premium 1
premium 1 mobile
enfant ordinateur

Cyberguerre : et s'il fallait y jouer pour s'y préparer ?

Le 15 nov. 2018

La cyberguerre fait rage et provoque, déjà, de très gros dégâts du côté des grandes entreprises. D'où la proposition pas si incongrue de deux experts en cybersécurité : inviter les dirigeants à jouer à des cyberjeux pour imaginer tous les scénarios possibles et se préparer à y réagir. Explications. 

LA CYBERGUERRE SERAIT-ELLE UN JEU D’ENFANT ?

Franchement, en matière de cyberguerre, plus personne n’a envie de rigoler. Les entreprises subissent des attaques – 92 % d’entre elles en auraient été victimes en 2017 – et elles y perdent des plumes. Entre autres exemples, Saint-Gobain évaluait la perte générée par la cyberattaque NotPetya de juin 2017 à 250 millions d'euros sur ses ventes et 80 millions d'euros sur son résultat d'exploitation. Bref. Les organisations commencent à comprendre. La question n’est plus pour elles de savoir si, oui ou non, elles subiront une attaque – c’est certain elle aura lieu –, ni même de savoir si elles pourront lui résister – car même les plus prudentes risquent de se faire prendre de court par la créativité des hackers. Non, la seule question qui vaille est de savoir si elles sauront gérer au mieux les conséquences de la crise quand elle se produira.

Guy-Philippe Goldstein et Philippe Gaillard, experts en cybersécurité, proposent une solution pour les y préparer. Un jeu ! Considérant que l’on a déjà eu un mal de chien à obtenir que le sujet de la cyberguerre soit pris au sérieux par les comités de direction, peut-on imaginer que de les réunir autour d’un plateau pour jouer à faire semblant comme d’inconséquents prépubères soit raisonnable ? Il semblerait que oui !

JOUER À LA GUERRE POUR MIEUX S’Y PRÉPARER, CE N’EST PAS NOUVEAU...

Que les sceptiques se rassurent, la solution a déjà fait ses preuves. « On cantonne le jeu à l’enfance et à sa dimension de divertissement. Mais ce n’est pas que ça. C’est surtout un processus fondamental de l’apprentissage », expliquent Guy-Philippe Goldstein et Philippe Gaillard. Dès le viie siècle av. J.-C., militaires et hauts dirigeants pratiquaient déjà des jeux de stratégie – tels que le We Hei ou le Chaturanga, ancêtre du jeu d’échecs – qui leur permettaient d’affiner leur stratégie militaire. L’époque moderne n’a d’ailleurs pas complètement oublié cette pratique. « Lors de la crise des missiles de Cuba, si l’équipe de Kennedy a pu être si réactive, c’est aussi parce que le Pentagone avait simulé un certain nombre de crises lors de wargames, ces jeux de simulation stratégique politico-militaires entre experts hérités des Kriegsspiels de l’armée prussienne. C’est lors d’une de ces sessions qu’elle avait imaginé la réponse de l’embargo », raconte Guy-Philippe Goldstein. Car la simulation a l’énorme avantage de vivre les problèmes avant qu’ils ne surviennent, pour imaginer, à froid, des solutions. « Les épisodes de crise sont des moments d’apprentissage très brutaux. Les simuler permet d’être moins déstabilisés quand ils surviennent, et d’avoir pu prendre le temps de réfléchir à plusieurs scénarios », précise Philippe Gaillard.

CYBERGAME : POUR QUOI FAIRE ?

Dans le contexte d’incertitude où nous plongent les cyberattaques, le format du jeu serait particulièrement adapté pour tester un maximum de scénarios. Et l’on constate que plus l’incertitude se développe, plus le besoin de simulation devrait s’accélérer. L’innovation technologique crée un monde nouveau qui génère sans cesse des risques inédits. En matière de cyberattaques, si 2017 a été l’année du ransomware, on découvre le cryptomining, né de l’utilisation du bitcoin, la menace sur les objets connectés et notamment les véhicules autonomes, et celle de l’intelligence artificielle qui présage des champs de bataille qui opposeront des IA entre elles. Pour les entreprises, le nombre et la rapidité des mesures à mettre en place est donc un vrai défi. Elles doivent apprendre à travailler dans un environnement non seulement incertain mais également de plus en plus complexe dans lequel l’anticipation, les mesures préventives sont quasi impossibles à toutes envisager.

« Le temps du jeu est un temps très particulier. Il permet aux participants de découvrir par eux-mêmes des réponses inédites à des questions clés qu’ils ne s’étaient jamais posées. Pour cela, on les autorise à tenir des rôles différents et à faire plein d’erreurs… » L’objectif n’est certainement pas d’acquérir des certitudes ou d’apprendre à cocher LA bonne réponse. On l’aura compris : s’il reste fondamental d’avoir sécurisé quelques positions en cas d’attaques, il n’existe pas de solutions toutes faites. « Le rôle du décideur est de prioriser, de comprendre où se trouve le coefficient le plus important en termes de menaces ou d’opportunités, et c’est évidemment ce qu’il y a de plus dur. » En théorie, ces questions ne sont déjà pas simples… mais pris dans le feu de l’action, tout se complique encore. Aussi, passer d’une approche conceptuelle à une mise en situation ancre davantage la compréhension des enjeux. « Si je vous explique que dans une crise cyber, avant tout autre type de relations, il faut porter une attention très particulière à la relation avec son client, tout le monde peut s’exclamer : “Bien sûr, évidemment !”, déclare Guy-Philippe Goldstein. Mais pris dans le feu de l’action, quand il s’agit de prioriser les décisions, il devient beaucoup plus délicat de tenir ses positions. Le jeu permet d’évaluer de combien on se trompe dans nos choix… » À la fin de la partie, il s’avère donc moins important de savoir qui a gagné, qui a perdu. Il s’agit surtout de revenir sur les apprentissages qui ont pu être faits individuellement, mais aussi collectivement. Car répondre à une crise est un travail d’équipe… et apprendre à interagir est essentiel. « Il est très important que tous les joueurs aient leur temps de parole, d’envisager les grandes questions stratégiques, les questions de gouvernance, la répartition des rôles et les aspects pratiques. Quelle est la compréhension des différents enjeux par chacun des membres ? Ce sont des questions fondamentales pour pouvoir mettre des mécanismes de résilience en place », explique Philippe Gaillard.

CYBERGAME COMMENT ÇA MARCHE ?

À quoi ressemble un jeu de cybergame ? À un jeu de plateau classique. Chaque joueur se voit attribuer un rôle : la direction générale de l’entreprise attaquée, celle d’un concurrent, l’État et ses institutions, les publics concernés (clients, citoyens et actionnaires), et the last but not least, le méchant hacker. « Nous donnons des objectifs clairs à chacun, mais également quelques éléments de contexte : les relations qui les unissent avec tel ou tel interlocuteur par exemple... Il s’agit de mettre en place des dynamiques pour aider les participants à oublier qui ils sont pour qu’ils puissent tester de nouvelles façons d’être », précise Guy-Philippe Goldstein. Discrètement aux manettes, les deux experts se placent en maîtres du jeu. Ils font monter la tension, accélèrent le timing, ajoutent des informations… Côté joueurs, on rit beaucoup, mais la tension est curieusement palpable. La qualité du jeu dépend beaucoup de leur niveau de compétences : plus ils sont aguerris à ces questions, plus intense sera la partie.

QU’EST-CE QUE L’ON APPREND ?

On apprend sans doute trois dimensions fondamentales. D’abord à se connaître soi-même : comment je réagis en situation de stress, quelles sont mes particularités, mes forces, mes faiblesses… ? Ensuite à reconnaître que l’on est plongé dans un monde de relations qui exige d’interagir sans cesse avec des interlocuteurs dont les motivations et les raisonnements peuvent me prendre à revers. « Apprendre à raisonner en écosystème est un des enseignements fondamentaux. Quels sont les liens que j’ai tissés avec mes compétiteurs, l’État, et même le monde des hackers… On comprend très vite dans le déroulement de la partie que la coopération repose sur la confiance, et qu’elle ne peut pas s’improviser au moment des crises. Elle se construit dans la durée. Cet apprentissage pourrait sans doute être mis à profit sur beaucoup d’autres chantiers de l’entreprise », détaille Philippe Gaillard. Troisième et dernière dimension, on apprend que le monde extérieur impose de se tenir à l’écoute et de composer avec lui sans se laisser ballotter… « Je ne serais pas surpris que les entreprises adoptent le jeu et la simulation pour travailler leur stratégie de défense, y compris commerciale ou dans l’innovation. Les simulations pourraient devenir des sortes de laboratoires où les équipes testeraient de multiples scénarios. Dans ce cadre, nos rituels, qui reflètent notre société et ses valeurs, pourraient se transformer. Ils resteront ces moments symboliques hors du temps. Mais plutôt que d’être faits de répétitions – symboles des sociétés traditionnelles où il était dangereux de sortir des sentiers battus –, ils pourraient être conçus pour découvrir de nouvelles dimensions, et des comportements en soi-même que l’on ne soupçonnait pas. On peut imaginer que le jeu et la simulation s’intègreront dans les rituels de demain », conclut Guy-Philippe Goldstein.


Cet article est paru dans le numéro 16 de la revue de L'ADN consacré aux nouveaux rituels. Pour obtenir votre exemplaire, rien de plus simple : cliquez ici.


 

Commentaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.