J’ai donc appris la cyber et ce métier sur le tas, sans personne pour me conseiller sur mes lectures et mon apprentissage. Sans compter que ma mission principale à l’époque était de former une bonne centaine de personnes à la cybersécurité… 

Je cherchais désespérément un outil ou une méthode qui puisse m’aider dans ce travail de formation. Quelque chose qui soit pédagogique sans être barbant… Étant donné que je ne trouvais rien qui répondait à mes attentes et que j’ai une bonne affinité avec les jeux de société, j’ai donc décidé de créer mon propre serious game. Après un an de gestation, six versions graphiques et autres, de nombreuses heures de relecture, je vous présente le fruit de mon travail: SeriousHAC. 

Il s’agit d’un jeu de rôle dans lequel deux équipes vont s’affronter. Cette formation, sous format de jeu, se veut interactive et ludique. Néanmoins, j’ai souhaité qu’elle soit la plus réaliste possible tant par les scénarios d’attaques et leur vraisemblance que par les coûts et les délais. Elle est à destination de futurs RSSI, de personnes en charges de systèmes mais aussi de personnes curieuses souhaitant simplement découvrir la cybersécurité: à jouer en entreprise, en famille ou entre amis….

Les participants, à travers le rôle du RSSI (responsable en sécurité des systèmes d’information), vont pouvoir mettre en place les mesures qui sont normalement détaillées et explicitées au sein du dossier de la démarche d’homologation. Celle-ci est une démarche permettant de connaître les vulnérabilités du système, d’essayer de les réduire, puis de présenter les risques résiduels en commission au décideur (autorité d’homologation) qui devra les accepter avant de mettre en service le système. Les livrables de cette démarche ne seront que cités.

Ils vont également, à travers le rôle des attaquants, comprendre le déroulement d’une attaque et les vulnérabilités utilisées. Ainsi ils seront plus à même de comprendre le rôle de chaque utilisateur/intervenant/responsable et leurs impacts dans la bonne sécurisation du système.

Enfin, ils prendront le rôle d’autorité d’homologation et participeront à la commission d’homologation du système.

Je vous conseille de jouer en deux équipes de 6 personnes maximum.

Une autre personne (ou deux) tiendra le rôle de meneur du jeu (MJ) et devra animer le jeu et s’assurer de son bon déroulé. Il se chargera de la mise en place, de la phase d’explication, de la phase débriefing ainsi que de la commission d’homologation. 

Le but du jeu, pour les attaquants, est de réussir à créer un (ou plusieurs) impact environnemental, financier, humain ou atteinte à l’image en moins de 1h15. Pour les défenseurs, il s’agit de réussir à sécuriser leur système et à le protéger au-delà de 1h15 (environ 20 tours).

Dans cette première version, la cible des attaquants est un système industriel infrastructure et plus précisément une STEU, station de traitement des eaux usées. J’ai déjà en projet une extension avec d’autres systèmes cibles. 

J’ai un premier retour de 400 personnes (90% en milieu professionnel et 10% avec amis/famille) qui est très positif. Les participants ont beaucoup échangé entre eux, de la meilleure stratégie à mettre en place pour sécuriser le système le plus efficacement possible mais aussi sur les mesures qu’ils ne pourraient pas réaliser par manque de budget. Ils ont dû donc mesurer l’incidence des avantages et inconvénients et parler des risques résiduels. Dans certains cas, ils ont même choisi le risque résiduel qui leur semblait le moins impactant. Certains ont fait le parallèle par eux-mêmes avec leur projet en cours, sur les mesures qu’ils avaient mises en place et les difficultés qu’ils avaient rencontrées. D’autres ont enfin compris pourquoi je les harcelais depuis des mois pour faire une certaine action avant une autre…

Côté attaquants, ils échangent surtout sur la vraisemblance des scénarios d’attaques, la simplicité de réalisation et les coûts. L’objectif est de démystifier les différents types d’attaques, d’expliquer leur fonctionnement, les pré-requis et les objectifs. Ils comparent le temps de réalisation et les coûts pour un défenseur de mettre en place une mesure par rapport à une attaque. L’objectif étant de changer la mentalité du « peut-on être attaqué ? » par « quand serons-nous attaqués? »… 

De manière générale les participants n’ont pas vu le temps passé: 2h15 en global avec environ 40 minutes d’explications, 10-15 minutes de prise en main par les équipes, 1h15 de jeu et 15 minutes de debriefing/commission d’homologation. 

Même ceux, qui étaient réfractaires au domaine et/ou au jeu de société, se sont pris au jeu. Pour les RSSI, ils ont enfin compris leur rôle….

Je n’ai pas encore assez de recul pour vous dire s’il y aura un impact flagrant dans leur projet mais il est certain qu’ils ont bien plus retenu d’éléments qu’à travers une présentation lambda type PowerPoint. Pour ma part, je pense que les deux sont complémentaires car le jeu ne permet pas d’aborder en profondeur les livrables, le planning et les acteurs de la démarche d’homologation pour ne citer que les aspects principaux.

La vente de ce jeu a pour objectif de permettre d’atténuer le coût de la nécessaire protection juridique de ce concept.

J’espère que le jeu vous plaira et qu’il sera un bon support pour vous aider à sensibiliser, former… et s’amuser.