FIC 2021 : la bonne pioche d'Holiseum

Fruit d’un partenariat avec l’éditeur Game Partners, Cyber Wargame est un jeu de cartes qui place ses joueurs dans la peau soit des défenseurs, soit des attaquants. Une manière ludique de sensibiliser les équipes à la cybersécurité.

Le serious game commence à faire son trou dans le milieu de la cybersécurité. Si les premières initiatives en la matière étaient souvent brouillonnes, quoique animées de bonne volonté, on voit arriver sur le marché des jeux particulièrement aboutis. C’est le cas de Cyber Wargame, un jeu développé par Holiseum en partenariat avec Game Partners.

Ce jeu de cartes, qui s’inscrit dans la lignée des MTG et autres Munchkin, nous a été présenté sur le stand d’Holiseum par Pierre Dudit, président et cofondateur de Game Partners. Le jeu se joue à 4 ou 6 joueurs, en deux équipes, l’une incarnant les vils cyberattaquants, l’autre les défenseurs. L’enjeu : protéger ou s’emparer des richesses de l’organisation visée, symbolisées par neuf tuiles grises (données clients, installations industrielles, ressources financières, etc.). Chacune de ses tuiles présentent, sous forme d’icônes, le type de dégâts que subira l’organisation en cas d’attaque réussies (image et réputation, finances, incident opérationnel).

Attaque-défense

Pour l’emporter, les attaquants doivent provoquer cinq dégâts du type déterminée par la carte Objectif piochée par leur équipe en début de partie.  Pour ce faire, ils devront attaquer telle ou telle ressource, exploitant des failles de sécurité. Celles-ci sont symbolisées par neuf cartes viollettes disposées aléatoirement et face cachée sur les tuiles richesse.

Les défenseurs auront chacun cinq cartes cyberdéfense de couleur bleu, face cachée, le reste étant placé dans une pioche dédiée, tandis que les attaquants disposent chacun de quatre carte cyberattaque, rouge, elles aussi face cachée. Petite particularité des attaquants, deux ou trois cartes cyberattaque sont placées, face visible, dans leur camp et constitue le Dark Web. Le reste rejoint la pioche cyberattaque. Pour chaque carte cyberattaque ou défense correspond une faille de cybersécurité, symbolisée par une icône en haut à gauche de chaque carte.

Qui aura la faille ?

Une fois le jeu en place, c’est parti. Les défenseurs jouent en premier, et chaque tour de jeu se décompose en « défausser », « piocher », « révéler », « échanger » puis « défendre », ces deux dernières étapes étant remplacés pour les attaquants par « darkweb » et « attaquer ». Dès qu’un joueur a en main trois cartes correspondant au même type de faille, il peut attaquer ou défendre la richesse concernée par ce type de faille, en l’exploitant dans le cas des attaquants, en la comblant dans le cas des défenseurs. Ainsi, à la faille « mot de passe faible » correspondra côté défenseur « mot de passe fort » côté défenseurs et « force brute » côté attaquants.

La partie se terminent lorsque toutes les failles de sécurité ont été défendues ou attaquées avec suspects. Si les attaquants ont rempli leur objectif de dégâts, ils gagnent, sinon la victoire revient aux défenseurs. Le jeu est particulièrement rythmé, une partie durant entre 20 et 40 minutes, mobilise la mémoire des joueurs, puisqu’une faille découverte est ensuite retournée face cachée… et surtout permet d’appréhender les enjeux de la cybersécurité, ainsi que son vocabulaire.