{"id":247,"date":"2025-12-01T10:34:29","date_gmt":"2025-12-01T10:34:29","guid":{"rendered":"https:\/\/serioushac.fr\/?page_id=247"},"modified":"2025-12-01T16:23:14","modified_gmt":"2025-12-01T16:23:14","slug":"serioushac","status":"publish","type":"page","link":"https:\/\/serioushac.fr\/","title":{"rendered":"SeriousHAC"},"content":{"rendered":"\n

Serious Game pour l\u2019Homologation
et l\u2019Apprentissage de la Cybers\u00e9curit\u00e9<\/h1>\n\n\n\n
<\/div>\n\n\n\n
\"\"<\/figure>\n\n\n\n
<\/div>\n\n\n\n

Serious HAC est un jeu de r\u00f4le o\u00f9 deux \u00e9quipes s\u2019affrontent :
les attaquants, qui essaient de s\u2019infiltrer et de perturber un syst\u00e8me,
et les d\u00e9fenseurs, qui font tout leur possible pour prot\u00e9ger leur syst\u00e8me de l\u2019\u00e9quipe adverse.<\/p>\n\n\n\n

\n

Les participants \u00e0 ce jeu pourront \u00eatre sensibilis\u00e9s \u00e0 la cybers\u00e9curit\u00e9, tant dans le cadre professionnel que personnel. Ils d\u00e9couvriront de v\u00e9ritables m\u00e9thodes de piratage toujours utilis\u00e9es de nos jours et \u00e9tabliront un lien avec les techniques pour s\u2019en prot\u00e9ger, leurs co\u00fbts et leurs d\u00e9lais de mise en \u0153uvre.<\/p>\n<\/div>

\"\"<\/figure><\/div>\n\n\n\n

Il est destin\u00e9 aux futurs RSSI (Responsables de la S\u00e9curit\u00e9 des Syst\u00e8mes d\u2019Information),
aux personnes en charge des syst\u00e8mes,
mais aussi aux personnes curieuses souhaitant simplement d\u00e9couvrir la cybers\u00e9curit\u00e9 :
\u00e0 jouer en entreprise, en famille ou entre amis\u2026.<\/p>\n\n\n\n

<\/div>\n\n\n\n

Historique du Projet<\/strong><\/h2>\n\n\n\n

Je me pr\u00e9sente, je m\u2019appelle Floralie et je suis RSSI (Responsable en S\u00e9curit\u00e9 des Syst\u00e8me d\u2019Information) dans une administration depuis 8 ans. J\u2019ai une formation d\u2019ing\u00e9nieur en travaux de la construction \u00e0 la base, bien loin de la cybers\u00e9curit\u00e9\u2026.Je suis tomb\u00e9 dedans par hasard suite \u00e0 une mutation. Je vous laisse imaginer la t\u00eate de mon mari quand je lui ai annonc\u00e9 ma nouvelle fonction, moi qui n\u2019aimais pas trop l\u2019informatique de mani\u00e8re g\u00e9n\u00e9rale\u2026.<\/p>\n\n\n\n

Lire la suite<\/summary>\n

J\u2019ai donc appris la cyber et ce m\u00e9tier sur le tas, sans personne pour me conseiller sur mes lectures et mon apprentissage. Sans compter que ma mission principale \u00e0 l\u2019\u00e9poque \u00e9tait de former une bonne centaine de personnes \u00e0 la cybers\u00e9curit\u00e9\u2026 <\/p>\n\n\n\n

Je cherchais d\u00e9sesp\u00e9r\u00e9ment un outil ou une m\u00e9thode qui puisse m\u2019aider dans ce travail de formation. Quelque chose qui soit p\u00e9dagogique sans \u00eatre barbant\u2026 \u00c9tant donn\u00e9 que je ne trouvais rien qui r\u00e9pondait \u00e0 mes attentes et que j\u2019ai une bonne affinit\u00e9 avec les jeux de soci\u00e9t\u00e9, j\u2019ai donc d\u00e9cid\u00e9 de cr\u00e9er mon propre serious game. Apr\u00e8s un an de gestation, six versions graphiques et autres, de nombreuses heures de relecture, je vous pr\u00e9sente le fruit de mon travail: SeriousHAC. <\/p>\n\n\n\n

Il s\u2019agit d\u2019un jeu de r\u00f4le dans lequel deux \u00e9quipes vont s\u2019affronter. Cette formation, sous format de jeu, se veut interactive et ludique. N\u00e9anmoins, j\u2019ai souhait\u00e9 qu\u2019elle soit la plus r\u00e9aliste possible tant par les sc\u00e9narios d\u2019attaques et leur vraisemblance que par les co\u00fbts et les d\u00e9lais. Elle est \u00e0 destination de futurs RSSI, de personnes en charges de syst\u00e8mes mais aussi de personnes curieuses souhaitant simplement d\u00e9couvrir la cybers\u00e9curit\u00e9: \u00e0 jouer en entreprise, en famille ou entre amis\u2026.<\/p>\n\n\n\n

Les participants, \u00e0 travers le r\u00f4le du RSSI (responsable en s\u00e9curit\u00e9 des syst\u00e8mes d\u2019information), vont pouvoir mettre en place les mesures qui sont normalement d\u00e9taill\u00e9es et explicit\u00e9es au sein du dossier de la d\u00e9marche d\u2019homologation. Celle-ci est une d\u00e9marche permettant de conna\u00eetre les vuln\u00e9rabilit\u00e9s du syst\u00e8me, d\u2019essayer de les r\u00e9duire, puis de pr\u00e9senter les risques r\u00e9siduels en commission au d\u00e9cideur (autorit\u00e9 d\u2019homologation) qui devra les accepter avant de mettre en service le syst\u00e8me. Les livrables de cette d\u00e9marche ne seront que cit\u00e9s.<\/p>\n\n\n\n

Ils vont \u00e9galement, \u00e0 travers le r\u00f4le des attaquants, comprendre le d\u00e9roulement d\u2019une attaque et les vuln\u00e9rabilit\u00e9s utilis\u00e9es. Ainsi ils seront plus \u00e0 m\u00eame de comprendre le r\u00f4le de chaque utilisateur\/intervenant\/responsable et leurs impacts dans la bonne s\u00e9curisation du syst\u00e8me.<\/p>\n\n\n\n

Enfin, ils prendront le r\u00f4le d\u2019autorit\u00e9 d\u2019homologation et participeront \u00e0 la commission d\u2019homologation du syst\u00e8me.<\/p>\n\n\n\n

Je vous conseille de jouer en deux \u00e9quipes de 6 personnes maximum.<\/p>\n\n\n\n

Une autre personne (ou deux) tiendra le r\u00f4le de meneur du jeu (MJ) et devra animer le jeu et s\u2019assurer de son bon d\u00e9roul\u00e9. Il se chargera de la mise en place, de la phase d\u2019explication, de la phase d\u00e9briefing ainsi que de la commission d\u2019homologation. <\/p>\n\n\n\n

Le but du jeu, pour les attaquants, est de r\u00e9ussir \u00e0 cr\u00e9er un (ou plusieurs) impact environnemental, financier, humain ou atteinte \u00e0 l\u2019image en moins de 1h15. Pour les d\u00e9fenseurs, il s\u2019agit de r\u00e9ussir \u00e0 s\u00e9curiser leur syst\u00e8me et \u00e0 le prot\u00e9ger au-del\u00e0 de 1h15 (environ 20 tours).<\/p>\n\n\n\n

Dans cette premi\u00e8re version, la cible des attaquants est un syst\u00e8me industriel infrastructure et plus pr\u00e9cis\u00e9ment une STEU, station de traitement des eaux us\u00e9es. J\u2019ai d\u00e9j\u00e0 en projet une extension avec d\u2019autres syst\u00e8mes cibles. <\/p>\n\n\n\n

J\u2019ai un premier retour de 400 personnes (90% en milieu professionnel et 10% avec amis\/famille) qui est tr\u00e8s positif. Les participants ont beaucoup \u00e9chang\u00e9 entre eux, de la meilleure strat\u00e9gie \u00e0 mettre en place pour s\u00e9curiser le syst\u00e8me le plus efficacement possible mais aussi sur les mesures qu\u2019ils ne pourraient pas r\u00e9aliser par manque de budget. Ils ont d\u00fb donc mesurer l\u2019incidence des avantages et inconv\u00e9nients et parler des risques r\u00e9siduels. Dans certains cas, ils ont m\u00eame choisi le risque r\u00e9siduel qui leur semblait le moins impactant. Certains ont fait le parall\u00e8le par eux-m\u00eames avec leur projet en cours, sur les mesures qu\u2019ils avaient mises en place et les difficult\u00e9s qu\u2019ils avaient rencontr\u00e9es. D\u2019autres ont enfin compris pourquoi je les harcelais depuis des mois pour faire une certaine action avant une autre\u2026<\/p>\n\n\n\n

C\u00f4t\u00e9 attaquants, ils \u00e9changent surtout sur la vraisemblance des sc\u00e9narios d\u2019attaques, la simplicit\u00e9 de r\u00e9alisation et les co\u00fbts. L\u2019objectif est de d\u00e9mystifier les diff\u00e9rents types d\u2019attaques, d\u2019expliquer leur fonctionnement, les pr\u00e9-requis et les objectifs. Ils comparent le temps de r\u00e9alisation et les co\u00fbts pour un d\u00e9fenseur de mettre en place une mesure par rapport \u00e0 une attaque. L\u2019objectif \u00e9tant de changer la mentalit\u00e9 du \u00ab peut-on \u00eatre attaqu\u00e9 ? \u00bb par \u00ab quand serons-nous attaqu\u00e9s? \u00bb\u2026 <\/p>\n\n\n\n

De mani\u00e8re g\u00e9n\u00e9rale les participants n\u2019ont pas vu le temps pass\u00e9: 2h15 en global avec environ 40 minutes d\u2019explications, 10-15 minutes de prise en main par les \u00e9quipes, 1h15 de jeu et 15 minutes de debriefing\/commission d\u2019homologation. <\/p>\n\n\n\n

M\u00eame ceux, qui \u00e9taient r\u00e9fractaires au domaine et\/ou au jeu de soci\u00e9t\u00e9, se sont pris au jeu. Pour les RSSI, ils ont enfin compris leur r\u00f4le\u2026.<\/p>\n\n\n\n

Je n\u2019ai pas encore assez de recul pour vous dire s\u2019il y aura un impact flagrant dans leur projet mais il est certain qu\u2019ils ont bien plus retenu d\u2019\u00e9l\u00e9ments qu\u2019\u00e0 travers une pr\u00e9sentation lambda type PowerPoint. Pour ma part, je pense que les deux sont compl\u00e9mentaires car le jeu ne permet pas d\u2019aborder en profondeur les livrables, le planning et les acteurs de la d\u00e9marche d\u2019homologation pour ne citer que les aspects principaux.<\/p>\n\n\n\n

La vente de ce jeu a pour objectif de permettre d\u2019att\u00e9nuer le co\u00fbt de la n\u00e9cessaire protection juridique de ce concept.<\/p>\n\n\n\n

J\u2019esp\u00e8re que le jeu vous plaira et qu\u2019il sera un bon support pour vous aider \u00e0 sensibiliser, former\u2026 et s\u2019amuser.<\/p>\n<\/details>\n\n\n\n

<\/div>\n\n\n\n

Contenus du jeu<\/strong><\/h2>\n\n\n\n
\"\"<\/figure>
\n

Les cartes \u00ab entit\u00e9 \u00bb<\/strong> permettent de donner du contexte \u00e0 la partie;<\/p>\n\n\n\n

Les cartes \u00ab profil interne \u00bb<\/strong> et les cartes \u00ab prestataire ext\u00e9rieur \u00bb regroupent les personnages qui vont \u00eatre capables (ou non) de mener des actions;<\/p>\n\n\n\n

Les cartes \u00ab connaissance du syst\u00e8me \u00bb<\/strong> apportent du contexte suppl\u00e9mentaires comme les vuln\u00e9rabilit\u00e9s et les vecteurs d\u2019attaques;<\/p>\n\n\n\n

Les cartes \u00ab action\u00bb<\/strong> regroupent toutes les attaques et mesures que les personnages peuvent r\u00e9aliser pour atteindre leur objectif;<\/p>\n\n\n\n

Un arbre de suivi des actions<\/strong> r\u00e9sume au joueur les relations entre les actions, notamment les pr\u00e8-requis;<\/p>\n\n\n\n

Un tableau de suivi des bonus\/malus<\/strong> devra \u00eatre compl\u00e9t\u00e9 pour faciliter les \u00e9changes entre les deux \u00e9quipes;<\/p>\n\n\n\n

Les cartes \u00ab impr\u00e9vu \u00bb<\/strong> sont des \u00e9v\u00e9nements de la \u00ab vie courante \u00bb et elles apportent des bonus ou des malus aux \u00e9quipes (carte en exemple \u00e0 gauche);<\/p>\n\n\n\n

Les r\u00e8gles du jeu<\/strong> incluant une aide \u00e0 la d\u00e9cision en cas de r\u00e9ussite critique des attaquants;<\/p>\n\n\n\n

Les plateaux de jeux<\/strong> pour suivre l’avancement des actions en cours et des temps de d\u00e9ploiement;<\/p>\n\n\n\n

Des pi\u00e8ces de monnaie<\/strong> et des d\u00e9s \u00e0 20 faces<\/strong> qui sont des aides de jeux<\/p>\n<\/div><\/div>\n\n\n\n

<\/div>\n\n\n\n

Ce procurer une version du jeu<\/strong><\/h2>\n\n\n\n
<\/div>\n\n\n\n
\n
<\/div>\n\n\n\n
\n
<\/div>\n\n\n\n

SeriousHAC v2<\/h1>\n\n\n\n
\n\n\n\n

Version physique en boite<\/p>\n\n\n\n

Nouvelle version graphique<\/p>\n\n\n\n

Cartes de jeu en papier prenium<\/p>\n\n\n\n

Plateaux de jeu pliable<\/p>\n\n\n\n

Livret de r\u00e8gles<\/p>\n\n\n\n

Livret du maitre de jeu<\/p>\n\n\n\n

D\u00e9s \u00e0 20 faces<\/p>\n\n\n\n

Pi\u00e8ces de monaie<\/p>\n\n\n\n

\n\n\n\n
\n
Pr\u00e9commander la V2<\/a><\/div>\n<\/div>\n\n\n\n
<\/div>\n<\/div>\n\n\n\n
<\/div>\n<\/div>\n\n\n\n

<\/p>\n","protected":false},"excerpt":{"rendered":"

Serious Game pour l\u2019Homologation et l\u2019Apprentissage de la Cybers\u00e9curit\u00e9 Serious HAC est un jeu de r\u00f4le o\u00f9 deux \u00e9quipes s\u2019affrontent : les attaquants, qui essaient de s\u2019infiltrer et de perturber un syst\u00e8me, et les d\u00e9fenseurs, qui font tout leur possible pour prot\u00e9ger leur syst\u00e8me de l\u2019\u00e9quipe adverse. Les participants \u00e0 ce jeu pourront \u00eatre sensibilis\u00e9s […]<\/p>\n","protected":false},"author":1,"featured_media":0,"parent":0,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","meta":{"footnotes":""},"class_list":["post-247","page","type-page","status-publish","hentry"],"_links":{"self":[{"href":"https:\/\/serioushac.fr\/index.php?rest_route=\/wp\/v2\/pages\/247","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/serioushac.fr\/index.php?rest_route=\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/serioushac.fr\/index.php?rest_route=\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/serioushac.fr\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/serioushac.fr\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=247"}],"version-history":[{"count":7,"href":"https:\/\/serioushac.fr\/index.php?rest_route=\/wp\/v2\/pages\/247\/revisions"}],"predecessor-version":[{"id":269,"href":"https:\/\/serioushac.fr\/index.php?rest_route=\/wp\/v2\/pages\/247\/revisions\/269"}],"wp:attachment":[{"href":"https:\/\/serioushac.fr\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=247"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}