Rapport après-action de l'Exercice de synthèse cyber-physique

Ayant lieu les 24 à 26 octobre 2023

Table des matières

Sommaire de l'initiative pilote de l'exercice cyber-physique

Comment l'initiative Cy-Phy a permis de tester la posture de sécurité des participants en matière des infrastructures essentielles

Le paysage actuel des menaces au Canada a vu une augmentation des menaces internes et des attaques de ransomware, mettant les propriétaires et les opérateurs des infrastructures essentielles (IE) dans une situation de risque aiguë. Cet initiative des exercices cybernétique a été conçue par Sécurité publique Canada (SP) pour combler le fossé entre les exercices de sécurité cybernétique et de sécurité physique, dans le but d'accroître la résilience des infrastructures essentielles du Canada face aux incidents cybernétique ayant des conséquences physiques, et de renforcer la collaboration entre les secteurs et les organisations des IE qui naviguent dans les domaines cyber-physique et physique.

À l'ère du numérique, les IE sont de plus en plus interconnectées et interdépendantes au sein et au-delà des juridictions nationales et internationales. Dans un écosystème de réseaux et d'actifs interconnectés, les perturbations des IE peuvent causer des dommages considérables aux Canadiens, aux entreprises canadiennes et aux organisations de défense des IE.

L'initiative pilote de l'exercice Cy-Phy a été conçue pour examiner l'interconnexion entre les réalités cybernétiques et physiques et pour accroître les connaissances sur les mesures de sécurité organisationnelles au moyen d'une série d'exercices virtuels sur table, de séminaires et d'ateliers, et culminant avec un exercice national multisectoriel de synthèse (Exercice de synthèse Cy-Phy) réalisé virtuellement sur une période de trois jours en octobre 2023. Ces activités ont été conçues pour encourager l'échange d'informations fondées sur les risques, recenser les meilleures pratiques et les enseignements tirés, contribuer à renforcer les connaissances en matière d'interdépendance intersectorielle et tester les capacités de réaction aux incidents afin d'améliorer la résilience des IE.

L'Exercice de synthèse Cy-Phy s'est déroulé dans un environnement simulé dans lequel les participants ont pu tester activement leurs protocoles et procédures de sécurité en réponse à une cyber-attaque organisée et intentionnelle contre l'infrastructure canadienne individuelle et collective.

Les objectifs collectifs plus larges de l'Exercice de synthèse Cy-Phy étaient d'éduquer et de sensibiliser, de développer des partenariats, de faciliter la prise de décision et de partager des informations entre les organisations participantes et au sein de celles-ci.

Environ 150 organisations des secteurs privé et public ont participé à l'exercice de base, avec plus de 650 joueurs individuels de tous les coins du pays.

Les commentaires des participants indiquent que l'Exercice de synthèse a été considéré comme une réussite globale en les aidant à identifier les domaines à améliorer dans le but d'accroître leur résilience en tant que communauté d'infrastructures essentielles (IE) canadienne face à des cyberattaques ayant des conséquences physiques.

Les organisations joueuses ont été en mesure d'exécuter leurs réponses face aux scénarios et ont ainsi identifié les forces et les faiblesses de leurs procédures et protocoles existants. Les participants ont indiqué qu'ils utilisaient l'exercice comme modèle d'amélioration continue dans le domaine des exercices liés à la cybersécurité et à la sécurité physique.

Le rapport après-action (RAA) de l'Exercice de synthèse Cy-Phy présente la chronologie, la méthodologie, la participation, les mesures prises tout au long de l'exercice, ainsi qu'un résumé des enseignements tirés de l'exercice.

Introduction

L'initiative pilote de l'exercice Cy-Phy visait à mieux comprendre les risques et les capacités de réaction à des événements cybernétiques ayant des conséquences physiques et à renforcer la collaboration entre les responsables des infrastructures cybernétiques et physiques en réponse à des menaces réalistes.

Bien que les objectifs organisationnels puissent varier, quatre objectifs stratégiques primordiaux ont été identifiés dès le départ afin d'orienter les activités de base ainsi que l'Exercice de synthèse Cy-Phy.

Formation et sensibilisation - La formation continue des utilisateurs à la sécurité technologique au sein des organisations est renforcée et crée une culture de sensibilisation à la sécurité grâce à des mesures proactives.

Partenariats - Les organisations développent des partenariats pour leurs opérateurs de cybersécurité et leurs fournisseurs de services. Ces partenariats stratégiques aident les organisations à réduire les cyber-risques, à adopter l'innovation et les technologies perturbatrices, afin d'améliorer la résilience opérationnelle.

Partage d'informations - En échangeant des informations sur les cybermenaces au sein d'une communauté de partage, les organisations tirent parti des connaissances, de l'expérience et des capacités collectives pour mieux comprendre les menaces et les meilleures pratiques.

Prise de décision - La formation, le renforcement des capacités et des compétences sont essentiels pour comprendre la complexité des cyber-risques et prendre des décisions proactives en matière de cybersécurité. L'expérience en matière de gestion ne suffit pas à compenser les incertitudes des événements.

SP a conçu l'Exercice de synthèse en collaboration avec les organisations participantes afin de fournir aux participants des scénarios crédibles qui mettraient en pratique, en temps réel, leurs capacités et les aideraient à se préparer, à identifier, à prévenir, à atténuer et à répondre aux menaces, en fonction de leurs objectifs organisationnels. La Direction des communications de SP et le Centre national de coordination en cybercriminalité de la Gendarmerie royale du Canada (GRC) ont également contribué à la conception et à la mise en œuvre de l'Exercice de synthèse Cy-Phy en tant que contrôleurs en chef des cellules de communication et d'application de la loi, respectivement.

Tout au long du processus de planification, les concepteurs d'exercices des organisations participantes ont dû consacrer plusieurs heures par mois à la conception collective de l'événement de synthèse. Ils ont collaboré à l'élaboration du récit global et des scénarios, qui ont ensuite été adaptés au niveau des organisations individuelles.

Les organisations participantes représentaient un large éventail de secteurs et de juridictions, ce qui offrait d'énormes possibilités de scénarios croisés et de jeux intersectoriels. Cependant, au cours de la période de planification, l'exercice s'est orienté vers un événement plus cyber centrique avec des impacts physiques et des interdépendances moindres, ce qui a eu une incidence sur la composition des participants, sur les détails concernant les adversaires et, par conséquent, sur l'établissement en temps voulu de la liste principale des événements du scénario.

Il a s'agit d'une simulation réaliste d'un événement cybernétique national majeur impliquant des activités criminelles menaçant la sécurité des Canadiens, par exemple en entravant l'accès aux services bancaires, à l'alimentation, aux services de santé ou aux transports. L'Exercice de synthèse Cy-Phy a montré les impacts cybernétiques et physiques découlant de scénarios impliquant des rançongiciels, des maliciels, des pertes de données et des effets sur les systèmes opérationnels. À leur discrétion, certaines organisations compromises ont été présentées dans les bulletins d'actualités simulés afin d'encourager les joueurs à réagir et de renforcer la vraisemblance globale de la narration. Par exemple, des rapports régionaux et nationaux ont fait état de dysfonctionnements d'équipements hospitaliers entraînant le report de services médicaux, ainsi que de l'arrêt complet des systèmes de bagages et du trafic aérien dans certaines aéroports.

Les organisations joueuses ont scénarisé leurs intrants en fonction de leurs objectifs organisationnels, et les scénarios types ont pu être combinés ou modifiés. Avec des impacts en amont et en aval et des menaces sur la productivité ou le service à la clientèle, il était essentiel d'impliquer des experts en la matière et d'explorer les protocoles de communication, juridiques et de prise de décision au niveau de la direction.

L'Exercice de synthèse Cy-Phy s'est déroulé en temps réel dans un environnement virtuel et a été délibérément programmé pour coïncider avec le mois de sensibilisation à la cybersécurité reconnu par de nombreux alliés de l'OTAN. Des participants de tout le pays se sont connectés à la plateforme pour jouer, suivre ou observer les activités qui se sont déroulées pendant les trois jours.

Le présent rapport après-action (RAA) de l'Exercice de synthèse Cy-Phy vise à mettre en évidence les résultats spécifiques à l'Exercice de synthèse. Il sert également à identifier les points forts sur lesquels s'appuyer, ainsi que les domaines susceptibles d'être améliorés dans le cadre de la gestion d'une telle initiative.

Les organisations participantes sont encouragées à envisager la mise à jour de leurs plans, politiques et / ou procédures tels qu'identifiés comme devant être améliorés dans le cadre de leur participation à Cy-Phy.

Méthodologie de collecte des données

Les données utilisées pour produire ce rapport proviennent des joueurs, des évaluateurs et des contrôleurs. Elles englobent des informations provenant de divers canaux, notamment des sondages en direct, clavardage et discussions au sein de la plateforme, des commentaires et des témoignages des participants fournis par courriel pendant ou après l'exercice, ainsi que le questionnaire post-exercice et les commentaires fournis lors de la réunion de rétroaction nationale qui s'est tenue le 2 novembre 2023.

Chronologie

Depuis la conception jusqu'au déploiement et à l'évaluation de l'Exercice de synthèse Cy-Phy, les différents éléments et activités ont pris près de deux ans à compléter.

Les activités de planification et d'engagement ont débutées à l'automne 2021 et se sont poursuivies jusqu'à la réalisation du projet final en octobre 2023. SP a organisé des réunions de planification d'exercice, telles que :

Parallèlement, SP a organisé une série de séminaires et d'exercices virtuels sur table (XVST) destinés à former les participants à des concepts de sécurité tels que les rançongiciels et les risques internes, tout en permettant d'embarquer de nouveaux joueurs. En outre, un XVST a été organisé à l'intention des partenaires fédéraux pour étudier un cyber événement grave touchant les infrastructures essentielles canadiennes, qui a entraîné l'activation du Plan fédéral de réponse aux incidents cybernétiques (PFRIC) à son niveau le plus élevé (niveau 4), ce qui a déclenché en parallèle le Plan de gestion de événements de cybersécurité du gouvernement du Canada (PGEC GC) et le Plan fédéral d'intervention d'urgence (PFIU).

Aperçu de la chronologie

septembre / octobre 2021
Séminaires de lancement de l'initiative Cy-Phy
mai 2022
Réunion de concepts et objectifs
octobre 2022
Exercice virtuel sur table sur les rançongiciels
novembre 2022
Réunion de planification initiale
février 2023
Exercice virtuel sur table sur les risques internes
février 2023
Webinaire de la série « Maintenant vous savez » sur l'Exercice synthèse Cy-Phy 23
mars 2023
Distribution des trousses des participants (Aperçu du processus de conception de scénario: Guide de l'utilisateur, le scénarimage Cy-Phy 23, le cahier d'exercice Cy-Phy 23)
mars 2023
Cliniques de rédaction des intrants
mai 2023
Exercice virtuel sur table sur le Plan fédéral de réponse aux incidents cybernétiques (PFRIC)
juin 2023
Réunion de planification principale
juillet / août 2023
Développement des scénarios des joueurs
septembre 2023
Réunion de planification
octobre 2023
Formations sur la plateforme virtuelle
octobre 2023
Réunion de contrôle des communications
octobre 2023
Exercice de synthèse Cy-Phy 23
novembre 2023
Séance de rétroaction nationale
printemps 2023
Rapport après-action

Répartition de la participation

L'Exercice de synthèse Cy-Phy a rassemblé des participants issus de multiples secteurs et domaines disciplinaires des ministères fédéraux, des gouvernements provinciaux, territoriaux et municipaux, des services de police, des agences et associations de gestion des urgences, ainsi que des propriétaires et exploitants privés des infrastructures essentielles.

Environ 150 organisations ont participé à l'exercice, avec plus de 650 individus qui se sont connectées à la plateforme pendant les trois jours. Certains partenaires des IE ont été simulés par SP afin d'assurer une représentation réaliste d'une réponse fédérale à un cyber événement national important.

Les participants ont pu aborder l'Exercice de synthèse Cy-Phy de différentes manières, par exemple :

Organisations de joueurs / victimes (32 au total) - Les organisations de joueurs ont désigné un ou plusieurs concepteurs principaux de l'exercice qui ont défini leurs objectifs organisationnels et élaboré leur jeu d'exercice avec le soutien et les conseils des SP dans le cadre d'une série de réunions de groupes de travail, de cliniques de rédaction d'injections, de réunions bilatérales et d'activités de planification de l'exercice.

Chaque organisation participante accède à l'environnement virtuel à partir du lieu qu'elle a choisi. Les joueurs ont répondu à des intrants (nouvelles simulées, appels téléphoniques, courriels) les incitant à réagir et à interagir comme ils le feraient au cours d'un événement, en pratiquant les actions de réponse et les mesures d'atténuation de leur organisation.

Organisations de surveillance et réponse (32 au total) - Les organisations de contrôle et d'intervention ont participé à des réunions de planification et ont pu choisir de faire des injections scénarisées pour inciter les joueurs à agir. Leur fonction principale étant de soutenir le réalisme des scénarios, elles ont également bénéficié de l'exercice de leurs protocoles de communication ou de leurs procédures d'intervention en cas d'incident.

Observateurs (86 au total) - Les observateurs ont été invités à participer aux réunions de planification et ont accédé à la plateforme virtuelle pendant l'Exercice de synthèse.

Une fois dans l'environnement virtuel, tous les participants pouvaient accéder à leur boîte de réception, aux médias sociaux, à la salle de presse, au coin technique, aux sondages en direct et au « dark web ».

Aucun des participants n'a pu voir ce que les autres organisations de jeu simulaient, à moins qu'ils n'aient programmé des intrants pour explorer les interdépendances. Ce que quelques participants ont choisi de faire.

Déroulement de l'exercice

La simulation a été réalisée dans un environnement contrôlé à l'aide de la plateforme virtuelle ResponseReady™ de Calian, qui a fourni aux joueurs une expérience d'exercice immersive tout au long des trois jours de jeu. Pendant l'exercice, la plateforme virtuelle a permis de présenter de l'information aux participants par l'entremise de multiples sources telles que les médias sociaux, les courriels et les bulletins d'actualités. L'outil a également permis à SP de reproduire des blogs techniques et même une expérience « dark web ».

Les participants ont reçu une formation sur l'utilisation de la plateforme avant l'Exercice de synthèse.

Le jeu virtuel s'est déroulé à partir d'Ottawa, lieu de contrôle de l'exercice (« EXCON »), et à l'heure normale de l'est. Les jeux organisationnels se déroulant dans les lieux de contrôle choisis par les participants, selon leurs besoins, à travers le Canada.

Grâce à une série d'intrants diffusés par SP via la plateforme virtuelle, tous les participants, y compris les observateurs, ont été initiés à la narration de la mise en scène. 

L'histoire mettait en scène les représailles d'un groupe fictif de « Westiniens » patriotes par le biais de cyberattaques en réponse au soutien du Canada aux sanctions contre le pays fictif de « Westinia » pour le traitement qu'il infligeait à ses habitants. Des intrusions cybernétiques affectants les infrastructures essentielles par le biais d'une vulnérabilité de type « jour zéro » dans un système d'exploitation populaire ont conduit à des simulations de rançongiciels, à des maliciels, à des pertes de données et, dans certains cas, à la compromission de systèmes opérationnels.

Les organisations participantes ont choisi le nombre de jours pendant lesquels elles souhaitaient jouer et ont planifié des intrants pour inciter leurs joueurs à réagir et à interagir en conséquence.

Premier jour (24 octobre) - Principalement pour la connaissance de la situation par le biais d'événements tels que les nouvelles, les émissions, l'activité des médias sociaux et les fournisseurs notifiant qu'une vulnérabilité a été détectée dans un système d'exploitation largement utilisé (un fac-similé de Microsoft). Quelques articles sur la sécurité étaient également disponibles à ce moment-là.

Deuxième jour (25 octobre) - Il s'agit principalement d'activités de réponse aux incidents. Les événements allaient des notifications de rançongiciel, à la perte de service et aux systèmes affectés, ce qui a donné lieu à des enquêtes, des plans de réponse aux incidents et des plans de continuité à tester.

Troisième jour (26 octobre) - Principalement axé sur la récupération des données, la restauration des services et la validation des plans de continuité des activités, la fin de l'état de l'événement et les activités d'atténuation.

Pour les organisations souhaitant tester des réponses pratiques, un dossier contenant des informations techniques et des artefacts a été mis à leur disposition. Ce dossier comprenait des fichiers exécutables (bénins), des détails sur les maliciels, y compris des indicateurs de compromission (noms de fichiers, valeurs de hachage, emplacements de fichiers, entrées de registre), des images du message de rançon, des instructions sur la manière d'utiliser le dossier technique et un outil de suppression pour effacer toutes les entrées après la conduite de l'exercice. 

Tout au long de l'Exercice de synthèse Cy-Phy, l'EXCON a organisé des appels de coordination pour les contrôleurs et les évaluateurs à deux moments différents de la journée afin de mieux servir les participants issus de différents fuseaux horaires et a diffusé un document sur l'état initial (« start state ») via la plateforme. Une fois les activités interrompues pour la journée, l'EXCON a réuni les contrôleurs et les évaluateurs pour un débriefing quotidien. Les contrôleurs et les évaluateurs des organisations participantes ont été encouragés à procéder à une rétroaction interne afin d'identifier les problèmes, les lacunes ou les meilleures pratiques acquises au cours de la journée.

Les contrôleurs en chef des cellules de communication et d'application de la loi, ainsi que des observateurs du Centre australien de cybersécurité, se sont joints à l'équipe de planification à partir de l'EXCON.

Plateforme virtuelle : ResponseReady™ de Calian

Flux d'informations

Au cours de l'Exercice de synthèse Cy-Phy, des intrants et des informations de mise en scène ont été communiqués aux joueurs par le biais de diverses méthodes et formats, tels que les médias sociaux, les courriels, les actualités, ainsi que des sources plus spécialisées telles que les blogs techniques et le « dark web ». D'autres méthodes, telles que les appels téléphoniques et les courriels directs, ont été utilisées au cas par cas, le cas échéant.

Les méthodes ont été choisies pour imiter au mieux la façon dont les joueurs recevraient des informations dans une situation réelle, afin de tester avec précision les réponses et d'inciter les joueurs à agir.

La boîte de réception était la fonction de messagerie électronique de la plateforme et servait à simuler les communications professionnelles par courrier électronique. Les appels téléphoniques de la cellule de simulation ont été utilisés pour transmettre certaines injections aux joueurs. Il s'agissait notamment de simuler les appels des médias, ainsi que les informations transmises aux centres de coordination.

Les éléments constitutifs de la plateforme

La section suivante propose une description des aspects de la plateforme qui ont été utilisées pendant l'Exercice de synthèse Cy-Phy :

Canadian Virtual News Network (CVNN) - Les nouvelles du réseau médiatique CVNN imitent la couverture médiatique légitime et servent de source d'information fiable pour les situations d'intérêt en cours, tant au niveau national qu'international. Le CVNN a publié du contenu sous la forme d'émissions d'actualités vidéo, d'articles d'actualités nationales et d'articles d'actualités régionales. Certains articles ont été utilisés comme injections par les joueurs pour les inciter à agir en conséquence. Afin d'accroître le réalisme, certains joueurs ont reçu des courriels ou des appels téléphoniques de journalistes de CVNN leur demandant de faire des déclarations qui ont été incorporées dans des articles ultérieurs.

Salle de presse - La salle de presse a servi de dépôt pour les publications de source directe des partenaires de l'industrie. Il s'agissait notamment d'avis et d'informations émanant du fournisseur du système d'exploitation, d'avis et d'alertes émanant de sources gouvernementales telles que le Centre canadien de cybersécurité, la GRC et le United State's Federal Bureau of Investigation (FBI), de bulletins d'information spécifiques à l'industrie et au secteur, et d'autres communiqués de presse de l'industrie.

Médias sociaux - La principale forme de médias sociaux disponible sur la plateforme était « Chatter », un fac-similé de X, anciennement connu sous le nom de Twitter. Chatter a joué un rôle essentiel en reflétant le sentiment du public et en diffusant des informations qui n'avaient pas encore été relayées par les médias traditionnels. Des groupes adverses ont également été trouvés sur les médias sociaux pour faire du recrutement et laisser des indices sur leur identité et leur affiliation.

Le coin des techniciens - Le coin des techniciens a servi de dépôt pour les outils et les ressources techniques permettant aux acteurs techniques de suivre plus précisément les procédures habituelles alors qu'ils enquêtent un cyber incident. Les outils et les ressources ont été mis à jour tout au long de l'exercice afin de présenter les nouvelles découvertes et les informations les plus récentes.

Dark web - Un portail « dark web » a été créé pour permettre aux joueurs de simuler des activités de chasse aux menaces. Il contenait des pages pour chaque groupe d'adversaires avec des indices sur la mission et l'identité de chaque groupe ainsi que diverses informations cachées permettant aux joueurs de reconstituer l'histoire de l'adversaire.

Blog technique - Le blog « screen saver » était une publication niche qui couvrait en profondeur les aspects techniques de la situation en cours, sans pour autant cibler le grand public. Les articles de blog ont joué un rôle clé dans la diffusion de détails non confirmés et de spéculations qui n'avaient pas leur place dans les médias traditionnels.

Tout le potentiel de l'outil ResponseReady™ a été maximisé et l'expérience qui en a résulté a été bien accueillie par les participants. Au cours de l'Exercice de synthèse, une moyenne quotidienne de 563 utilisateurs actifs se sont connectés à l'environnement.

Parmi les autres données marquantes, citons la distribution de 2 933 messages sur les médias sociaux et de 4 098 courriels, ainsi que 848 intrants.

Le réseau médiatique CVNN a diffusé 24 messages nationaux, 16 messages régionaux et 8 émissions d'information, ainsi que 8 messages techniques destinés aux joueurs les plus expérimentés. Ces activités ont permis de présenter un scénario réaliste qui a grandement amélioré la simulation et stimulé l'enthousiasme des participants.

Principaux résultats

Ce que nous ont dit les participants de l'Exercice de synthèse

Éducation et sensibilisation

Objectif : Sensibiliser les parties prenantes et leur faire mieux comprendre les IE et la convergence de la cybersécurité, de la sécurité physique et de la gestion des situations d'urgence.

Grâce à cet exercice, les participants ont pu se faire une idée des effets en cascade potentiels des cyber incidents sur l'infrastructure physique, principalement au sein de leur organisation. Les participants ont reconnu la complexité inhérente à la lutte simultanée contre les menaces cybernétiques et physiques au sein de leur organisation, soulignant la nécessité de stratégies globales et d'une collaboration interfonctionnelle.

L'intersection des domaines cybernétique et physique, qui constitue le thème central de l'Exercice de synthèse, est en soi un environnement difficile à gérer. Chaque domaine dispose de politiques, de procédures et de canaux de communication distincts, ce qui nécessite une attention particulière dans le cadre des stratégies de réponse aux incidents de l'organisation. Les participants ont reconnu les difficultés inhérentes au fonctionnement en vase clos, soulignant l'importance de renforcer l'éducation et la sensibilisation aux rôles et responsabilités des partenaires internes et externes, un principe souligné dans l'objectif « partenariats ».

L'exercice a mis en évidence la nécessité pour les organisations de mettre en place des initiatives de formation et d'éducation permanentes afin de doter leur personnel des connaissances et des compétences nécessaires pour relever efficacement les défis de la sécurité cybernétique-physique. Cette constatation souligne l'importance d'investir dans des activités d'amélioration continue adaptées aux exigences uniques des organisations des infrastructures essentielles.

L'exercice a incité les organisations à examiner et à réviser les politiques et procédures existantes pour faire face à la convergence des menaces de sécurité physique et cybernétique. L'amélioration de la planification de la continuité des activités était importante pour de nombreuses organisations, plusieurs d'entre elles ayant identifié des domaines de préoccupation liés à la continuité des services.

Partenariats

Objectif : Renforcer la collaboration entre les secteurs public et privé parmi les parties prenantes des IE ayant des responsabilités en matière de cybersécurité et de gestion des situations d'urgence.

Malgré la mise en place de groupes de travail visant à favoriser la collaboration, l'interaction entre les acteurs a été minime au cours de l'Exercice de synthèse. Ce manque d'engagement a entravé l'efficacité des efforts de coordination intersectorielle et inter juridictionnelles, soulignant la nécessité d'améliorer les canaux de communication et les stratégies d'engagement.

De nombreux participants se sont principalement concentrés sur l'examen du dispositif de cybersécurité de leur organisation, négligeant l'importance des impacts physiques et de la compréhension des interdépendances au sein de la communauté des infrastructures essentielles. Une approche plus globale intégrant les considérations de sécurité physique et cybernétique serait un facteur clé pour améliorer la collaboration et la résilience. La mise en place d'équipes de marquage de la cybersécurité et de la sécurité physique pour traiter les incidents en collaboration a été mentionnée comme une prochaine étape possible.

Des méthodes de communication efficaces sont apparues comme un facteur crucial pour faciliter la collaboration et les processus de prise de décision. La cohérence, la fiabilité et la réactivité des canaux de communication, ainsi que l'intégration de protocoles et de seuils définis pour la communication avec les partenaires, ont été reconnues comme essentielles pour permettre des réponses rapides aux menaces et incidents émergents.

L'interaction avec les services répressifs et les organismes de réglementation a mis en évidence l'importance de la coordination et de la coopération dans la réponse aux incidents de cybersécurité. Les participants ont reconnu l'importance d'établir des relations de collaboration avec les organismes chargés de l'application de la loi et d'autres parties prenantes concernées afin de faciliter les efforts de réaction rapide et efficace en cas d'incident.

Prise de décision

Objectif : Examiner les processus de prise de décision et la coordination entre les cyber-intervenants et les intervenants en cas d'urgence dans les secteurs public et privé.

L'exercice a mis en évidence l'importance de définir clairement les rôles et d'établir des canaux de communication efficaces entre les experts en cybersécurité, en communication, en droit ou en d'autres matières et les intervenants en cas d'urgence au sein des organisations. Les participants ont souligné la nécessité de désigner des points de contact et d'établir des protocoles pour le partage d'informations et la coordination des réponses d'un point de vue organisationnel.

La coordination entre les équipes chargées de la cybersécurité ou d'autres technologies de l'information et les acteurs de la gestion des urgences a posé des problèmes. Les participants ont éprouvé des difficultés à aligner les priorités, à échanger des informations et à coordonner les actions, soulignant la nécessité d'améliorer les cadres décisionnels.

Les participants ont identifié les considérations juridiques et réglementaires comme des facteurs critiques ayant un impact sur les processus de prise de décision et les efforts de coordination. Naviguer entre les lois sur la protection des données et les frontières juridictionnelles a posé des défis aux acteurs, soulignant l'importance d'intégrer des experts juridiques et réglementaires dans les cercles de prise de décision.

Une gestion efficace des incidents nécessite une collaboration interfonctionnelle entre différents services et équipes au sein des organisations. Les participants ont reconnu l'importance d'impliquer des représentants des services informatiques, de la cybersécurité, des services juridiques, des services de communication et d'autres services concernés dans les processus de prise de décision afin de garantir des réponses complètes et coordonnées aux incidents.

Les participants ont souligné l'importance d'identifier et d'évaluer la gravité et l'impact potentiel des incidents afin de hiérarchiser les efforts de réponse et d'allouer les ressources en conséquence. La réalisation d'évaluations approfondies des risques et la hiérarchisation des actions de réponse aux incidents sont apparues comme des facteurs essentiels d'une gestion efficace des incidents.

Partage d'informations

Objectif : Déterminer les besoins en informations et les processus d'échange d'informations entre les partenaires de l'IC ayant des responsabilités en matière de cybersécurité et de gestion des situations d'urgence.

Tout au long de l'Exercice de synthèse, les participants ont fréquemment souligné l'existence de délais dans l'échange d'informations, en particulier d'informations sensibles. Ces délais se produisent non seulement entre les organisations d'un même secteur ou d'une même juridiction, mais aussi entre les équipes d'une même organisation. L'échange d'informations en temps utile est apparu comme un facteur essentiel pour une intervention efficace en cas d'incident. Les participants ont souligné l'importance de définir des délais pour le partage de l'information et de veiller à ce que les parties prenantes concernées reçoivent des mises à jour en temps utile afin de faciliter la prise de décision éclairée et la coordination de l'intervention.

Les acteurs ont exprimé le besoin pressant d'accélérer le processus de partage d'informations sensibles entre les principaux partenaires de la communauté des IE pendant les incidents. En outre, les participants ont souligné l'intérêt de tester d'autres méthodes de communication entre les parties prenantes et ont demandé des informations plus complètes sur les incidences potentielles, les interdépendances et la portée globale des menaces pesant sur les opérations des IE. Ils ont exprimé le souhait de disposer d'études de cas illustrant des incidents résultant de postures de cybersécurité vulnérables, de plans d'urgence négligés ou de partenariats sous-utilisés. En outre, les participants ont exprimé le besoin d'une étude plus approfondie des incidents intersectoriels et inter juridictionnels.

L'exercice a mis en évidence la nécessité d'améliorer l'interopérabilité entre les plans de gestion des urgences, de communication et d'intervention en cas d'incident de cybersécurité au sein des organisations. Les participants ont insisté sur l'importance de répéter et de planifier le partage d'informations, y compris les communications externes, et d'identifier les principaux partenaires et services de soutien, ainsi que leurs rôles et responsabilités respectifs.

Tout au long de l'exercice, les participants ont identifié le besoin d'interopérabilité des systèmes et des plateformes d'information comme étant vital pour le partage d'informations entre les partenaires. Cela implique des solutions technologiques compatibles qui permettent l'échange de données et la collaboration au-delà des frontières organisationnelles.

Au niveau interne, la collaboration et la formalisation des procédures d'échange d'informations ont été identifiées comme des priorités absolues. Les participants ont insisté sur la nécessité de tester des modes de communication alternatifs avant les événements et de surmonter les cloisonnements organisationnels. Ils ont souligné l'importance d'adopter une approche holistique du point de vue de la cyber réponse et ont exprimé le souhait d'inclure toutes les parties prenantes concernées dans les exercices futurs.

Réflexions finales

Le projet de synthèse a atteint son objectif global, à savoir aider les participants à identifier les possibilités d'améliorer leur résilience et celle de l'ensemble de la communauté canadienne des infrastructures essentielles lorsqu'ils sont confrontés à des cyberattaques ayant des incidences physiques.

Dans l'ensemble, les résultats ont montré que la présence d'un leadership fédéral était essentielle pour coordonner la communauté des IE afin d'assurer une connaissance continue et accrue des exigences en matière de cybersécurité et de sécurité physique, ainsi que la nécessité d'une exploration plus approfondie des interdépendances intersectorielles. Ce rôle de chef de file est considéré comme essentiel pour assurer une collaboration continue et l'alignement des efforts dans les différents secteurs et juridictions, ce qui permet d'améliorer la résilience globale des IE face aux menaces croissantes et émergentes.

En outre, les participants ont estimé qu'il était important de souligner l'interaction entre la cybersécurité et la sécurité physique, car les protocoles et les stratégies varient souvent d'une organisation à l'autre et d'une juridiction à l'autre.  Il est essentiel de comprendre ce lien pour élaborer des mesures de sécurité cohérentes et complètes afin de lutter contre des menaces complexes. En outre, un écart notable a été identifié entre les organisations en termes de préparation, de formation et d'adhésion aux protocoles. 

Les organisations participantes ont reconnu qu'un exercice de cette ampleur nécessite un engagement précoce et une collaboration continue et significative avec les experts en la matière de l'organisation (technologie de l'information, droit, communications, etc.) afin d'élaborer des scénarios et des injections de qualité qui testent de manière appropriée les plans, les protocoles et les rôles et responsabilités. Les participants ont également indiqué qu'ils apprécieraient d'avoir l'occasion d'explorer plus avant les interdépendances, car ils reconnaissent que les perturbations intersectorielles, inter juridictionnelles et en cascade constituent des vulnérabilités pour de nombreuses organisations des IE.

Les participants ont exprimé le souhait que les Ministères Fédéraux ResponsablesNote de bas de page 1 de file augmentent leur participation aux exercices, car cela permet de collaborer et d'innover pour améliorer la sécurité des IE. Les participants jugent utile que les partenaires fédéraux responsables de la cybersécurité ou de la gestion des urgences conservent un rôle de chef de file et favorisent un échange d'informations fructueux.

Du point de vue de la planification et de la réalisation de l'exercice, la complexité, l'échelle et la portée de l'Exercice de synthèse étaient immenses. Réduire la portée de l'exercice aurait permis de concentrer les efforts collectifs nécessaires pour tester les interdépendances et la capacité de la bande passante des planificateurs, des partenaires et des acteurs afin d'être mieux à même de comprendre et d'explorer les impacts réels d'un cyber incident ayant des conséquences physiques sur les IE, d'un point de vue intersectoriel et inter juridictionnel.

L'approbation et l'engagement rapides des principaux ministères et organismes fédéraux sont essentiels à la réussite d'un exercice de cette ampleur. De nombreux participants avaient des priorités concurrentes et certains ont ressenti une certaine lassitude à l'égard de l'exercice. Il est essentiel de concentrer les capacités sur l'élaboration d'un scénario directeur solide qui explore l'IC en tant qu'écosystème interconnecté, plutôt que de concentrer les efforts sur l'adaptation de l'exercice aux acteurs à un niveau individuel.

En conclusion, un leadership proactif, une approche holistique de la sécurité et des efforts de collaboration ont été reconnus comme des éléments clés de la protection des infrastructures essentielles contre des menaces en constante évolution. En donnant la priorité au partage d'informations, en encourageant l'action collective et en investissant dans l'amélioration du dispositif de sécurité des IE, la communauté des infrastructures essentielles devrait être en mesure de renforcer sa résilience et d'atténuer les risques pour la sécurité nationale tout en améliorant la sécurité publique.

Date de modification :