OpenEx : une plateforme ouverte pour organiser des exercices de crise

Le projet de plateforme OpenEx est né… à l’Agence nationale pour la sécurité des systèmes d’information (Anssi). Samuel Hassine, qui a quitté les rangs de l’Anssi l’an dernier pour rejoindre Tanium (en tant que directeur de la stratégie et des opérations de sécurité), se souvient de ses origines. Car tout est parti de là, de son tout premier poste à l’Agence, « la planification d’exercices, en tant que chargé de mission ».

Dans ce cadre, raconte-t-il, « nous organisions régulièrement des exercices à l’Agence, mais aussi au-delà, y compris à l’international. C’est là que j’ai découvert que la planification, c’est beaucoup de feuilles Excel échangées entre prestataires, ou encore d’injects envoyés manuellement ». Ces injects sont des éléments injectés dans l’exercice dans le cadre du scénario établi au préalable. Il peut, par exemple, s’agir de messages électroniques représentant une sollicitation extérieure, de la presse entre autres.

Mais la gestion manuelle de ces injects « prend énormément de temps », explique Samuel Hassine, soulignant que « lorsque l’on fait de l’animation d’exercice, il faut être très disponible pour répondre aux questions des joueurs, suivre le scénario, aller sur le terrain observer les joueurs, etc. » Très tôt donc, et même « dès les premiers exercices, je me suis rendu compte que c’était impossible ».

Il existait déjà, avant OpenEx, des plateformes de planification et d’exécution plus ou moins automatisée des exercices de crise. Certains avaient été développés en interne par des institutions, pour leurs besoins propres, et pouvaient souffrir d’une certaine vétusté. Mais surtout, « elles [les plateformes] n’étaient pas vraiment adaptables à notre contexte », explique Samuel Hassine. Et encore, c’était pour celles dont leurs créateurs étaient disposés à les partager, à jouer l’ouverture.

Il existait également des offres commerciales, mais certaines étaient « vraiment très très anciennes et ne répondaient pas à nos besoins ». C’est de là qu’a commencé le développement d’OpenEx. Un projet qui, comme OpenCTI, a reçu les approbations nécessaires pour être ouvert et largement mis à disposition.

Au sein de l’association Luatix, Samuel Hassine et Julien Richard ont toutefois fortement concentré leurs efforts, ces dernières années, sur OpenCTI. Mais OpenEx a continué d’évoluer malgré tout. Surtout, « des entreprises l’ont testé, de même que l’Enisa ». L’adoption a donc commencé à s’étendre naturellement : « avec la sortie de la version 2, nous avons réalisé qu’il y avait beaucoup plus d’utilisateurs que nous ne l’imaginions, en France, en Allemagne, mais également en Asie ». Et les efforts consentis pour simplifier le déploiement de la plateforme devraient continuer à accélérer le mouvement.

Aujourd’hui, Samuel Hassine voit en OpenEx une plateforme renouvelée, stable, qui pourra servir de socle pour de futures évolutions. Et en la matière, les idées ne manquent pas.

OpenEx intègre ainsi une bibliothèque documentaire globale, pour permettre aux planificateurs de réutiliser les mêmes documents d’un exercice à l’autre. Mais à terme, il sera aussi possible de suivre, en temps réel, les modifications apportées aux scénarios, afin de renforcer les capacités collaboratives de la plateforme.

OpenEx 2 supporte en outre les importations et exportations d’exercices. Ce n’est pas un hasard : à terme, il s’agit de créer une véritable banque d’exercices. « Planifier un exercice, cela prend du temps et cela coûte assez cher ». Alors avec une banque d’exercices, l’idée est d’élargir le public potentiel des exercices de crise, pour ne plus les réserver aux seules organisations aux poches suffisamment profondes : « il s’agit de permettre de prendre des scénarios sur étagère et de les importer dans OpenEx ».