Dans l'après-midi du 30 septembre, le Centre de surveillance des technologies de l'information et de la cybersécurité, le Comité gouvernemental de chiffrement, s'est coordonné avec un certain nombre d'agences et d'unités à l'intérieur et à l'extérieur du Comité d'organisation pour clôturer le programme d'exercices pratiques visant à garantir la sécurité des informations réseau pour les systèmes informatiques au Comité gouvernemental de chiffrement en 2024.

épisode 2 1.jpg
Le général de division Nguyen Dang Luc, chef adjoint du Comité gouvernemental de chiffrement, a pris la parole lors de la cérémonie de clôture du programme d'exercices de combat 2024. Photo : Comité d'organisation

Le système choisi comme cible des équipes d'attaque et de défense dans cet exercice de tir réel est le portail de service public de l'Administration de la cryptographie civile et du Département d'inspection des produits cryptographiques.

Il s’agit de l’un des systèmes importants de l’industrie de la cryptographie, chargé de fournir des services de licence pour l’exportation et l’importation de produits cryptographiques civils pour les entreprises.

Outre l'équipe de défense du Comité gouvernemental de chiffrement, le programme d'exercices de combat du Comité de cette année compte également la participation d'équipes d'attaque comprenant des unités au sein du Comité telles que l'Académie des techniques de cryptographie, l'Institut des sciences et technologies de la cryptographie, le Centre de surveillance des technologies de l'information et de la sécurité des réseaux ainsi que des entreprises et partenaires externes tels que VNPT, Kaspersky...

Selon les statistiques du comité d'organisation, pendant 3 jours consécutifs du 25 au 27 septembre, l'équipe de défense a dû faire face à des dizaines de milliers de scans et d'attaques sur le système de la part des équipes d'attaque.

Quatre équipes d'attaque très appréciées dans le programme d'exercices de combat 2024 du Comité gouvernemental de chiffrement comprennent : l'équipe du Centre de sécurité de l'information VNPT a remporté le premier prix, l'équipe de l'Académie d'ingénierie de cryptographie a reçu le deuxième prix ; Deux équipes de l'Institut des sciences et technologies de la cryptographie et du Centre de surveillance des technologies de l'information et de la sécurité des réseaux ont remporté le troisième prix.

Grâce à cet exercice, les agences et les unités du Comité gouvernemental de chiffrement ont eu l’occasion d’auto-évaluer et d’évaluer leur capacité de réponse aux menaces et aux cyberattaques.

Robinet W-dien 001.jpg
Grâce à des exercices pratiques, le personnel technique améliore ses compétences en matière de prévention des attaques et de gestion des incidents de sécurité réseau. Illustration : TM

En particulier, à partir du processus d'attaque et de défense du système, les unités du Comité gouvernemental de chiffrement ont découvert des faiblesses et des failles de sécurité qui existent encore dans le processus d'utilisation des personnes et de la technologie pour prendre rapidement des mesures pour les surmonter et les gérer ; Parallèlement, des orientations et des plans sont en cours pour améliorer l’efficacité de la garantie de la sécurité des systèmes d’information sous gestion dans les temps à venir.

S'exprimant lors de la cérémonie de clôture de l'exercice, le général de division Nguyen Dang Luc, chef adjoint du Comité gouvernemental de chiffrement, a demandé aux agences et aux unités du Comité de comprendre clairement l'importance d'assurer la sécurité et la sûreté du réseau pour les systèmes d'information de leurs unités.

« Les agences et les unités ne doivent pas faire preuve de négligence ni de subjectivité dans ce travail. Elles doivent informer rapidement les responsables du Conseil de développement de l'infrastructure numérique et de l'environnement numérique du département ou du secteur afin de répondre aux exigences de sécurité », a souligné le général de division Nguyen Dang Luc.

Parallèlement à l'exigence de renforcer la coopération et l'échange d'informations entre les agences et les unités à l'intérieur et à l'extérieur du Comité de chiffrement du gouvernement, le général de division Nguyen Dang Luc a également demandé au Centre de surveillance des technologies de l'information et de la cybersécurité de continuer à coordonner, conseiller et proposer l'organisation d'exercices similaires pour réévaluer le niveau de sécurité de tous les systèmes du département et du secteur.

En outre, le représentant du Comité gouvernemental de chiffrement a également noté qu'avant de mettre en pratique un système d'information ou une solution de sécurité, les agences et les unités du Comité doivent procéder à une évaluation approfondie de la sécurité de l'information et de la sécurité du réseau pour trouver et corriger les vulnérabilités de sécurité dans le code source ou dans le modèle de conception du système, afin de garantir la sécurité contre les risques omniprésents de cyberattaques.

Dans la Directive 60 sur l'organisation et la mise en œuvre d'exercices pratiques pour assurer la sécurité des informations sur les réseaux, publiée en septembre 2021, le Premier ministre a souligné : Pour que les équipes d'intervention en cas d'incident disposent d'une capacité suffisante pour gérer les incidents survenant dans leurs systèmes, l'exercice doit être converti en une forme d'exercice pratique, avec de nouvelles méthodes, une nouvelle portée et une nouvelle nature.

Les exercices en conditions réelles sont menés sur des systèmes réels, sans pré-scriptum mais avec des réglementations sur les objectifs, les participants, les outils utilisés, le niveau d'exploitation et la durée pour minimiser les risques.

Les exercices réels relient l'activité de forage au système même que l'équipe d'intervention en cas d'incident est chargée de protéger, améliorant ainsi davantage l'expérience de l'équipe d'intervention en cas d'incident dans la gestion des incidents avec les systèmes d'exploitation.

La plateforme de soutien aux exercices réels sera lancée cette année . Grâce à la plateforme de soutien aux exercices réels, la mise en œuvre des exercices dans les agences et les organisations sera plus facile et de meilleure qualité, synchronisée et réduisant progressivement l'écart entre les unités ainsi qu'avec les exercices nationaux.