Retour sur l’exercice #DEFNET 2015 et l'expérimentation de la future Réserve de Cyberdéfense

Du 16 au 27 mars s’est tenu le deuxième exercice de cyberdéfense interarmées #DEFNET. Ce nouvel exercice a eu lieu seulement 6 mois après #DEFNET 2014 qui avait permis « de valider des procédures opérationnelles dans l’emploi des groupes d’intervention rapide (GIR) et d’apporter des évolutions regardant la formation et de l’instruction cyber », s’inscrivant dans la continuité du Livre Blanc sur la Défense et la Sécurité Nationale 2013 qui avait fait de la cyberdéfense une priorité nationale.

Ce premier #DEFNET avait également permis de valider la montée en puissance de toute la chaîne opérationnelle de cyberdéfense du Ministère de la Défense, menée par le vice-Amiral Arnaud Coustillière, officier général cyberdéfense à l’état-major des armées (EMA).

Un exercice 2015 ambitieux

Cette année, l’exercice a pris une nouvelle dimension. Planifié depuis plusieurs mois (été 2014), il s’est déroulé pendant 2 semaines sur 7 sites militaires (Rennes, Douai, Toulon, Mont-de-Marsan et trois sur Paris), ainsi qu’à bord de deux bâtiments de la Marine nationale (le « Mistral » et le « Tonnerre »). Il a mobilisé au total 580 personnes (militaires et civils).

C’est un exercice fondamentalement interarmées mobilisant des experts cyber des trois armées mais aussi provenant des structures interarmées. Le but premier de #DEFNET est d’entraîner tous ces experts en cas de cyberattaques sur des systèmes « métiers » et de mettre en valeur la capacité des armées à utiliser et à manœuvrer dans tous les espaces de confrontation (terre, air, mer, espace et cyberespace) pour répondre aux menaces d’aujourd’hui et de demain.

Pour cette édition 2015, le Ministère de la Défense s’était fixé plusieurs objectifs :

« expérimenter un modèle de centre opérationnel et le fonctionnement d’une réserve cyberdéfense dans un cadre opérationnel » ;

« entraîner les joueurs à la planification et à la conduite des opérations dans le domaine de la lutte informatique défensive, au déploiement d’unités cyber (Terre, Mer, Air, DIRISI, expérimentation réserve Rennes et Paris) » ;

« faire prendre en compte la dimension cyber des opérations par des non spécialistes ».

Côté scénario, #DEFNET 2015 « simule, dans un contexte international fictif, des menaces et des attaques cyber multiples contre plusieurs sites sur des thèmes très différents, au plus proche de la réalité ».

Par exemple, dans le cas des deux navires de la Marine Nationale participant à l’exercice, des cyberattaques visant le fonctionnement d’un de leurs systèmes SCADA (ordinateurs de bord, radars, systèmes d’armes, navigation, etc.) ont été simulées . Infectés par un virus informatique et sans cyberdéfense adaptée, ces systèmes critiques pourraient ne plus fonctionner correctement voire être sabotés. C’est dans de cadre qu’est testé le déploiement d’un GIR (Groupe d’Intervention Rapide) chargé de résoudre cette cyber crise. Ces militaires, spécialistes de la lutte informatique défensive, sont formés et organisés pour intervenir en moins de 96 heures dans n’importe quel théâtre d’opérations. C’est justement ce scénario qui a été joué à Douai par les forces terrestres. Grâce à un système de supervision cyber déployé en opérations, elles ont détectée une menace sur un réseau de commandement qui nécessitait l’emploi d’un GIR.

Source : État-major des armées – Droit : Ministère de la Défense – Un GIR débarque par hélicoptère sur un navire de la Marine Nationale dans le cadre de l’exercice DEFNET 2015

Pour son exercice, le ministère de la Défense a également invité l’ANSSI, l’autorité nationale en matière de cyberdéfense, qui a été présente sous forme d’observateurs, d’un détachement de liaison et d’une cellule réponse. Un autre scénario inclut donc, au-delà des systèmes d’information militaires, ceux de l’administration et d’entreprises.

Expérimenter la Réserve de Cyberdéfense

Il existe déjà une Réserve Citoyenne Cyberdéfense – RCC – (dont je fais partie), qui a comme mission principale de sensibiliser et faire rayonner la cyberdéfense française. Créée en 2012, la RCC n’a aucune vocation opérationnelle.

Prévue par le Pacte Défense Cyber, la future Réserve de Cyberdéfense est un nouveau modèle de réserve à vocation opérationnelle visant à assister l’Etat et les forces armées en cas de crise cyber majeure. Le but est de constituer un vivier de volontaires, réservistes cyber (4 300 personnes) spécialisés en informatique et sécurité informatique.

L’une des priorités de DEFNET 2015 était d’expérimenter ce nouveau modèle de réserve cyber « opérationnelle ». Plusieurs équipes de volontaires se sont donc rendues sur deux sites militaires, simulant des sites d’intervention. Il s’agit de l’école militaire de Paris au Centre d’études stratégiques de l’armée de Terre (CESAT) et plus particulièrement de l’EMSST (Enseignement Militaire Supérieur Scientifique et Technique) qui envoie en particulier des militaires en formation (SIC et SSI) et stage dans le civil. Il s’agit aussi de l’école des Transmissions de l’armée de Terre à Cesson-Sévigné (ETRS) qui forme notamment des militaires des armées à la cyberdéfense.

Ces équipes étaient constituées d’un réserviste des armées chargé de la coordination, d’un ou deux enseignants français (encadrement technique) et de dix à douze élèves français du domaine de l’informatique, de la sécurité informatique et des télécommunications (Bac+2 à Bac+5). Au total, une centaine d’étudiants et d’enseignants ont été mobilisés, appartenant à 8 établissements de l’enseignement supérieur : Centrale-Supélec, EPITA, INSA Rennes, IUT de Saint-Malo, IUT de Lannion, Télécom Bretagne, Télécom Paris Tech et l’université Rennes 1.

Le scénario est simple et réaliste. Des entreprises et des administrations françaises sont victimes d’attaques informatiques provenant d’acteurs non étatiques. Les autorités françaises décident alors de mobilier des équipes de la Réserve de Cyberdéfense. L’ANSSI est ensuite là pour les diriger vers les victimes prioritaires, via le ministère de la Défense. Leurs missions : effectuer un travail d’éradication de code malveillant et remettre en état des systèmes informatiques compromis.

—

J’ai eu la chance de pouvoir passer une après-midi (le jeudi 26 mars) à l’école militaire dans les locaux de l’EMSST pour assister à l’une des simulations de la future Réserve de Cyberdéfense réalisée avec une équipe d’étudiants de Telecom Paris Tech. Les 3 jours précédents, ce sont 3 équipes d’étudiants de 4^ème année de la majeure SRS (Système, Réseaux et Sécurité) de l’EPITA qui ont réalisé le même exercice de réponse à incident.

Le scénario de l’exercice mettait en scène une entreprise fictive « MyCompany », prestataire de services dans le domaine des matériaux de pointe et fournisseur de la Défense. Elle compte une quinzaine d’employés et un administrateur système et réseaux à temps partiel. Son site web et son ERP sont hébergés chez un prestataire extérieur. Suite à une alerte remontée par le service Comptabilité suspectant de potentielles factures frauduleuses, l’administrateur commence à identifier des traces suspectes dans les logs… C’est ensuite qu’est dépêché le groupe d’intervention de la Réserve de Cyberdéfense pour :

évaluer la gravité de la situation, prendre des mesures immédiates et de rendre compte à la chaine opérationnelle de cyberdéfense ;

stopper la cyberattaque en protégeant les traces laissées par les attaquants ;

analyser l’intrusion (retracer la timeline des attaques)

désinfecter les machines compromises pour revenir dans un état acceptable de sécurité.

Selon les premiers retours que j’ai pu recueillir jeudi après-midi en discutant avec la sous-lieutenant Aude, doctorante en droit international public (spécialiste du cyberespace) et réserviste opérationnelle dans l’Armée de terre qui supervisait l’exercice, les différentes équipes d’étudiants ont fait preuve d’un grand dynamisme et ont globalement atteint la plupart des objectifs (identifier les différents éléments de compromission).

Aidés de leurs enseignants, dont le rôle est vraisemblablement fondamental pour la préparation et l’encadrement des équipes, les différents groupes d’étudiants ont mis en place leur propre organisation pour investiguer sur l’incident et collecter toutes les traces possibles. L’exercice a été conclu plus ou moins rapidement selon les écoles et avec, parfois, de grandes différences dans l’approche choisie : certains groupes ont pris le temps de tout sauvegarder pour préserver « la scène de crime » avant de commencer leurs investigations numériques (ce qui leur a fait perdre beaucoup de temps) quand d’autres ont fait le choix d’aller vite pour identifier le plus rapidement possible les éléments de compromission. A l’avenir, ces deux options pourraient être cadrées dans les directives techniques reçues avant intervention.

Pour le directeur de l’exercice, le lieutenant-colonel Stéphane Dossé, l’analyse de cette première expérimentation permettra de valider le modèle de cette future Réserve de Cyberdéfense mais également de formaliser ses futures procédures opérationnelles d’intervention.

Il pourrait par ailleurs être intéressant de profiter de ce premier retour d’expérience pour faire des propositions d’amélioration des programmes des cursus des formations en sécurité informatique qui, de mon point de vue, n’intègrent encore que trop peu souvent des modules sur la gestion et de réponse opérationnelle aux cyberattaques.

Bilan

Pour le Ministère de la Défense, l’objectif poursuivi par #DEFNET 2015 est atteint. L’exercice a permis de tester :

« la planification et conduite des opérations dans le domaine de la lutte informatique défensive,

le déploiement d’unités cyber,

le travail de spécialistes et de non spécialistes, de militaires d’active et de réservistes, de personnel du ministère et de partenaires hors ministère. »

Encore méconnu du grand public et même des experts en cybersécurité, #DEFNET a également permis de mettre en valeur les différentes composantes cyber du Ministère de la Défense et notamment l’action des quatre GIR (Groupe d’Intervention Rapide) dont le déploiement pour « contrer des attaques simulées sur des systèmes d’information » a été supervisé par le CALID (Centre d’Analyse en Lutte Informatique Défensive), « en lien avec les cellules dédiées de l’armée de terre, la marine nationale, l’armée de l’air et la DIRISI (Direction interarmées des réseaux d’infrastructure et des systèmes d’information) ».

#DEFNET a été l’occasion de tester, avec succès, le déploiement de huit groupes de reconstruction « issus de la future réserve de cyberdéfense » et composés d’étudiants, sur deux sites. Cette expérimentation inédite a également le mérite de renforcer les liens du Ministère de la Défense avec l’enseignement supérieur et le secteur privé (les sociétés Sysdream et Airbus Defence & Space ont participé), répondant à l’objectif du Pacte Défense Cyber visant à « développer une communauté nationale de cyberdéfense ».

Le RETEX (retour d’expérience) du test de la future Réserve de Cyberdéfense « va permettre de perfectionner les programmes d’entrainement dans le cadre de la montée en puissance de cette nouvelle composante de la réserve dédiée à la cyberdéfense ».

A noter également que de nombreux postes de réservistes cyber seront certainement ouverts dans les prochaines années (étudiants et encadrants).

—

Source et  meilleurs liens évoquant #DEFNET2015 :