Un exercice de réponse aux incidents « Enter the War Room » met en lumière les vecteurs d’accès croissants, les perturbations et les activités préjudiciables à la réputation que les attaquants emploient aujourd’hui.
L’exercice « Enter the War Room » – organisé et dirigé par le fournisseur de cybersécurité Semperis – présentait un scénario axé sur une cyberattaque contre une chaîne de supermarchés fictive, BlueCart.
L’année dernière, nous avons participé à un exercice comparable, également organisé par Semperis, mais dans l’équipe opposée en tant que conseiller média d’une équipe bleue défendant les systèmes d’un service d’eau fictif contre les attaques.
Règles d’engagement
Les exercices sur table contre les ransomwares placent les participants dans un scénario de cyberattaque réaliste mais fictif dans lequel chaque équipe prend 10 minutes à tour de rôle pour élaborer ses plans d’attaque et de défense avant de communiquer ses conclusions à l’autre partie.
Chaque tour implique un cycle attaque-réponse avec Semperis agissant en tant que maître du jeu. L’ensemble de l’exercice a duré environ deux heures.
Comme de nombreux exercices sur table, cette simulation particulière a été conçue pour amener les participants à sortir des sentiers battus, à améliorer les communications entre les équipes et à développer de meilleures capacités de réponse aux incidents en exposant les angles morts.
Chaque équipe était composée de sept participants issus d’organisations des secteurs public et privé, dont d’anciens pirates informatiques, des consultants en sécurité et des responsables de la réponse aux incidents. Contrairement à l’édition 2025 de l’événement, les noms et identités des participants sont restés confidentiels cette année.
Fuite de données dans l’allée deux
En tant que cible de l’exercice « Enter the War Room » de cette année, le détaillant en alimentation BlueCart dispose d’un centre de commande de la chaîne d’approvisionnement amélioré par l’IA, conçu pour offrir une visibilité sur les stocks, la logistique et l’exécution. Le système joue un rôle clé pour maintenir les rayons approvisionnés et le bon déroulement des livraisons.
La logistique, la planification, les opérations d’entrepôt et l’exécution des commandes en magasin ont été centralisées dans un nouveau centre technologique et opérationnel.
L’équipe rouge a commencé par une reconnaissance pour trouver un fournisseur ou un partenaire logistique disposant déjà d’une connectivité fiable au centre de commande de l’IA, puis a utilisé cette position pour accéder à des portails partagés, des API ou des outils d’accès à distance.
Une combinaison d’informations d’identification volées auprès des développeurs, d’une faible application de l’AMF et de comptes de service trop privilégiés a été utilisée pour pirater les systèmes de planification et d’inventaire et voler les données des cartes de fidélité – trois des nombreux vecteurs d’accès généralement utilisés aujourd’hui. Les attaquants ont également tenté de s’introduire dans l’environnement Active Directory de BlueCart en utilisant une combinaison de phishing et de vol d’informations d’identification.
Les attaquants cherchaient également à exploiter le réseau de gestion des bâtiments mal segmenté du détaillant pour perturber les opérations de chauffage, de climatisation et de ventilation.
L’équipe bleue de défenseurs a décidé de rejeter les demandes de ransomware, auxquelles les attaquants ont répondu en divulguant les données du programme de fidélité afin de nuire à la réputation de BlueCart.
Fausses alertes et désinformation
Les attaquants ont généré des milliers de fausses alertes pour perturber le travail des analystes des opérations de sécurité et entraver la réponse. Pour contrer cela, les défenseurs ont établi des canaux de communication hors bande.
Poursuivant leurs tentatives visant à perturber les opérations de BlueCoat, les attaquants ont perturbé les opérations de paie. Profitant des pertes d’emplois dues au passage à des opérations basées sur l’IA, les attaquants se sont tournés vers des sites de médias sociaux tels que Reddit et 4chan pour tenter de faire enrager les hacktivistes et de les inciter à s’impliquer dans les attaques contre BlueCoat.
Les attaquants ont également créé un deepfake du PDG de BlueCart – semblant filmé sur son yacht privé – affirmant que la suppression d’emplois permettrait à BlueCoat de réaliser des bénéfices accrus et d’étendre ses opérations.
De faux bons de livraison pour des produits inappropriés, tels que des jouets sexuels, et des produits périssables tels que des glaces, ont été générés par les attaquants.
L’équipe bleue a déclaré qu’elle avait créé un pot de miel afin que les attaquants se trouvent uniquement dans cet environnement et n’aient jamais accès à son environnement réel ni aux données des clients.
Tester les mérites relatifs de ces affirmations et demandes reconventionnelles – qui ressemblaient parfois à une bataille de rap plutôt qu’à un jeu avec des règles structurées comme les échecs – dépassait la portée de l’exercice.
L’exercice sur table offrait une expérience immersive sans aucune analyse de données techniques, telles que les fichiers journaux spécifiques à l’exercice.
Autopsie
S’exprimant après l’exercice, Guido Grillenmeier, technologue principal chez Semperis, a expliqué qu’Enter the War Room n’était pas un exercice technique sur table mais un moyen pour les participants « d’élargir leur esprit et de s’amuser ».
Le scénario a été conçu pour affiner la préparation aux cyberincidents, de la même manière que les jeux de guerre sont utilisés pour entraîner les forces militaires en temps de paix.
Simon Hodgkinson, conseiller stratégique chez Semperis, a déclaré que l’exercice illustrait à quel point la véritable préparation et la résilience dépendent davantage des personnes et des processus que des outils.
« L’équipe bleue était bien structurée, réfléchissant à la manière de minimiser l’impact financier et sur la réputation de l’entreprise et reconnaissant que, si l’équipe rouge faisait exploser une capacité destructrice, elle devrait donner la priorité et maintenir une entreprise minimale viable », a déclaré Hodgkinson.
« L’équipe rouge a été innovante, utilisant des techniques comme la tromperie pour distraire l’équipe bleue afin qu’elle puisse atteindre son objectif. » » a ajouté Hodgkinson. « Même si la motivation n’était pas financière, ils ont saisi l’opportunité de gagner de l’argent grâce à la manipulation des médias et à la vente à découvert d’actions. »
