Piloté par le Commandement de la cyberdéfense (COMCYBER), l’exercice interarmées DEFNET s’est déroulé du 17 au 28 mars 2025. Cet entraînement a mobilisé l’ensemble de la chaîne de cyberdéfense du ministère des Armées à travers une vingtaine d'incidents cyber, tels qu'une faille informatique affectant un système de lutte antidrones de l'armée de l'Air et de l’Espace. Pour y faire face, un groupe d’intervention cyber (GIC) de l’escadron des systèmes d’information opérationnels et de cyberdéfense (ESIOC) a été engagé.

Incident cyber sur un système de lutte antidrones : le déroulé de l’opération

L’attaque du système de lutte antidrones a rapidement été signalée au Security Operational Center (SOC). Situé sur la base aérienne 118 de Mont-de-Marsan au sein du département des luttes cyber de l’ESIOC, le SOC vise à surveiller les systèmes d’information métiers et opérationnels de l’armée de l’Air et de l’Espace. Après l’activation et le bon fonctionnement de la chaîne de remontée d’incidents cyber (de l’officier cyber jusqu’au COMCYBER), l’ordre d’intervention a été donné au groupe d’intervention cyber (GIC) de l’ESIOC.

Préparation du matériel, mise en route et arrivée sur place, le GIC a déployé un véritable laboratoire mobile d’investigation numérique. « Le GIC a été déclenché suite à un incident sur un système de lutte antidrones détecté par le SOC. Nous avons pris contact avec l’unité concernée et avons échangé avec les techniciens et administrateurs pour comprendre le problème et le système », explique le lieutenant Tom, chef du GIC. Après plusieurs échanges auprès des opérateurs de défense sol-air impactés par l’incident, le GIC a débuté les phases de prélèvements et d’analyses numériques. « Les investigations consistent à faire des prélèvements et à les analyser. Comprendre le système, les actions des utilisateurs, comprendre aussi le chemin de l’attaque et son point d’entrée ainsi que définir le périmètre de l’incident. »

Grâce au laboratoire mobile, le GIC a pu faire une analyse approfondie des prélèvements. Cela leur a permis d’identifier le périmètre du système impacté et la nature de la cyberattaque simulée. Ensuite, le GIC a pu passer à la phase de remédiation afin de rendre de nouveau opérationnel le système. L’escadron de défense sol-air (EDSA) a ainsi pu retrouver ses pleines capacités opérationnelles pour poursuivre son action.

Exercice « DEFNET »

Lancé en 2014, « DEFNET » est un exercice annuel interarmées. Il entraîne l’ensemble de la chaîne de cyberdéfense du ministère des Armées à réagir à différents incidents de grande ampleur, sur les réseaux déployés en opérations et sur le territoire national. Au-delà de son aspect technique, « DEFNET » s'inscrit pleinement dans la stratégie de cyberdéfense nationale, affirmant la volonté française de préserver sa souveraineté numérique et d'anticiper les menaces émergentes.