Avec une hausse de 51 % des cyber-attaques en France cette année, le risque numérique est plus que jamais d’actualité pour les entreprises. Qu’il s’agisse d’une attaque interne ou externe à l’entreprise, elle peut représenter des pertes financières considérables atteignant en moyenne 3,7 millions d’euros par entreprise en France.
Les DSI et RSSI sont généralement au fait de ces risques et mettent d’ailleurs en place des systèmes de monitoring et de détection, mais qu’en est-il des directions générales ? L’objectif de Game of Threats™ est de simuler toutes sortes de cyber-attaques pour sensibiliser les équipes dirigeantes des entreprises aux enjeux liés à la sécurité informatique de leur société.
Le pitch : le site web de votre entreprise vient de faire l’objet d’une tentative d’attaque et certains de vos employés ont été victimes d’une campagne d’hameçonnage. Une cellule de crise regroupant des membres de la direction générale est immédiatement créée. Problème : ils ne savent pas vraiment comment réagir. Faut-il faire l’acquisition de nouveaux outils ? Faut-il recruter de nouveaux profils pour étoffer les équipes de sécurité informatique ? S’agit-il plutôt de former et sensibiliser les employés aux dangers du phishing ? La décision est prise, la direction générale investit dans de nouveaux outils spécifiques pour lutter contre l’hameçonnage. Sage décision, l’attaque est neutralisée et l’entreprise retrouve son rythme de croisière mais les membres de la cellule de crise avaient d’autres options et leurs décisions auraient pu avoir des conséquences autrement plus désastreuses.
Il ne s’agit pas ici d’une véritable attaque mais d’un scénario élaboré dans le cadre du jeu Game of Threats™ dont l’objectif est de sensibiliser les équipes dirigeantes aux enjeux liés à la sécurité numérique de leur société en les aidant à prendre conscience des potentielles failles et des conséquences de certaines attaques.
Les sessions de sensibilisation se déroulent dans la Delta Room, notre espace immersif dédié à la réflexion stratégique. Elles regroupent entre 6 et 12 participants et se déroulent généralement sur une demi-journée. Les participants se divisent en deux équipes : une endossant le rôle des attaquants et l’autre de l’entreprise attaquée. Les rôles sont ensuite inversés afin que chacun puisse comprendre la logique de chacun des protagonistes. Comme dans la vie réelle, l’équipe des hackers est plus agile que celle des dirigeants, qui subissent eux, une certaine inertie. A chaque tour de jeu, les équipes peuvent choisir d’investir dans des équipes ou des outils de protection ou d’attaque, sachant que les deux doivent évoluer en simultané. En 12 tours, la partie est terminée. Sur l’écran central de la Delta Room, les informations publiées dans la Presse et sur les réseaux sociaux sont consultables par les deux équipes pour ajuster leur stratégie au fil du jeu. Sur ce même écran, le score de la partie jouée évolue au cours de cette dernière.
Certains paramètres propres à l’entreprise réelle pourront être intégrés dans l’outil, comme par exemple son secteur d’activité ou encore les investissements déjà réalisés en cybersécurité. Pour pousser le réalisme encore plus loin, les deux équipes devront également développer leur stratégie d’attaque comme de défense en respectant une certaine enveloppe budgétaire.
« Game of Threats a déjà été utilisé par plus de 120 entreprises dans le monde et permet aux équipes dirigeantes d’avoir une meilleure compréhension des risques pour pouvoir, par la suite, focaliser leurs investissements là où ils sont les plus pertinents. »
Pierre-Olivier Duranton, Associé PwCCe jeu est une simulation réaliste à la prise de décision en temps réel face aux menaces de cybersécurité, d'un point de vue de l’attaquant et de celui de l’entreprise.
L'objectif est de sensibiliser le comité exécutif des entreprises aux problématiques de cybersécurité de plus en plus complexes, à travers une démarche ludique et impliquante.
Ce jeu stratégique challenge les joueurs à la prise de décision rapide. En s'appuyant sur un scénario pragmatique et réaliste, les participants doivent :
Cet outil unique de simulation réaliste autour de la cybersécurité permet aux participants de vivre l'expérience d’une attaque de cybersécurité et de réaliser l’impact et les conséquences de leurs décisions sur celle-ci.
Game of Threats™ favorise également la communication entre les équipes et son côté visuel attractif permet aux participants de plonger rapidement dans le jeu
Chaque équipe (entreprise et attaquant) dispose d'un iPad de contrôle pour mettre en oeuvre ses décisions. L'impact de ces dernières est visible en temps réel sur un écran partagé.
Chaque équipe (entreprise et attaquant) dispose d'un iPad de contrôle pour mettre en oeuvre ses décisions. L'impact de ces dernières est visible en temps réel sur un écran partagé.
Les modérateurs PwC fournissent des résultats détaillés après chaque jeu, en analysant la stratégie de chaque équipe, les décisions prises et les opportunités manquées.