L’exercice ACN-CyEX24 conclu : un pas en avant pour la cybersécurité nationale

ACN-CyEX24
(Pour Claudio Verzola)
09/12/24

L'exercice ACN-CyEX24 s'est terminé au siège de l'Agence Nationale de Cybersécurité (ACN), le premier à l'échelle nationale à impliquer les administrations représentées dans l'Unité de Cybersécurité. L'événement, qui a eu lieu les 5 et 6 décembre, a vu la participation de plus de 50 représentants de ministères et départements, engagés dans une activité visant à tester et à perfectionner les capacités de prévention et de réponse du système public italien aux cyberincidents.

L'exercice a simulé un scénario de cyberattaque d'intensité croissante, depuis l'identification d'une vulnérabilité critique jusqu'à la gestion d'un incident complexe. Le cycle complet de réponse a été testé, y compris les alertes transmises par le CSIRT Italie, l'unité opérationnelle de l'ACN, et l'adoption de mesures de confinement et de récupération.

Inséré dans le processus de mise en œuvre du Stratégie nationale de cybersécurité 2022-2026, l’exercice a également représenté une opportunité de consolider les connaissances sur la réglementation du secteur. Parmi ceux-ci, le Loi 28 Juin 2024, n. 90, qui renforce le cadre législatif national, et le Décret législatif n. 138 du 4 septembre 2024, qui met en œuvre la directive européenne NIS2.

L'exercice a confirmé la valeur de l'échange d'informations et de la collaboration technico-opérationnelle pour une gestion rapide et efficace des cyberévénements. « L'ACN-CyEX24 représente une étape importante dans le chemin de croissance de la cyber-résilience nationale », a déclaré le préfet Bruno Frattasi, directeur général de l'ACN.

Unification et souveraineté numérique

En plus de renforcer les capacités opérationnelles, des expériences telles que ACN-CyEX24 soulignent la nécessité d'optimiser les systèmes numériques de l'administration publique. En unifiant les plateformes et services numériques, il serait possible de réduire les coûts, d'éviter les duplications et de construire un souveraineté numérique centralisé et surveillé.

Un exemple concret de l'importance d'une gestion centralisée est apparu récemment, lorsque des dizaines de communes italiennes ont été éliminées de l'index de Google en raison d'une mise à jour algorithmique. Cette situation met en évidence la fragmentation actuelle, avec des milliers de plateformes exploitées par différentes sociétés pour publier et fournir des services publics.

L’unification de ces plateformes améliorerait l’efficacité et offrirait aux citoyens des services numériques plus accessibles et plus sécurisés. En outre, cela pourrait représenter une étape stratégique vers la construction d’un système public plus résilient et autonome, réduisant la dépendance à l’égard des tiers et assurant une meilleure protection des infrastructures critiques.

L'ACN-CyEX24 il ne s’agissait pas simplement d’un exercice technique, mais d’un exemple clair de la manière dont les institutions peuvent collaborer pour relever les défis de la cybersécurité. Des initiatives comme celle-ci, également étendues au niveau local, pourraient impliquer l’ensemble de l’administration publique et jeter les bases d’un système numérique public cohérent et durable, capable de répondre efficacement et rapidement aux cybermenaces.

 

« A cyberattaque d’intensité croissante représente une simulation ou un événement réel dans lequel une cyberattaque se développe progressivement, augmentant en complexité, en gravité et en impact au fil du temps. Ce type de scénario est conçu pour tester la capacité d'une organisation ou d'un système à gérer les différentes phases d'un cyber-incident, en s'adaptant aux nouveaux défis à mesure qu'ils se présentent.

Une attaque de ce genre se caractérise par certaines particularités. Il y a d'abord une augmentation progressive de la gravité : l'attaque peut commencer par un problème relativement simple, comme la découverte d'une vulnérabilité dans un logiciel, puis évoluer vers des situations de plus en plus complexes et nuisibles, comme le blocage de services essentiels ou la compromission de données critiques. Par ailleurs, une diversification des outils et techniques utilisés est observée. Au cours de l'attaque, différentes méthodologies, telles que le phishing, les malwares, les ransomwares ou les attaques DDoS, peuvent être utilisées, augmentant ainsi la pression sur les cibles.

À mesure que l’attaque progresse, l’impact sur les opérations devient de plus en plus important. Les conséquences n'affectent pas seulement les systèmes techniques, mais peuvent s'étendre aux processus métier, aux infrastructures critiques et à la réputation de l'organisation. Pour gérer ces situations, une réponse complexe et nuancée est nécessaire, nécessitant des contre-mesures avancées telles qu’une surveillance approfondie, l’isolement de segments du réseau et, dans certains cas, une coordination avec d’autres organisations.

Un exemple pratique d’attaque croissante pourrait commencer par un acteur malveillant exploitant une vulnérabilité connue pour accéder à un réseau d’entreprise (stade précoce). Par la suite, l’attaquant pourrait se déplacer latéralement au sein du système, compromettant davantage de machines et collectant des données sensibles (phase intermédiaire). A terme, l’attaque pourrait aboutir à un rançongiciel qui verrouille toutes les données de l’entreprise, avec la menace de les rendre publiques si une rançon n’est pas payée (stade avancé).

Les simulations de ce type ont des objectifs précis : elles permettent de tester l'ensemble du cycle de réponse à un incident, de la découverte initiale à la résolution ; évaluer la capacité de coordination entre les équipes et les organisations; et aider à identifier les faiblesses des protocoles de sécurité, améliorant ainsi la résilience globale.