Aller au contenu principal
Encore 1/5 articles gratuits à lire
Bien que virtuel, le jeu immersif «Game of Threats», que le cabinet d’audit américain PwC a développé il y a peu, confronte les participants aux enjeux réels de la cybercriminalité.

Simulation

Dans la peau d’un pirate informatique… et de sa victime

Le cabinet d’audit PwC a développé un jeu immersif très réaliste qui confronte les joueurs aux enjeux de la cybercriminalité économique

Grand-Saconnex, Genève. Une armée d’ouvriers désosse les carcasses des stands du dernier salon de l’auto, mais elle ignore que la guerre est sur le point d’éclater de l’autre côté de Palexpo. C’est dans les salons feutrés du Geneva Hotel & Conference Center, que le cabinet d’audit américain PriceWaterhouse&Coopers (PwC) a rassemblé ses troupes. Elles sirotent le café matinal dans une atmosphère studieuse, voire monacale.

Cette petite centaine de recrues en tailleurs et complets cravates partagent le même pedigree. Elles travaillent dans la banque privée chez Pictet, UBP ou Rothschild. D’autres dans des multinationales comme Philipp Morris et Sicpa. Chacune d’elle lutte contre la cybercriminalité qui pourrait affecter son employeur. Ce mardi 15 mars, cette armée de cols blancs va démontrer ce dont elle est capable. Dans la grande salle de conférences de l’hôtel, Yan Borboën ouvre les hostilités. Si le responsable de l’unité cyber sécurité chez PwC a réuni ces soldats aujourd’hui, c’est pour qu’ils s’affrontent à «Game of Threats» (le jeu des menaces).

Un face-à-face immersif

Bien que virtuel, ce jeu immersif que le cabinet d’audit américain a développé il y a peu, confronte les participants aux enjeux réels de la cybercriminalité. Dans un face-à-face, une équipe de joueurs représentant une entreprise ou une banque devra protéger ses intérêts en luttant contre une bande de hackers malveillants appâtés par le gain et le vol de données confidentielles. Les scénarios réalistes sont multiples et ce n’est pas toujours les gentils qui gagnent à la fin.

Il est 10 heures lorsque les six équipes se forment pour se répartir dans l’une des trois salles réservées à cette occasion. Il est temps de prendre connaissance du scénario. Pour ce premier combat, nous entrerons dans la peau d’hacktivistes (contraction de hackers et d’activistes). A l’image d’Anonymous, notre objectif est le vol d’informations confidentielles sur l’entreprise, ses employés et partenaires. Notre victime est une PME suisse active dans l’industrie qui n’est dotée que d’un pare-feu et d’un antivirus.

Le combat peut commencer. Il se déroule en douze rounds de 90 secondes. C’est le court laps de temps à la disposition de chaque équipe pour élaborer sa stratégie, identifier la menace ou la cible, se défendre ou attaquer. A l’aide d’iPad, les pirates informatiques peuvent acheter de nouveaux outils pour décupler la force de leurs attaques, mais aussi engager d’autres membres. Pour cela, ils ont à leur disposition une palette d’attaques aux divers effets, et un budget limité. Du côté de la PME, elle peut recruter des spécialistes en sécurité de l’information, mais aussi investir dans des solutions de protection et de la formation.

Qui des hacktivistes ou de la PME prendra les meilleures décisions? Au sein du premier groupe, une stratégie se dessine très rapidement. L’objectif est d’armer l’équipe puis, dans les prochains rounds, de lancer l’assaut. Nous misons sur un spécialiste dans l’exploitation des failles de sécurité. Face à nous, l’équipe de la PME ne voit rien de nos mouvements et doit donc réagir en identifiant au mieux les événements. Nous investissons dans une attaque de Phishing, c’est-à-dire une technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d’identité.

Sensibiliser les entreprises

L’attaque fait mouche. La PME tente d’y parer en misant sur un système de surveillance de ses réseaux. Il s’avérera inefficace. Sans attendre les hacktivistes exploitent une faille informatique dite Zero Day, c’est-à-dire qu’elle n’est pas connue de notre victime qui ne peut donc pas la combler. Puis, nous accédons aux données sensibles de la PME qu’il nous faut encore exfiltrer. Nous la mettons à plat et atteignons notre objectif en sept rounds seulement. Les visages de l’équipe de la PME sont déconfits. Pendant deux heures, nous changerons de rôles et de scénarios, mais pas toujours avec le même succès.

A l’heure du bilan, les spécialistes en cybersécurité sont déroutés par la réalité du jeu. PwC l’utilise depuis quelque mois en Suisse auprès des grands patrons, de leurs employés et clients pour les sensibiliser aux enjeux de la cybercriminalité économique. Dans ce domaine, il y a encore du travail. La dernière étude de PwC sur la question souligne que 63% des entreprises n’ont pas de plan de lutte contre les cyber attaques. Pourtant celles-ci ont augmenté de 330% en 2015. Mais seuls la moitié des chefs d’entreprise s’informent sur les cyber risques encourus par leur société. Ce mardi 15 mars, la fin des combats se termine autour d’un café. Pas sûr que dans la vraie vie les choses se déroulent avec la même décontraction.

Publicité
Publicité

La dernière vidéo economie

«Nous tirons parti de la lumière pour améliorer le bien-être des gens»

Candidate au prix SUD de la start-up durable organisé par «Le Temps», la société Oculight est une spin-off de l’EPFL qui propose des aides à la décision dans l’architecture et la construction, aménagement des façades, ouvertures en toitures, choix du mobilier, aménagement des pièces, pour une utilisation intelligente de la lumière naturelle. Interview de sa cofondatrice Marilyne Andersen

«Nous tirons parti de la lumière pour améliorer le bien-être des gens»

n/a
© Gabioud Simon (gam)