Réagir à une attaque cyber

Unité spécifique de type mixte
Télécharger la fiche au format PDF Prendre contact par courriel
Réf. : USCB18

Sessions de formation

(Fuseau horaire : Europe/Paris)

Aucune session n'est visible pour le moment

Présentation

Public, conditions d'accès et prérequis

Aucun prérequis

Objectifs

Description :

Les spécificités liées à la problématique cyber démontrent la nécessité de se préparer à une attaque en formalisant les attaques passées afin d’en reconnaître des « patterns » et en organisant des exercices afin que chaque auditeur puisse en comprendre les enjeux ainsi que le rôle qu’il va devoir jouer sur l’ensemble de la chaîne de sécurité dans le cadre d’une crise cyber.

Objectifs pédagogiques :

Cette formation introduit tout d’abord différents formalismes de modélisation de la menace afin capitaliser les attaques et faciliter le maintien en condition de sécurité. Dans une seconde partie, elle organise, prépare et entraîne la gouvernance dans la constitution d’une cellule de crise pour faire face à un incident cyber majeur.

Contenu

  • Introduction à la modélisation de la menace
  • Formalisme de modélisation
    • CybOX (Cyber Observable eXpression)
    • Le langage STIX (Structured Thread Information Expression)
    • Modèle de diffusion TAXII (Trusted Automated eXchange of Indicator Information)
    • Modélisation d’un rapport de sécurité dans le langage STIX
  • Cycle de la Threat Intelligence
  • Organisation d’une cellule de crise
    • Planifications
      • Politique de sécurité, plans de défense, SMCA
      • Continuité d’activité (PCA, PCO, PGC, PRA) et continuité informatique (PCI, PRI)
    • Méthodologie de gestion de crise
      • Qu’est-ce qu’une crise ? Typologies de crises
      • Gestion d’incidents et gestion de crise
      • Mécanismes de prise de décision
    • Décision en situation de crise
      • Etude d’une crise pour en tirer des enseignements
      • Passage en crise : réunion et ordres de déclenchement, mise en configuration de crise, décision
  • Coordonner la communication crise
  • Exercice de crise
    • Coordonner les équipes
    • Réaliser les déclarations légales nécessaires en fonction de la situation simulée et de la législation applicable,
    • Gérer les phases de réaction immédiates et d’investigation
  • Rétrospective sur le déroulé de l’exercice :
    • «  Déconfliction » : facteurs, conduite, compte-rendu
    • Compte rendu et modélisation de l’attaque effectuée
    • Adaptation de l’organisation et des procédures dans un processus d’amélioration continue

Modalités d'évaluation

  • Projet(s)

L’évaluation est réalisée sur la mise en situation individuelle à différentes fonctions, l’organisation de l’exercice étant basée sur une rotation des acteurs. Chaque auditeur devra remettre un dossier individuel sur l’ensemble de l’exercice.

 

Celui-ci devra rédiger un rapport d’incident qui comprendra :

  • Les éléments de la phase préparatoire
  • Une modélisation de l’attaque subie,
  • La trace des événements et actions réalisées pendant l’exercice
  • Ainsi qu’une description des adaptations à prendre en compte pour améliorer le processus.