Le risques Cyber qui pèsent sur les activités deviennent un enjeu majeur. La Polynésie Française s’est distinguée en organisant dès 2017 les deux premiers exercices nationaux de gestion de crise cyber à grande échelle, réunissant état, gouvernement, administrations locales, entreprises, échantillons des populations, média et parfois sièges parisiens autour d’un scénario de cyber attaque réaliste, entièrement simulé.
Les deux exercices 2017 et 2018 ont permis de mettre en évidence les grandes qualités du dispositif polynésien (qui repose sur la cohésion des différents acteurs et une réelle culture de la gestion de crise, du fait de l’éloignement de la Polynésie vis-à-vis de la métropole).
Forte de cette expérience, la Polynésie Française souhaite développer des activités de Cyber télé-surveilance de nuit au profit des entreprises en métropole, en profitant du décalage horaire. Un premier test technique aura lieu le 24 Janvier, simultanément dans les locaux de l’Université de la Polynséie Française et de l’Université de Bretagne Sud, à Vannes.
La question de la disponibilité des compétences en quantité significative en Polynésie Française est bien entendu un enjeu capital et a été résolue grâce à un couplage universitaire mettant en œuvre les ressources pédagogiques et académiques des Universités de Polynésie Française (UPF) et de Bretagne Sud (UBS), cette dernière étant la seule entité en France délivrant par son école interne l’ENSIBS, un diplôme d’ingénieur en Cyberdéfense, reconnu par la commission du titre.
Un test technique sera réalisé le 24 Janvier 2020, sur le schéma suivant :
- Un SI d’entreprise virtuelle est installé sur des serveurs par l’ENSIBS à Vannes. Cette entreprise sera attaquée progressivement par une équipe d’agresseurs (Red Team). Deux équipes de défenseurs (Blue Team) sont chargées de trouver et mettre en œuvre les parades, une à Vannes, la seconde en Polynésie, mais elles ne pourront intervenir que de jour, l’ensemble étant techniquement encadrés par l’ENSIBS et l’UPF et animé par Maitrisedescrises.com, qui a animé les deux précédents exercices en 2017 et 2018.
- L’objectif de ce test est de démontrer qu’il est possible d’intervenir techniquement à distance de manière sécurisée sur des systèmes distants dans des conditions satisfaisantes, c’est à dire protéger depuis Tahiti les systèmes informatiques des entreprises en métropole.
- Les entreprises polynésiennes pourront assister au test technique depuis les locaux de l’UPF
- Les entreprises en métropole pourront assister en ligne à la synthèse du test sur le site Maitrisedescrises.com.
Plein succès pour l’exercice de gestion de crise Vannes/Tahiti. Il est techniquement possible de cyberdéfendre les entreprises en métropole de nuit en restant sur sol Français
https://www.tahiti-infos.com/Les-etudiants-de-l-UPF-en-duel-contre-les-hackers_a188468.html
https://www.lemondeinformatique.fr/actualites/lire-l-universite-bretagne-sud-en-pointe-dans-les-formations-cybersecurite-77848.html
https://www.globalsecuritymag.fr/La-region-de-Vannes-en-pointe-dans,20200311,96571.html
Bilan exercices 2017 et 2018 sur Nolimitsecu
Exercice Cyberfenua 2018 : l'exemple Polynésien
Maîtrise des Crises et Tahiti Formation organisent pour le compte du gouvernement de Polynésie Française et de la DGEN un exercice général de cyber-attaque visant les populations, les PME locales, les grandes entreprises et les sièges parisiens. Cet exercice inédit mettra en oeuvre une cellule de crise à Papeete et une seconde salle entièrement en ligne à Paris organisée par Maitrisedecrises.com dans l’objectif de se préparer à une réponse coordonnée et la plus efficace possible face à un risque de cyber-attaque touchant les systèmes informatiques et télécom.
Pour Paris, le thème de l’exercice est « pilotage et anticipation d’une cyber-attaque globale longue distance », et est conçu pour intéresser les entreprises confrontées à des crises Métropole-Outremer ou disposant de filiales lointaines . L’exercice aura lieu le 4 Octobre à Paris et pourra être suivi en ligne pour les entreprises concernées. La participation à cet exercice est gratuite et est réservée aux entreprises. Public visé : RSSI, RPCA, Gestion de Crise, DPO, Communication.
Renseignements et inscriptions : mdc@maitrisedescrises.com
Merci de préciser vos noms, position, entreprise, email professionnel, téléphone et raison pour laquelle vous souhaitez suivre et participer.
Ecoutez l’émission du comptoir Sécu avec Vincent Balouet : 1h20 d’expertise et de retour d’expérience sur la gestion de crise IT et l’exercice cyber-attaque conduit par Maîtrise des Crises en Polynésie Française en Janvier 2017.
Maîtrise des Crises et Tahiti Formation ont organisé en Janvier 2017, avec le soutien du Haut Commissariat de la Polynésie Française, un exercice de gestion de crise et de coordination mixte Public/Privé sur le thème de l’éventualité d’une Cyber-attaque touchant une partie significative des infrastructures informatiques de la Polynésie.
Cet exercice s’est tenu les 19 et 20 Janvier 2017 dans les locaux du Haut Commissariat à la Polynésie Française.
Cet exercice inédit, organisé sur une durée de deux jours et une nuit simulant 8 jours de crise, a permis à chaque entreprise d’évaluer son niveau de préparation et la qualité de sa réponse face à une situation défavorable.
Cet exercice était accompagné de deux sessions de formation permettant de préparer efficacement une réponse appropriée :
- une formation à la gestion et la communication de crise et aux plans de continuité d’activité à l’attention d’un public non informaticien (ressources humaines, communication organisation, gestion des risques, secrétaires généraux, direction métier, ..). Cette formation a été réalisée avant l’exercice et avait pour objectif de se préparer à la gestion de crise et à la continuité d’activité.
- une formation à la gestion de crise et la sécurité des systèmes d’information, formation technique à l’attention d’un public d’informaticiens, réalisée après l’exercice et qui avait comme fil conducteur : « que faire pour qu’un tel scénario ne se produise pas » (mesures techniques de prévention et protection, management politique SSI, résilience en cas de crise, …) en tirant immédiatement les leçons de l’exercice.
Pendant l’exercice, les entreprises participantes ont dû évaluer la situation, imaginer les solutions, pendant une durée de crise en temps simulé de 8 jours environ. Une simulation de la pression médiatique a été effectuée sur place (présence de caméras en circuit fermé). L’événement a été couvert par la presse.
Cet exercice visait à évaluer la qualité de la réponse globale en Polynésie face à un scénario de cyber-attaque, nécessitant la mise en place d’une réponse efficace établie en coopération entre les pouvoirs publics et les acteurs économiques.
Exercice « CyberFenua » ou comment préparer les administrations et les entreprises de Polynésie française à répondre à des attaques cybercriminelles
Ce vendredi, lors d’une rencontre avec les médias, le Haut-Commissaire a tiré des conclusions provisoires sur le déroulement de l’exercice « CyberFenua » qui a débuté jeudi matin. Pour la première fois, les pouvoirs publics et de nombreuses entreprises privées des secteurs clés de l’économie locale, sont associés pour tester, ensemble, leurs capacités à faire face à une attaque de leurs équipements informatiques, par des programmes malveillants. Le premier bilan est particulièrement satisfaisant puisque les réponses techniques apportées l’ont été dans des délais courts, voire très courts, ce qui est un gage d’efficacité. De plus, une véritable synergie s’est établie entre les acteurs du public et du privé, qu’ils soient généralistes ou techniciens. Les administrations assurent des missions régaliennes et, à ce titre, détiennent des informations déterminantes pour gérer la crise, tandis que les entreprises qui doivent sans cesse innover pour être compétitives, apportent les techniques les plus modernes du moment. Cette rencontre entre public et privé pour combattre une cyber attaque, dans le cadre d’un exercice, est une première en Polynésie française mais aussi à l’échelle de la France. L’expérience vécue pendant 30 heures sans interruption a été suivie en temps réel, depuis Paris, par l’Agence nationale de sécurité des systèmes d’informations et par le Ministère de l’intérieur qui utilisera les retours d’expérience polynésiens pour organiser des démarches similaires dans les préfectures. Le Haut-Commissaire a conclu son intervention en ces termes : « Je veux remercier ici les entreprises qui ont participé ainsi que les administrations du Pays qui, aux côtés de celles de l’Etat, ont démontré une très grande compétence. C’est un exercice particulièrement réussi dont la Polynésie, précurseur, peut être fière.»
Exercice Non stop en chronométrage accéléré et communication officielle des pouvoirs publics :
Conférence de Presse du haut Commissaire accompagné de Vincent Balouet (maitrisedescrises.com)