poser, ça par contre, ça va vous aider. Ça va vous aider à quoi ? À réfléchir,
à anticiper,
à être en mesure d'analyser, plutôt que de parler sans élu.
En fait, il y a plusieurs niveaux. Il y a une sorte de gradation. Donc, ça commence par un niveau plus de sensibilisation, où on va plutôt plus informer les gens. sur différents réflexes, différentes choses à savoir, à connaître dans une certaine situation, peut-être dans une situation de crise. Mais souvent, ça ne suffit pas. Il faut aussi pouvoir arriver à vraiment appréhender cette connaissance, à pouvoir sortir le bon réflexe au bon moment. Et donc ça, ça passe par plutôt quelque chose qu'on va... appelé de l'entraînement. Et là, justement, il y a beaucoup de développement autour de cet entraînement, notamment de faire des exercices en cybersécurité et pour la préparation à la gestion des crises, c'est de faire des exercices, ça c'est vraiment le... C'est devenu un peu l'outil ou le mécanisme vers lequel tout le monde regarde parce que c'est le plus efficace. Parce que dans une telle mise en situation, on peut vraiment pratiquer, on peut vraiment tester ce qu'on a appris, soit ce qu'on a lu dans un livre ou ce qu'on a vu dans un cours. mises en œuvre dans une procédure, par exemple, au niveau interne, et vraiment tester, vraiment vérifier est-ce que tout ça tient la route dans une situation, dans une mise en situation proche de la réalité ou très proche de la réalité. Et ça, c'est vraiment quelque chose où nous, mais plein d'autres dans ce domaine-là, mettent. tous les efforts ou tous les développements dans ce développement de l'entraînement, de faire des cyber-exercices finalement. Et ça, on en trouve au niveau international, au niveau national, au niveau européen, et même pour des entités internes dans des entreprises ou dans des structures. Il y a pour toutes les sauces, il y a pour tous les types de développement de compétences.
D'accord. Alors effectivement, parce qu'il y a des exercices de crise qui sont organisés par l'armée, on en voit souvent, etc. Et puis des exercices de crise qui sont plutôt orientés pour les entreprises. D'ailleurs, tu pourras peut-être nous parler de la Rome 42 qui permet de faire de la simulation. Mais avant de rentrer un petit peu dans le détail de la simulation en tant que telle, est-ce que tu pourrais nous donner... selon toi, les ingrédients ? Qu'est-ce qu'il faut faire pour faire un bon exercice de crise ? Est-ce qu'il faut, par exemple, arriver avec des gens qui n'ont aucune connaissance et qui acquièrent ça au fur et à mesure ? Est-ce qu'il faut les briefer avant ? Tu parlais d'une procédure, par exemple. Est-ce qu'il faut, par exemple, leur donner la procédure avant ou est-ce qu'ils doivent la découvrir en live ? Par rapport aux gens qui participent aussi à l'exercice de crise, ça peut être quelque chose d'assez important. Est-ce qu'on met par exemple que des membres de l'exco et on ne met justement pas de techniciens qui pourraient éventuellement les influencer ? Selon toi, avec ton expérience, parce que tu as mené quand même bon nombre d'exercices de gens là, encadré du moins ce type d'exercice, quel est le meilleur setup finalement pour avoir un exercice efficace et qui permette d'avoir une valeur ajoutée ?
Alors, il n'y a pas la recette miracle.
Comme souvent, on subit en super sécurité, malheureusement.
Voilà, voilà. Et surtout, on voit des exercices qui vont se focaliser sur différents, sur un public cible spécifique, par exemple. Tu as mentionné la Room 42. Et là, notamment, nous avons choisi de cibler. cette initiative de Roub42 sur un public cible très dit, très spécifique, avec un concept assez spécifique aussi. Je vais peut-être y revenir par après, mais sinon, de manière générale, au niveau des exercices, je pense qu'il y a plusieurs techniques. Donc, quand on regarde les exercices européens ou internationaux, aussi militaires, parce que ça vient quand même, conceptuellement, ça vient quand même un peu du militaire, où l'idée, c'est de faire du drill. de faire en sorte qu'en situation d'action, respectivement de guerre, les réflexes viennent tout de suite sans réfléchir. C'est ça le but de l'entraînement. Et ça, c'est aussi un peu le but avec les exercices cyber. Et il y a clairement un besoin à tous les niveaux. Donc, il y a un besoin pour les équipes techniques, mais il y a surtout un besoin pour... les équipes moins techniques et surtout des gens qui sont probablement beaucoup moins dans ou connectés avec le domaine cyber, qui au jour le jour ne travaillent pas forcément ou n'ont pas directement de lien avec ce domaine, mais qui, dans une situation de vraie crise, où l'entreprise... Il y a vraiment question de sauver l'entreprise où il faut vraiment que toutes les fonctions clés d'une entreprise puissent comprendre ce qui se passe et puissent fonctionner ensemble. Donc, un peu l'élément principal d'une toute crise est quand même la communication. Donc, de pouvoir savoir quoi communiquer à qui, quand, comment. dans quelle cadence, et puis aussi le contenu de la communication pour que vraiment ça soit bien compris, qu'il y ait des actions précises qui vont pouvoir être faites pour justement gérer ou pour mitiger les effets de la crise.
D'accord.
Donc ça c'est un peu les éléments clés. Comme je dis, il y a plusieurs techniques. Juste peut-être, tu avais dit, est-ce qu'il faut préparer en amont ? Préparer, voilà, avoir une procédure, avoir une connaissance ou faire ça fraîche comme ça. Là aussi, je pense qu'il y a un peu deux écoles. Donc la plupart du temps, on voit quand même que… des exercices sont préparés en avance. Donc, il y a des briefings, il y a des rôles bien définis, il y a tout un catalogue de choses à connaître avant de faire l'exercice, notamment parce qu'il faut, pendant un exercice, il faut simuler quand même pas mal de choses. Donc, il faut un peu savoir comment tout ça fonctionne pour éviter de... être trop occupé de faire de comprendre l'exercice que d'apprendre le contenu donc ça c'est quand même la plupart du temps du côté de la room 42 on a choisi justement l'autre école, on a choisi de faire que vraiment c'est quelque chose où on peut le faire sans connaissance sans Il y a un tout petit briefing, mais ça c'est vraiment au moment même. Donc on peut venir tout frais sans besoin d'avoir…
Un pré-hockey technique par exemple.
Exact, c'est ça. C'est un peu le cas, mais on voit quand même la plupart du temps que c'est quelque chose qui a besoin d'une grande préparation pour avoir… Parce que l'idée souvent c'est aussi que le résultat d'un tel exercice… Il est déjà plus ou moins prédéfini. On veut entraîner les personnes à suivre un certain plan ou à une certaine procédure ou à une certaine... méthodologie. Ou renforcer une collaboration ou faire en sorte qu'en temps de crise, on ait tout le monde les bons réflexes. Donc ça, c'est la plupart des exercices qui se font comme ça. Justement, pour la Home Corps 2, on a choisi plutôt... que c'est plutôt une découverte, que c'est vraiment un premier... En fait, c'est un peu le super exercice pour les nuls, en quelque sorte, parce que c'est vraiment quelque chose qu'on peut faire sans prérequis.
D'accord. Et alors, si on résume, il n'y a pas de recette magique, malheureusement, comme souvent. L'objectif est quand même d'obtenir des réflexes auprès des membres. Et là, quel que soit finalement le type de membre, que ce soit des gens qui sont plutôt du technique ou plutôt du management, ce qui est important, c'est de faire en sorte qu'ils acquièrent ces réflexes importants. La communication aussi, tu l'as souligné, c'est quelque chose de crucial. Et ça, on le voit tous les jours, mais particulièrement en matière de cybersécurité. Alors, je pense que là, on parle de la communication en interne, donc la bonne coordination entre les différents membres, mais aussi les communications externes. Et ça, on le voit bien de toute façon avec des règlements européens, comme Dora, par exemple, qui soulignent l'importance aussi d'avoir un pôle communication dédié en cas de cyberattaque. Voilà. Je voudrais juste revenir au livre, puisque là tu nous as éclairé sur les bonnes guidelines ou les bonnes pratiques en matière de test. Et juste dans le livre, dans le chapitre que tu as écrit, tu as une approche qui est assez intéressante, qui concerne l'approche 3C, donc connaissance, catégorisation et construction. Moi, c'était la première fois que j'avais l'occasion de voir ça dans le détail. Et je trouvais que c'était assez... intéressant parce que c'était un peu différent de ce qu'on voyait d'habitude. Est-ce que tu pourrais nous expliquer un petit peu ce que c'est et dans quel contexte ça peut être utilisé ?
Oui, ce n'est pas vraiment une méthode, c'est une approche, disons comme ça, qu'on a co-développée ou qu'on a utilisée pour construire. cette initiative de Room 42 qu'on a mis en place. Et justement, l'idée, c'était d'essayer de... C'était dans le cadre d'une réflexion de ce que vraiment le competence building veut dire. Comment est-ce qu'on va aider, accompagner d'autres à... acquérir de la compétence. Qu'est-ce que ça veut dire la compétence ? Il y a clairement la connaissance dans la compétence donc il faut acquérir des connaissances, il faut savoir comment faire donc la partie plutôt formation. Mais c'est aussi lié un peu à ce que j'avais déjà un peu mentionné. c'est de pouvoir pratiquer, de pouvoir utiliser ces connaissances, de pouvoir les intégrer dans le jour-à-jour, dans les activités d'une entreprise, par exemple la partie processus, mais aussi la partie organisationnelle. Il y a aussi un peu un aspect que la compétence, ce n'est pas toujours qu'une compétence individuelle d'une personne, mais ça peut être une compétence collective ou une compétence de l'entreprise ou même du domaine. L'idée, c'est aussi de peut-être co-construire. co-développer avec des partenaires, avec plusieurs ces besoins en compétences pour pouvoir adresser les solutions. Et au niveau de la gestion de crise, c'est quelque chose qui est justement important parce que on ne peut pas gérer une crise seul. Et surtout, Il y a cette multidisciplinarité qui est importante dans la gestion de crise. Si c'est une crise majeure, comme je le disais tantôt, ou tantôt où il y a question de la survie d'une entreprise, il faut vraiment que pas uniquement les gens du domaine technique participent, mais il faut... Les finances, il faut les ressources humaines, il faut le légal, il faut... Voilà, tous ces types de fonctions pour vraiment identifier est-ce que le souci technique peut vraiment être résolu avec... une solution technique ou pas du tout. Et souvent, c'est le cas que la solution n'est pas au niveau technique, mais à un autre niveau.
Alors justement, ce qui est important, c'est à la fois un mélange de compétences, un technique et non technique. Mais comment s'assurer que le lien entre les techniciens et les non techniciens fonctionne ? Parce que justement, on sait que parfois, dans certaines organisations, on peut avoir... une frontière assez hermétique entre la partie purement technique et la partie non technique. Alors justement Pascal, est-ce que tu peux nous guider sur comment faire pour que les deux parties communiquent correctement et fonctionnent correctement ?
Comment le faire ? Ça dépend beaucoup de la situation. De le faire, ça c'est vraiment important et malheureusement, on ne le voit pas assez souvent. Notamment au niveau des exercices, on voit des exercices qui sont focalisés sur le monde technique où les techniciens s'entraînent sur différents types de scénarios, d'attaques, etc. Et puis, les... Les juristes ou les gens plutôt au niveau de la politique procédurale font des exercices à leur niveau. Mais le lien est très souvent parfait. Il y a une grande exception, c'est un des plus grands exercices au niveau international qui s'appelle Lockchills, qui est organisé par l'OTAN. qui lui justement a ses différentes dimensions. Donc il y a toute la partie technique, il y a la partie plutôt stratcom, comme ils appellent ça, et tout ça fait partie d'un même grand scénario et où les personnes techniques et non techniques doivent aussi interagir et justement trouver le bon langage pour pouvoir comprendre l'un l'autre. pour pouvoir prendre des bonnes décisions ensemble ou spécifiquement d'un côté ou de l'autre côté. Et c'est ça aussi ce qu'on veut renforcer dans notre évolution, notre mise à jour du concept Troubles 42 qui est actuellement en cours. Il y aura là très prochainement, d'ici deux mois plus ou moins, on aura un... La Rome 42 sera un peu mise à jour. Et on veut justement permettre à ce que, à côté de l'équipe plutôt des décideurs, qui est le public cible principal de la Rome 42, il y ait aussi une équipe technique. qui tous les deux participent dans l'exercice et qui doivent justement communiquer entre eux et échanger de l'information dans la crise et pour comprendre comment gérer tout ça. Et ça, ce n'est pas évident parce que c'est vraiment une question de langage, de permettre de pouvoir expliquer des choses qui sont parfois... très technique et très détaillé à un directeur général pour qu'il puisse prendre une décision dans un sens ou dans l'autre sens. Mais ce n'est pas forcément uniquement dans ce sens-là, dans le sens inverse, c'est aussi le cas. Donc, on a aussi vu des cas où les gens des finances ou juristes ont eu du mal à… à vraiment transférer de l'information aux techniques parce que, de nouveau, le langage est difficile. Et c'est là, je pense, où nous sommes actuellement dans une évolution positive parce que, et tu l'avais mentionné, des règlements comme DORA ou d'autres donnent des cadres et permettent, ou déjà donnent des frameworks. plus cadré, plus précis qui vont améliorer cette communication. Personne n'est vraiment très content avec exactement le wording dans ces documents. Ni les noms techniques, ni les techniques, mais au moins là, on a un petit common ground et ça permet de... d'avoir un langage un peu plus commun pour ce domaine de la cybersécurité et idéalement aussi dans une situation de cybercrise.
Alors, c'est marrant que tu termines par le côté européen, avec les textes européens, etc. Parce que tu as cité le Chile qui est plutôt de l'OTAN. Mais comme justement tu... tu étais aussi au statut européen, est-ce que selon toi, on va peut-être commencer un jour ou l'autre à imaginer des scénarios de crise au niveau d'un État ou entre les États au niveau européen, par exemple, au-delà simplement d'organiser un exercice de crise pour une entreprise ? On sait par exemple que la Russie s'est déjà entraînée à tout un ensemble de scénarios de crise. Alors, ça s'est plus ou moins bien passé. Je parle particulièrement de la DNS, par exemple, quand ils ont voulu... Faire tourner Internet tout seul, c'est compliqué, on va dire ça comme ça. Mais voilà, est-ce que le monde dans lequel on vit est celui qui existe aujourd'hui avec toutes ses complexités et ses difficultés ? Mais je pense qu'il est légitime de se poser la question si un jour ou l'autre, l'Europe ne va pas commencer à vouloir faire ce genre d'exercice. Alors sans dévoiler peut-être des secrets, mais est-ce que tu pourrais nous donner un petit peu d'insights, comme on dit dessus, enfin d'informations ? Selon toi, quel est le sens du vent concernant ces tests ?
Alors, juste pour, comme tu parlais de la récite et de la situation géopolitique dans laquelle on se trouve, ces exercices de l'OTAN, les « Lockchains » , sont quand même assez spécifiquement dans l'idée, justement, d'une situation où les pays de l'OTAN doivent gérer une… cyberattaque massif, une crise cyber venant de pays en dehors de l'OTAN, disons comme ça. Donc là, on entraîne vraiment cette situation. Au niveau européen, il y a quand même déjà eu des exercices européens aussi. La seule différence, c'est qu'ils étaient quand même généralement moins d'envergure, de plus petite envergure que l'Ochills. Et surtout, sur plutôt un niveau de secteur, donc sectoriel. Il y a eu, le dernier, c'était, je pense, l'année passée. Et là, il y en a eu deux, trois. en fait tous les deux ans. Donc l'année passée, il y a eu un exercice dans le domaine du transport, si je me rappelle bien. Et l'année prochaine, il y en aura un dans le secteur de la santé. Donc ça c'est l'INISA, l'Agence européenne de cybersécurité, qui coordonne ces exercices. Mais ça reste encore assez loin. c'est pas négatif mais c'est beaucoup l'objectif de l'éducation c'est beaucoup vraiment de connaître toutes les personnes, toutes les contreparties dans les différents pays pour savoir dans une situation réelle qui je dois contacter pour pouvoir m'aider, donc ça c'est vraiment l'objectif vraiment de de mettre à jour en gros les carnets d'adresse. Et puis il y a quelques challenges techniques pour les certes.
Géographie.
Quoi ? Géographie. Ça existe ça ? Ben oui.
Comment s'appellent les habitants de Hong Kong ? Il faut tous les noms.
Tu ne t'en sors pas, il te faut quatre mois pour répondre là-haut. Mais il n'y a pas encore cette partie strat-com stratégique où vraiment il y a des décisions communes de gestion ou de décisions de gestion de crise communes européennes qui font partie de ces exercices. Mais la volonté est là. C'est toujours une question aussi de...
d'organiser tout ça parce que de nouveau je fais référence à Lock Shields qui est en fait le plus grand exercice au monde et il y a quand même une agence d'une trentaine de personnes qui fait quasi que ça toute l'année ça demande quand même pas mal d'efforts et là on a des équipes d'une quasi cinquantaine jusqu'à une centaine de personnes par pays donc c'est vraiment énorme c'est des milliers de personnes qui se mobilisent pour quelques jours dans ces exercices. Et naturellement, la plupart des pays européens y participent déjà. Donc, quelque part, ça fait moins de sens de refaire la même chose au niveau européen. Donc, l'idée, c'était de dire, OK, au niveau purement européen, on va essayer de faire quelque chose de complémentaire, peut-être un peu plus spécifique aux besoins spécifiques liés en Europe. Et donc... L'idée, c'était de faire ça autour de la Nice 2, avec les différents secteurs, et d'impliquer le secteur privé. Et c'est ça la grosse différence, c'est qu'au niveau Lockchile, c'est quand même principalement militaire public. Les exercices Cyber Europe, comme ils s'appellent, impliquent le secteur privé également. Et ça, c'est un... quand même un plus important parce que surtout en cyber sans les acteurs du secteur privé on n'arrivera pas à faire grand chose parce que la planète c'est quand même 80-90% dans les mains des acteurs privés
Très bien Tu veux peut-être ajouter le mot de la fin ? Quelque chose qui te tient à coeur ?
Je pense qu'on a fait un peu le tour. Ce qui est important dans tout ça, c'est de faire ces exercices, de se prendre le temps d'aller soi-même ou certaines personnes de son équipe, de pouvoir... libérer un peu le temps de l'opérationnel pour vraiment participer à de tels exercices. Il y a de plus en plus d'opportunités et les retours, les valeurs ajoutées dans ces exercices, soit les retours que nous envoient, soit les valeurs ajoutées que nous-mêmes, on a en participant à des exercices européens ou internationaux. Et vraiment... Voilà, incomparable avec ce qu'on pourrait trouver dans une formation ou dans un livre. C'est vraiment la pratique qui est le plus important. Et justement, c'est ça qui va préparer au mieux à une réelle situation de crise. Donc, ça revient un peu au 3C. Donc, vraiment tester, tester, tester, c'est le plus important.
Très bien. Écoute Pascal, un grand merci en tout cas de nous avoir éclairé sur cette problématique de crise cyber, surtout sur la formation qui est quand même quelque chose d'assez essentiel. Je comprends d'après ce que tu dis au niveau de l'Europe que peut-être on aura une cyber défense avant d'avoir une défense européenne. On le souhaite en tout cas, on verra bien comment ça se passe. Voilà, encore un grand merci et comme je le dis très souvent, pour certaines personnes, la cybersécurité est un enjeu de vie mort, bien plus sérieux que ça.
Description
Comment se former à la crise cyber avec Pascal STEICHEN (Chairperson of the ECCC Governing Board; CEO of the LHC (Luxembourg House of Cybersecurity))
Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.
Transcription
Bonjour mamie, j'ai ramené un copain. Bonsoir et bienvenue dans la cybersécurité expliquée à ma grand-mère, le podcast pour expliquer la cybersécurité à ceux qui n'y comprennent rien. Comme vous le savez, la résilience est un sujet assez important qu'on a déjà traité dans ce podcast. Mais c'est un sujet qui est tellement vaste, on peut en discuter pendant des heures et surtout avec plein d'intervenants différents. Et aujourd'hui, j'ai l'honneur d'accueillir Pascal Station, dont les auditeurs les plus assidus auront déjà entendu sa voix, puisque j'avais fait référence à lui dans l'épisode consacré au FIC 2024, dans lequel il était intervenu. pour parler de l'intelligence artificielle, avec le très célèbre, la bombe, le brut et le truand, ce qui avait été repris dans l'épisode consacré au FIC. Et donc Pascal, est-ce que tu veux bien te présenter ?
Tout d'abord, bonjour et merci de pouvoir participer à ton podcast. Oui, mon nom est Pascal Stoichel, je suis actuellement directeur de... La Luxembourg House of Cyber Security, donc la maison de la cybersécurité au Luxembourg, qui est une agence publique avec comme vocation de vraiment accompagner le développement économique, donc le développement du marché en cybersécurité. Donc on vise à identifier quelles sont les compétences qui manquent sur le marché et puis on accompagne soit les entreprises de les acquérir. ou au niveau recherche, innovation, de trouver de nouvelles entreprises ou de nouveaux acteurs pour combler ce gap dans le marché. Voilà, sinon, personnellement, je suis aussi actif au niveau européen dans une nouvelle agence européenne qui s'appelle European Cyber Security Competence Center. où je suis le président depuis quelques années maintenant, et qui justement est cette agence européenne qui a un peu une vocation similaire que notre maison au Luxembourg, c'est justement d'accompagner le développement du marché européen en cybersécurité pour pouvoir utiliser la cybersécurité comme un des différenciateurs pour l'Europe par rapport au... aux autres parties de notre planète.
D'accord. Alors justement, il y a des spécificités à Luxembourg qui sont assez intéressantes, mais je ne vais pas en parler aujourd'hui parce qu'on est en train de préparer un numéro spécial justement sur ce sujet. Donc je ne vais pas, entre guillemets, comment dire, trop avancer le sujet, mais c'est en discussion, c'est en préparation. On en reparlera à un autre moment. Le sujet qui m'intéresse aujourd'hui et sur lequel j'aimerais bien voir ton éclairage, Pascal, c'est sur le sujet de la résilience, la résilience opérationnelle, et particulièrement sur les aspects de formation, puisqu'on sait que la formation est quelque chose d'assez important. A noter aussi qu'à l'instar de Nicolas-Éloïc Fortin, que j'avais déjà reçu dans ce podcast, tu es aussi co-auteur du livre des fondamentaux de la gestion de la crise cyber. qui a été menée par Lorane Raimondo, qu'on salue d'ailleurs en passage. Donc, tu es en partie auteur de ce livre-là, et donc tu as participé aussi à la rédaction de cet ouvrage. Donc, tu fais figure, probablement, d'un expert de ce domaine. Et justement, j'aimerais bien que tu nous donnes un petit peu ton avis et ta perception, finalement, de l'importance de la formation. C'est l'importance, tout le monde est d'accord, mais aussi sur les moyens de former les gens à la gestion de la crise.
Oui, la formation au sens large, c'est vraiment un élément clé dans la cybersécurité. Et de nos jours, on va plutôt parler, utiliser des termes un peu plus modernes, de création de compétences, développement de compétences, donc le competence building, comme on dit en anglais. Parce que ça, c'est vraiment le fondamental de... permettre à acquérir des connaissances, mais aussi à pouvoir les appliquer. Donc ça, c'est, je pense, un élément important au niveau de cette activité de formation.
Ça va être très difficile, physiquement et moralement, sur la durée, physiquement. Oh, vous me laissez parler, écrasé quand je parle, d'accord ? La langue, comme vous avez l'habitude de le faire et de parler et de poser, ça par contre, ça va vous aider. Ça va vous aider à quoi ? À réfléchir,
à anticiper,
à être en mesure d'analyser, plutôt que de parler sans élu.
En fait, il y a plusieurs niveaux. Il y a une sorte de gradation. Donc, ça commence par un niveau plus de sensibilisation, où on va plutôt plus informer les gens. sur différents réflexes, différentes choses à savoir, à connaître dans une certaine situation, peut-être dans une situation de crise. Mais souvent, ça ne suffit pas. Il faut aussi pouvoir arriver à vraiment appréhender cette connaissance, à pouvoir sortir le bon réflexe au bon moment. Et donc ça, ça passe par plutôt quelque chose qu'on va... appelé de l'entraînement. Et là, justement, il y a beaucoup de développement autour de cet entraînement, notamment de faire des exercices en cybersécurité et pour la préparation à la gestion des crises, c'est de faire des exercices, ça c'est vraiment le... C'est devenu un peu l'outil ou le mécanisme vers lequel tout le monde regarde parce que c'est le plus efficace. Parce que dans une telle mise en situation, on peut vraiment pratiquer, on peut vraiment tester ce qu'on a appris, soit ce qu'on a lu dans un livre ou ce qu'on a vu dans un cours. mises en œuvre dans une procédure, par exemple, au niveau interne, et vraiment tester, vraiment vérifier est-ce que tout ça tient la route dans une situation, dans une mise en situation proche de la réalité ou très proche de la réalité. Et ça, c'est vraiment quelque chose où nous, mais plein d'autres dans ce domaine-là, mettent. tous les efforts ou tous les développements dans ce développement de l'entraînement, de faire des cyber-exercices finalement. Et ça, on en trouve au niveau international, au niveau national, au niveau européen, et même pour des entités internes dans des entreprises ou dans des structures. Il y a pour toutes les sauces, il y a pour tous les types de développement de compétences.
D'accord. Alors effectivement, parce qu'il y a des exercices de crise qui sont organisés par l'armée, on en voit souvent, etc. Et puis des exercices de crise qui sont plutôt orientés pour les entreprises. D'ailleurs, tu pourras peut-être nous parler de la Rome 42 qui permet de faire de la simulation. Mais avant de rentrer un petit peu dans le détail de la simulation en tant que telle, est-ce que tu pourrais nous donner... selon toi, les ingrédients ? Qu'est-ce qu'il faut faire pour faire un bon exercice de crise ? Est-ce qu'il faut, par exemple, arriver avec des gens qui n'ont aucune connaissance et qui acquièrent ça au fur et à mesure ? Est-ce qu'il faut les briefer avant ? Tu parlais d'une procédure, par exemple. Est-ce qu'il faut, par exemple, leur donner la procédure avant ou est-ce qu'ils doivent la découvrir en live ? Par rapport aux gens qui participent aussi à l'exercice de crise, ça peut être quelque chose d'assez important. Est-ce qu'on met par exemple que des membres de l'exco et on ne met justement pas de techniciens qui pourraient éventuellement les influencer ? Selon toi, avec ton expérience, parce que tu as mené quand même bon nombre d'exercices de gens là, encadré du moins ce type d'exercice, quel est le meilleur setup finalement pour avoir un exercice efficace et qui permette d'avoir une valeur ajoutée ?
Alors, il n'y a pas la recette miracle.
Comme souvent, on subit en super sécurité, malheureusement.
Voilà, voilà. Et surtout, on voit des exercices qui vont se focaliser sur différents, sur un public cible spécifique, par exemple. Tu as mentionné la Room 42. Et là, notamment, nous avons choisi de cibler. cette initiative de Roub42 sur un public cible très dit, très spécifique, avec un concept assez spécifique aussi. Je vais peut-être y revenir par après, mais sinon, de manière générale, au niveau des exercices, je pense qu'il y a plusieurs techniques. Donc, quand on regarde les exercices européens ou internationaux, aussi militaires, parce que ça vient quand même, conceptuellement, ça vient quand même un peu du militaire, où l'idée, c'est de faire du drill. de faire en sorte qu'en situation d'action, respectivement de guerre, les réflexes viennent tout de suite sans réfléchir. C'est ça le but de l'entraînement. Et ça, c'est aussi un peu le but avec les exercices cyber. Et il y a clairement un besoin à tous les niveaux. Donc, il y a un besoin pour les équipes techniques, mais il y a surtout un besoin pour... les équipes moins techniques et surtout des gens qui sont probablement beaucoup moins dans ou connectés avec le domaine cyber, qui au jour le jour ne travaillent pas forcément ou n'ont pas directement de lien avec ce domaine, mais qui, dans une situation de vraie crise, où l'entreprise... Il y a vraiment question de sauver l'entreprise où il faut vraiment que toutes les fonctions clés d'une entreprise puissent comprendre ce qui se passe et puissent fonctionner ensemble. Donc, un peu l'élément principal d'une toute crise est quand même la communication. Donc, de pouvoir savoir quoi communiquer à qui, quand, comment. dans quelle cadence, et puis aussi le contenu de la communication pour que vraiment ça soit bien compris, qu'il y ait des actions précises qui vont pouvoir être faites pour justement gérer ou pour mitiger les effets de la crise.
D'accord.
Donc ça c'est un peu les éléments clés. Comme je dis, il y a plusieurs techniques. Juste peut-être, tu avais dit, est-ce qu'il faut préparer en amont ? Préparer, voilà, avoir une procédure, avoir une connaissance ou faire ça fraîche comme ça. Là aussi, je pense qu'il y a un peu deux écoles. Donc la plupart du temps, on voit quand même que… des exercices sont préparés en avance. Donc, il y a des briefings, il y a des rôles bien définis, il y a tout un catalogue de choses à connaître avant de faire l'exercice, notamment parce qu'il faut, pendant un exercice, il faut simuler quand même pas mal de choses. Donc, il faut un peu savoir comment tout ça fonctionne pour éviter de... être trop occupé de faire de comprendre l'exercice que d'apprendre le contenu donc ça c'est quand même la plupart du temps du côté de la room 42 on a choisi justement l'autre école, on a choisi de faire que vraiment c'est quelque chose où on peut le faire sans connaissance sans Il y a un tout petit briefing, mais ça c'est vraiment au moment même. Donc on peut venir tout frais sans besoin d'avoir…
Un pré-hockey technique par exemple.
Exact, c'est ça. C'est un peu le cas, mais on voit quand même la plupart du temps que c'est quelque chose qui a besoin d'une grande préparation pour avoir… Parce que l'idée souvent c'est aussi que le résultat d'un tel exercice… Il est déjà plus ou moins prédéfini. On veut entraîner les personnes à suivre un certain plan ou à une certaine procédure ou à une certaine... méthodologie. Ou renforcer une collaboration ou faire en sorte qu'en temps de crise, on ait tout le monde les bons réflexes. Donc ça, c'est la plupart des exercices qui se font comme ça. Justement, pour la Home Corps 2, on a choisi plutôt... que c'est plutôt une découverte, que c'est vraiment un premier... En fait, c'est un peu le super exercice pour les nuls, en quelque sorte, parce que c'est vraiment quelque chose qu'on peut faire sans prérequis.
D'accord. Et alors, si on résume, il n'y a pas de recette magique, malheureusement, comme souvent. L'objectif est quand même d'obtenir des réflexes auprès des membres. Et là, quel que soit finalement le type de membre, que ce soit des gens qui sont plutôt du technique ou plutôt du management, ce qui est important, c'est de faire en sorte qu'ils acquièrent ces réflexes importants. La communication aussi, tu l'as souligné, c'est quelque chose de crucial. Et ça, on le voit tous les jours, mais particulièrement en matière de cybersécurité. Alors, je pense que là, on parle de la communication en interne, donc la bonne coordination entre les différents membres, mais aussi les communications externes. Et ça, on le voit bien de toute façon avec des règlements européens, comme Dora, par exemple, qui soulignent l'importance aussi d'avoir un pôle communication dédié en cas de cyberattaque. Voilà. Je voudrais juste revenir au livre, puisque là tu nous as éclairé sur les bonnes guidelines ou les bonnes pratiques en matière de test. Et juste dans le livre, dans le chapitre que tu as écrit, tu as une approche qui est assez intéressante, qui concerne l'approche 3C, donc connaissance, catégorisation et construction. Moi, c'était la première fois que j'avais l'occasion de voir ça dans le détail. Et je trouvais que c'était assez... intéressant parce que c'était un peu différent de ce qu'on voyait d'habitude. Est-ce que tu pourrais nous expliquer un petit peu ce que c'est et dans quel contexte ça peut être utilisé ?
Oui, ce n'est pas vraiment une méthode, c'est une approche, disons comme ça, qu'on a co-développée ou qu'on a utilisée pour construire. cette initiative de Room 42 qu'on a mis en place. Et justement, l'idée, c'était d'essayer de... C'était dans le cadre d'une réflexion de ce que vraiment le competence building veut dire. Comment est-ce qu'on va aider, accompagner d'autres à... acquérir de la compétence. Qu'est-ce que ça veut dire la compétence ? Il y a clairement la connaissance dans la compétence donc il faut acquérir des connaissances, il faut savoir comment faire donc la partie plutôt formation. Mais c'est aussi lié un peu à ce que j'avais déjà un peu mentionné. c'est de pouvoir pratiquer, de pouvoir utiliser ces connaissances, de pouvoir les intégrer dans le jour-à-jour, dans les activités d'une entreprise, par exemple la partie processus, mais aussi la partie organisationnelle. Il y a aussi un peu un aspect que la compétence, ce n'est pas toujours qu'une compétence individuelle d'une personne, mais ça peut être une compétence collective ou une compétence de l'entreprise ou même du domaine. L'idée, c'est aussi de peut-être co-construire. co-développer avec des partenaires, avec plusieurs ces besoins en compétences pour pouvoir adresser les solutions. Et au niveau de la gestion de crise, c'est quelque chose qui est justement important parce que on ne peut pas gérer une crise seul. Et surtout, Il y a cette multidisciplinarité qui est importante dans la gestion de crise. Si c'est une crise majeure, comme je le disais tantôt, ou tantôt où il y a question de la survie d'une entreprise, il faut vraiment que pas uniquement les gens du domaine technique participent, mais il faut... Les finances, il faut les ressources humaines, il faut le légal, il faut... Voilà, tous ces types de fonctions pour vraiment identifier est-ce que le souci technique peut vraiment être résolu avec... une solution technique ou pas du tout. Et souvent, c'est le cas que la solution n'est pas au niveau technique, mais à un autre niveau.
Alors justement, ce qui est important, c'est à la fois un mélange de compétences, un technique et non technique. Mais comment s'assurer que le lien entre les techniciens et les non techniciens fonctionne ? Parce que justement, on sait que parfois, dans certaines organisations, on peut avoir... une frontière assez hermétique entre la partie purement technique et la partie non technique. Alors justement Pascal, est-ce que tu peux nous guider sur comment faire pour que les deux parties communiquent correctement et fonctionnent correctement ?
Comment le faire ? Ça dépend beaucoup de la situation. De le faire, ça c'est vraiment important et malheureusement, on ne le voit pas assez souvent. Notamment au niveau des exercices, on voit des exercices qui sont focalisés sur le monde technique où les techniciens s'entraînent sur différents types de scénarios, d'attaques, etc. Et puis, les... Les juristes ou les gens plutôt au niveau de la politique procédurale font des exercices à leur niveau. Mais le lien est très souvent parfait. Il y a une grande exception, c'est un des plus grands exercices au niveau international qui s'appelle Lockchills, qui est organisé par l'OTAN. qui lui justement a ses différentes dimensions. Donc il y a toute la partie technique, il y a la partie plutôt stratcom, comme ils appellent ça, et tout ça fait partie d'un même grand scénario et où les personnes techniques et non techniques doivent aussi interagir et justement trouver le bon langage pour pouvoir comprendre l'un l'autre. pour pouvoir prendre des bonnes décisions ensemble ou spécifiquement d'un côté ou de l'autre côté. Et c'est ça aussi ce qu'on veut renforcer dans notre évolution, notre mise à jour du concept Troubles 42 qui est actuellement en cours. Il y aura là très prochainement, d'ici deux mois plus ou moins, on aura un... La Rome 42 sera un peu mise à jour. Et on veut justement permettre à ce que, à côté de l'équipe plutôt des décideurs, qui est le public cible principal de la Rome 42, il y ait aussi une équipe technique. qui tous les deux participent dans l'exercice et qui doivent justement communiquer entre eux et échanger de l'information dans la crise et pour comprendre comment gérer tout ça. Et ça, ce n'est pas évident parce que c'est vraiment une question de langage, de permettre de pouvoir expliquer des choses qui sont parfois... très technique et très détaillé à un directeur général pour qu'il puisse prendre une décision dans un sens ou dans l'autre sens. Mais ce n'est pas forcément uniquement dans ce sens-là, dans le sens inverse, c'est aussi le cas. Donc, on a aussi vu des cas où les gens des finances ou juristes ont eu du mal à… à vraiment transférer de l'information aux techniques parce que, de nouveau, le langage est difficile. Et c'est là, je pense, où nous sommes actuellement dans une évolution positive parce que, et tu l'avais mentionné, des règlements comme DORA ou d'autres donnent des cadres et permettent, ou déjà donnent des frameworks. plus cadré, plus précis qui vont améliorer cette communication. Personne n'est vraiment très content avec exactement le wording dans ces documents. Ni les noms techniques, ni les techniques, mais au moins là, on a un petit common ground et ça permet de... d'avoir un langage un peu plus commun pour ce domaine de la cybersécurité et idéalement aussi dans une situation de cybercrise.
Alors, c'est marrant que tu termines par le côté européen, avec les textes européens, etc. Parce que tu as cité le Chile qui est plutôt de l'OTAN. Mais comme justement tu... tu étais aussi au statut européen, est-ce que selon toi, on va peut-être commencer un jour ou l'autre à imaginer des scénarios de crise au niveau d'un État ou entre les États au niveau européen, par exemple, au-delà simplement d'organiser un exercice de crise pour une entreprise ? On sait par exemple que la Russie s'est déjà entraînée à tout un ensemble de scénarios de crise. Alors, ça s'est plus ou moins bien passé. Je parle particulièrement de la DNS, par exemple, quand ils ont voulu... Faire tourner Internet tout seul, c'est compliqué, on va dire ça comme ça. Mais voilà, est-ce que le monde dans lequel on vit est celui qui existe aujourd'hui avec toutes ses complexités et ses difficultés ? Mais je pense qu'il est légitime de se poser la question si un jour ou l'autre, l'Europe ne va pas commencer à vouloir faire ce genre d'exercice. Alors sans dévoiler peut-être des secrets, mais est-ce que tu pourrais nous donner un petit peu d'insights, comme on dit dessus, enfin d'informations ? Selon toi, quel est le sens du vent concernant ces tests ?
Alors, juste pour, comme tu parlais de la récite et de la situation géopolitique dans laquelle on se trouve, ces exercices de l'OTAN, les « Lockchains » , sont quand même assez spécifiquement dans l'idée, justement, d'une situation où les pays de l'OTAN doivent gérer une… cyberattaque massif, une crise cyber venant de pays en dehors de l'OTAN, disons comme ça. Donc là, on entraîne vraiment cette situation. Au niveau européen, il y a quand même déjà eu des exercices européens aussi. La seule différence, c'est qu'ils étaient quand même généralement moins d'envergure, de plus petite envergure que l'Ochills. Et surtout, sur plutôt un niveau de secteur, donc sectoriel. Il y a eu, le dernier, c'était, je pense, l'année passée. Et là, il y en a eu deux, trois. en fait tous les deux ans. Donc l'année passée, il y a eu un exercice dans le domaine du transport, si je me rappelle bien. Et l'année prochaine, il y en aura un dans le secteur de la santé. Donc ça c'est l'INISA, l'Agence européenne de cybersécurité, qui coordonne ces exercices. Mais ça reste encore assez loin. c'est pas négatif mais c'est beaucoup l'objectif de l'éducation c'est beaucoup vraiment de connaître toutes les personnes, toutes les contreparties dans les différents pays pour savoir dans une situation réelle qui je dois contacter pour pouvoir m'aider, donc ça c'est vraiment l'objectif vraiment de de mettre à jour en gros les carnets d'adresse. Et puis il y a quelques challenges techniques pour les certes.
Géographie.
Quoi ? Géographie. Ça existe ça ? Ben oui.
Comment s'appellent les habitants de Hong Kong ? Il faut tous les noms.
Tu ne t'en sors pas, il te faut quatre mois pour répondre là-haut. Mais il n'y a pas encore cette partie strat-com stratégique où vraiment il y a des décisions communes de gestion ou de décisions de gestion de crise communes européennes qui font partie de ces exercices. Mais la volonté est là. C'est toujours une question aussi de...
d'organiser tout ça parce que de nouveau je fais référence à Lock Shields qui est en fait le plus grand exercice au monde et il y a quand même une agence d'une trentaine de personnes qui fait quasi que ça toute l'année ça demande quand même pas mal d'efforts et là on a des équipes d'une quasi cinquantaine jusqu'à une centaine de personnes par pays donc c'est vraiment énorme c'est des milliers de personnes qui se mobilisent pour quelques jours dans ces exercices. Et naturellement, la plupart des pays européens y participent déjà. Donc, quelque part, ça fait moins de sens de refaire la même chose au niveau européen. Donc, l'idée, c'était de dire, OK, au niveau purement européen, on va essayer de faire quelque chose de complémentaire, peut-être un peu plus spécifique aux besoins spécifiques liés en Europe. Et donc... L'idée, c'était de faire ça autour de la Nice 2, avec les différents secteurs, et d'impliquer le secteur privé. Et c'est ça la grosse différence, c'est qu'au niveau Lockchile, c'est quand même principalement militaire public. Les exercices Cyber Europe, comme ils s'appellent, impliquent le secteur privé également. Et ça, c'est un... quand même un plus important parce que surtout en cyber sans les acteurs du secteur privé on n'arrivera pas à faire grand chose parce que la planète c'est quand même 80-90% dans les mains des acteurs privés
Très bien Tu veux peut-être ajouter le mot de la fin ? Quelque chose qui te tient à coeur ?
Je pense qu'on a fait un peu le tour. Ce qui est important dans tout ça, c'est de faire ces exercices, de se prendre le temps d'aller soi-même ou certaines personnes de son équipe, de pouvoir... libérer un peu le temps de l'opérationnel pour vraiment participer à de tels exercices. Il y a de plus en plus d'opportunités et les retours, les valeurs ajoutées dans ces exercices, soit les retours que nous envoient, soit les valeurs ajoutées que nous-mêmes, on a en participant à des exercices européens ou internationaux. Et vraiment... Voilà, incomparable avec ce qu'on pourrait trouver dans une formation ou dans un livre. C'est vraiment la pratique qui est le plus important. Et justement, c'est ça qui va préparer au mieux à une réelle situation de crise. Donc, ça revient un peu au 3C. Donc, vraiment tester, tester, tester, c'est le plus important.
Très bien. Écoute Pascal, un grand merci en tout cas de nous avoir éclairé sur cette problématique de crise cyber, surtout sur la formation qui est quand même quelque chose d'assez essentiel. Je comprends d'après ce que tu dis au niveau de l'Europe que peut-être on aura une cyber défense avant d'avoir une défense européenne. On le souhaite en tout cas, on verra bien comment ça se passe. Voilà, encore un grand merci et comme je le dis très souvent, pour certaines personnes, la cybersécurité est un enjeu de vie mort, bien plus sérieux que ça.
Share
Embed
You may also like