Simulations

WAR ROOM

Études de cas et scénarios de gestion de crise.

CRITIQUE ID: op-blackout

OPÉRATION BLACKOUT

RANSOMWARE / CRISIS

>> SITUATION : Un centre hospitalier majeur est paralysé par un ransomware Ryuk. Les systèmes de survie sont menacés.

IMPACT MÉTIER

Arrêt des soins critiques, risque vital pour les patients, perte de 5M$ par jour.

OBJECTIFS

  • [-] Isoler le patient zéro
  • [-] Restaurer les services vitaux
  • [-] Négocier (leurre)
  • [-] Forensics

OUTILS UTILISÉS

Wireshark Volatility Powershell Backup Strat
RÉSULTAT: MISSION ACCOMPLIE
ÉLEVÉ ID: double-extortion

DOUBLE EXTORSION

RANSOMWARE / LEAK

>> SITUATION : Le groupe LockBit menace de publier 500 Go de données juridiques confidentielles si la rançon n'est pas payée.

IMPACT MÉTIER

Sanctions RGPD (4% CA), perte de confiance clients, poursuites judiciaires.

OBJECTIFS

  • [-] Évaluer la sensibilité des données
  • [-] Préparer la communication de crise
  • [-] Colmater la brèche
  • [-] Notifier la CNIL

OUTILS UTILISÉS

DLP Dark Web Monitor Legal Tech Crisis Comms
RÉSULTAT: DONNÉES SÉCURISÉES
CRITIQUE ID: esxi-encrypt

VIRTUAL NIGHTMARE

INFRASTRUCTURE / ESXI

>> SITUATION : Une faille OpenSLP non patchée permet le chiffrement de tous les hyperviseurs ESXi de production.

IMPACT MÉTIER

Arrêt total du Datacenter, 400 VM hors ligne, interruption de service de 72h.

OBJECTIFS

  • [-] Reconstruire les hyperviseurs
  • [-] Restaurer les VM depuis les backups immuables
  • [-] Patcher la vulnérabilité
  • [-] Durcir l'accès SSH

OUTILS UTILISÉS

VMware CLI Veeam Nmap Hardening Guide
RÉSULTAT: INFRA RESTAURÉE
ÉLEVÉ ID: cloud-leak

FUITE CÉLESTE

CLOUD / DATA LEAK

>> SITUATION : Un bucket S3 mal configuré expose 1TB de données clients (PII).

IMPACT MÉTIER

Exposition de 1M de clients, vol d'identité massif, amende record.

OBJECTIFS

  • [-] Verrouiller le bucket
  • [-] Analyser les logs d'accès
  • [-] Identifier la cause (IaC)
  • [-] Notifier les autorités

OUTILS UTILISÉS

AWS CloudTrail Terraform Prowler GDPR Compliance
RÉSULTAT: INCIDENT CLOS
MOYEN ID: kube-hijack

KUBE MINER

KUBERNETES / CRYPTOJACKING

>> SITUATION : Un cluster Kubernetes de production est détourné pour miner du Monero via un conteneur malveillant.

IMPACT MÉTIER

Facture Cloud x1000, dégradation des performances applicatives.

OBJECTIFS

  • [-] Identifier le pod malveillant
  • [-] Tracer l'image source
  • [-] Restreindre les droits RBAC
  • [-] Mettre en place des Network Policies

OUTILS UTILISÉS

Kubectl Falco Trivy Prometheus
RÉSULTAT: CLUSTER NETTOYÉ
CRITIQUE ID: azure-ad-takeover

AZURE STORM

CLOUD IDENTITY

>> SITUATION : Compromission d'un compte Global Admin Azure AD sans MFA.

IMPACT MÉTIER

Prise de contrôle totale du tenant, suppression des ressources, vol de données.

OBJECTIFS

  • [-] Révoquer les sessions
  • [-] Activer le MFA forcé
  • [-] Auditer les logs de connexion
  • [-] Vérifier les règles de persistance

OUTILS UTILISÉS

Azure Sentinel Powershell MFA Conditional Access
RÉSULTAT: IDENTITÉ SÉCURISÉE
ÉLEVÉ ID: ghost-protocol

PROTOCOLE FANTÔME

APT / THREAT HUNTING

>> SITUATION : Trafic sortant anormal vers une IP inconnue. Un attaquant furtif est dans le réseau depuis 6 mois.

IMPACT MÉTIER

Vol de propriété intellectuelle stratégique, espionnage industriel long terme.

OBJECTIFS

  • [-] Tracer les mouvements latéraux
  • [-] Identifier la persistance
  • [-] Couper l'exfiltration
  • [-] Éradication complète

OUTILS UTILISÉS

Splunk Sysmon Velociraptor YARA
RÉSULTAT: MENACE NEUTRALISÉE
EXTRÊME ID: supply-chain-compromise

EFFET DOMINO

SUPPLY CHAIN

>> SITUATION : Une mise à jour logicielle d'un fournisseur de confiance contient une backdoor.

IMPACT MÉTIER

Compromission simultanée de tout le parc applicatif, perte de contrôle totale.

OBJECTIFS

  • [-] Identifier les IOCs
  • [-] Bloquer les C2
  • [-] Auditer les accès privilégiés
  • [-] Communication de crise

OUTILS UTILISÉS

EDR Network Forensics Threat Intel Crisis Comms
RÉSULTAT: EN COURS D'ANALYSE
CRITIQUE ID: golden-ticket

GOLDEN TICKET

IDENTITY / AD

>> SITUATION : Compromission du compte KRBTGT. L'attaquant peut générer des tickets d'accès illimités.

IMPACT MÉTIER

Persistance totale et indétectable sur le domaine Windows.

OBJECTIFS

  • [-] Détecter les faux tickets
  • [-] Rotation double du mot de passe KRBTGT
  • [-] Reconstruction de la confiance
  • [-] Durcissement AD

OUTILS UTILISÉS

Mimikatz PingCastle AD Audit BloodHound
RÉSULTAT: DOMAINE SÉCURISÉ
MOYEN ID: ceo-fraud

LE FAUX PRÉSIDENT

BEC / DEEPFAKE

>> SITUATION : Le CFO reçoit un ordre de virement urgent du PDG (Deepfake Audio).

IMPACT MÉTIER

Perte financière immédiate de 500k€, atteinte à la réputation.

OBJECTIFS

  • [-] Geler le virement
  • [-] Analyser les headers email
  • [-] Sensibiliser le ComEx
  • [-] Renforcer les procédures

OUTILS UTILISÉS

Email Gateway Awareness Banking Protocols
RÉSULTAT: FRAUDE ÉVITÉE
MOYEN ID: insider-threat

LA TAUPE

INSIDER / DLP

>> SITUATION : Fuite de plans confidentiels. Les logs sont propres. Le coupable a des accès légitimes.

IMPACT MÉTIER

Perte d'avantage concurrentiel, sabotage interne.

OBJECTIFS

  • [-] Corréler accès physiques/logiques
  • [-] Analyse comportementale (UEBA)
  • [-] Stéganalyse
  • [-] Dossier juridique

OUTILS UTILISÉS

DLP UEBA StegSolve Log Analysis
RÉSULTAT: SUSPECT IDENTIFIÉ
FAIBLE ID: hr-phishing

CV PIÉGÉ

PHISHING / MALWARE

>> SITUATION : Le service RH reçoit un CV contenant une macro malveillante.

IMPACT MÉTIER

Infection du poste RH, accès aux données personnelles des employés.

OBJECTIFS

  • [-] Isoler le poste
  • [-] Analyser la charge utile
  • [-] Nettoyer le réseau
  • [-] Formation anti-phishing

OUTILS UTILISÉS

Sandbox Antivirus Phishing Sim Education
RÉSULTAT: POSTE NETTOYÉ
EXTRÊME ID: industrial-sabotage

USINE FANTÔME

ICS / SCADA

>> SITUATION : Les automates d'une usine de traitement des eaux reçoivent des commandes erratiques.

IMPACT MÉTIER

Risque sanitaire majeur, pollution environnementale, arrêt de production.

OBJECTIFS

  • [-] Air Gap d'urgence
  • [-] Passage en manuel
  • [-] Analyse trafic Modbus
  • [-] Identifier point d'entrée

OUTILS UTILISÉS

Claroty Nozomi Safety Protocols Segmentation
RÉSULTAT: SÉCURITÉ PHYSIQUE ASSURÉE
MOYEN ID: iot-botnet

L'ESSAIM

DDOS / IOT

>> SITUATION : Attaque DDoS de 500 Gbps provenant de caméras connectées compromises.

IMPACT MÉTIER

Site e-commerce hors ligne, perte de CA (100k€/heure).

OBJECTIFS

  • [-] Activer Scrubbing Center
  • [-] Bloquer signatures
  • [-] Rate Limiting
  • [-] Disponibilité service

OUTILS UTILISÉS

Cloudflare WAF Traffic Analysis Load Balancing
RÉSULTAT: SERVICE RÉTABLI
MOYEN ID: smart-building-hack

IMMEUBLE HANTÉ

IOT / BUILDING

>> SITUATION : Prise de contrôle du système CVC et des ascenseurs du siège social.

IMPACT MÉTIER

Évacuation du bâtiment, arrêt de l'activité, risque physique.

OBJECTIFS

  • [-] Isoler le réseau GTB
  • [-] Réinitialiser les contrôleurs
  • [-] Patcher les failles IoT
  • [-] Segmenter le réseau

OUTILS UTILISÉS

Shodan Network Seg Firmware Update Physical Security
RÉSULTAT: BÂTIMENT SÉCURISÉ
ÉLEVÉ ID: ai-poisoning

POISON COGNITIF

AI SECURITY

>> SITUATION : Injection de données biaisées dans le dataset d'entraînement d'une IA de trading.

IMPACT MÉTIER

Décisions financières erronées, pertes automatiques massives.

OBJECTIFS

  • [-] Auditer le dataset
  • [-] Retraîner le modèle
  • [-] Valider les sources de données
  • [-] Monitoring des dérives

OUTILS UTILISÉS

Adversarial ML Data Validation Model Ops Audit
RÉSULTAT: MODÈLE CORRIGÉ
FUTUR ID: quantum-decrypt

Q-DAY PREP

QUANTUM / CRYPTO

>> SITUATION : Interception de trafic chiffré aujourd'hui pour déchiffrement quantique futur (Harvest Now, Decrypt Later).

IMPACT MÉTIER

Compromission future de secrets long terme (diplomatie, industriel).

OBJECTIFS

  • [-] Inventorier la crypto
  • [-] Migrer vers PQC (Post-Quantum)
  • [-] Augmenter taille clés
  • [-] Crypto-agilité

OUTILS UTILISÉS

PQC Algorithms Crypto Inventory Key Management Strategy
RÉSULTAT: EN PRÉPARATION
ÉLEVÉ ID: deepfake-video

ILLUSION OPTIQUE

DEEPFAKE / DISINFO

>> SITUATION : Diffusion d'une fausse vidéo du PDG annonçant une faillite imminente.

IMPACT MÉTIER

Chute du cours de bourse (-20%), panique des actionnaires.

OBJECTIFS

  • [-] Authentifier la vidéo
  • [-] Démenti officiel rapide
  • [-] Signaler aux plateformes
  • [-] Forensics vidéo

OUTILS UTILISÉS

Deepware Media Forensics PR Crisis Legal
RÉSULTAT: DÉMENTI PUBLIÉ
ÉLEVÉ ID: mobile-spyware

PEGASUS

MOBILE / ESPIONAGE

>> SITUATION : Le téléphone d'un journaliste chauffe. Données exfiltrées vers serveurs suspects.

IMPACT MÉTIER

Compromission des sources, danger physique pour le journaliste.

OBJECTIFS

  • [-] Forensics mobile
  • [-] Détecter IOCs
  • [-] Sécuriser communications
  • [-] Protéger sources

OUTILS UTILISÉS

MVT Network Analysis Encryption Burner Phones
RÉSULTAT: TERMINAL ANALYSÉ
FAIBLE ID: wifi-pineapple

ANANAS ROGUE

WIFI / MITM

>> SITUATION : Un point d'accès Wi-Fi malveillant intercepte le trafic des employés dans le hall.

IMPACT MÉTIER

Vol d'identifiants, interception de documents non chiffrés.

OBJECTIFS

  • [-] Localiser le rogue AP
  • [-] Deauth des clients
  • [-] Forcer le VPN
  • [-] WIPS

OUTILS UTILISÉS

WiFi Analyzer WIPS VPN Physical Search
RÉSULTAT: AP DÉSACTIVÉ
MOYEN ID: sql-injection

INJECTION LÉTALE

WEB / SQLI

>> SITUATION : Extraction de la base de données clients via un formulaire de contact vulnérable.

IMPACT MÉTIER

Vol de 100k fiches clients, fuite de données.

OBJECTIFS

  • [-] Patcher le code
  • [-] Nettoyer les entrées
  • [-] WAF blocking
  • [-] Rotation des crédentiels DB

OUTILS UTILISÉS

SQLMap WAF Code Review Prepared Statements
RÉSULTAT: FAILLE PATCHÉE
MOYEN ID: xss-stored

SCRIPT PERSISTANT

WEB / XSS

>> SITUATION : Vol de cookies de session admin via un commentaire infecté sur le blog.

IMPACT MÉTIER

Prise de contrôle du CMS, défiguration du site.

OBJECTIFS

  • [-] Nettoyer la BDD
  • [-] CSP (Content Security Policy)
  • [-] HttpOnly Cookies
  • [-] Sanitization

OUTILS UTILISÉS

Burp Suite CSP Evaluator HTML Purifier Scanner
RÉSULTAT: CODE NETTOYÉ
ÉLEVÉ ID: api-breach

PORTE DÉROBÉE API

API SECURITY

>> SITUATION : Une API de test oubliée donne accès aux données de production sans authentification (BOLA).

IMPACT MÉTIER

Exposition massive de données, contournement des contrôles de sécurité.

OBJECTIFS

  • [-] Fermer l'endpoint
  • [-] Inventaire API (Zombie APIs)
  • [-] Implémenter OAuth2
  • [-] Rate Limiting

OUTILS UTILISÉS

Postman OWASP ZAP API Gateway Swagger
RÉSULTAT: API SÉCURISÉE
FAIBLE ID: tailgating

L'OMBRE

PHYSICAL SEC

>> SITUATION : Un intrus suit un employé pour entrer dans la zone sécurisée sans badge.

IMPACT MÉTIER

Accès physique aux serveurs, vol de matériel, pose de keyloggers.

OBJECTIFS

  • [-] Revue CCTV
  • [-] Inventaire matériel
  • [-] Sensibilisation employés
  • [-] Contrôle d'accès

OUTILS UTILISÉS

CCTV Access Logs Security Guards Training
RÉSULTAT: INTRUS EXPULSÉ
MOYEN ID: usb-drop

CLÉ PERDUE

PHYSICAL / MALWARE

>> SITUATION : Des clés USB infectées sont semées sur le parking. Un employé en branche une.

IMPACT MÉTIER

Infection du réseau interne, pont vers l'extérieur.

OBJECTIFS

  • [-] Bloquer les ports USB
  • [-] Scanner le poste
  • [-] Campagne de prévention
  • [-] EDR blocking

OUTILS UTILISÉS

GPO EDR Antivirus Awareness
RÉSULTAT: MENACE CONTENUE