Dans le cœur du réacteur de l’exercice DEFNET

Le Centre cyber de préparation opérationnelle (C2PO), rattaché au Groupement de la cyberdéfense des armées (GCA), a accueilli, au quartier Margueritte à Rennes, le centre opérationnel (CO) Cyber. La commandant Claire déclare « Nous devons prendre les décisions rapidement et réorienter en conduite si nécessaire en lien avec l’animation de l’exercice. C’est à nous qu’il revient de durcir ou baisser le niveau de menace". Quant au CO Cyber, il peut choisir de désengager certains groupes d’intervention cyber (GIC) et les redéployer ailleurs. Bâti sur un scénario autour d’attaques cyber sur des réseaux militaires simulés dans un contexte international fictif, DEFNET 2024 rassemble de nombreux spécialistes de la lutte informatique défensive et d’influence - militaires d’active et de réserve, civils.

C’est également à Rennes que sont basées les équipes chargées de l’animation pour tout le territoire. Le capitaine Mickaël, de la Marine nationale, témoigne « nous jouons trois incidents propres à la Marine mais également des incidents communs comme avec le Service d’Infrastructure de la Défense. Chaque incident est remonté au CO Cyber ; c’est lui qui décide de déployer un Groupe d’intervention cyber sur le terrain. Ce qui est intéressant dans l’exercice DEFNET, c’est qu’on a à la fois des profils cyber et des profils métiers qui communiquent, ce qui crée des échanges primordiaux entre le cyber et l’opérationnel ». Tout comme la Marine, chaque armée, direction et service anime la gestion d’un ou plusieurs incidents cyber. Campagne d’hameçonnage, tentatives d’intrusion, coupure de réseaux de communication, l’ensemble des incidents permet en direct de « tester la réactivité, d’améliorer la connaissance des procédures et la montée en compétences des participants » affirme le commandant Pierrick, officier de marque, chef d’orchestre de l’exercice.

Blue Team et Red Team mobilisées

Cette année, « on a favorisé les interactions entre les plateaux Lutte d’Informatique Défensive (LID) et la Lutte d’informatique d’influence (L2I), souligne la commandant Claire. C’est donc également de Rennes que l’insertion d’incidents de lutte informatique d’influence vient alimenter l’exercice. Stéphane, civil au C2PO, explique « l’objectif est de générer des situations dans lesquelles les joueurs vont repérer des signaux faibles. Ils doivent veiller sur les réseaux sociaux et faire remonter à la LID les bruits et menaces détectés pour faire jouer la chaine d’alerte ». Il poursuit « on a déployé une plateforme de simulation de réseaux sociaux, une autre simulant les médias. Pour faire le parallèle avec le marketing, on va aller raconter une histoire. On déroule ensuite ce narratif et on ajoute de l’intensité en fonction des joueurs. Il s’exclame « On peut y aller sur les bleus (NDLR la blue team = l’équipe défensive), allez-y, lâchez-vous ! »

Pour entrainer les cybercombattants et cybercombattantes aux attaques sur les différents systèmes d’information et systèmes d’arme, la Red Team (l’équipe offensive) est aussi mobilisée. A l’abri des regards, l’adjudant Sébastien, entraineur cyber au C2PO explique « On joue les méchants. On s’entraine à penser et à attaquer comme eux. On crée ainsi toutes les capacités cyber des méchants, on développe pour cela nos propres outils d’attaque à une menace inconnue, comme des programmes malveillants ». Il poursuit « tous les incidents offensifs doivent être crédibles. On répond aux exigences d’entrainement demandées, et on met sous pression les participants ». Lors d’un point de situation à mi-journée, il annonce « conforme à la planification, on est en place ».

Un groupe d’intervention cyber appelé en urgence

Le SOC - Centre opérationnel de sécurité – de la Direction Interarmées des Réseaux d'Infrastructure et des Systèmes d'Information (DIRISI) supervise et protège le réseau Intradef simulé. « Certains postes ont été chiffrés, nous soupçonnons un cryptolocker (logiciel malveillant).  Nous mettons en place des règles de détection, devons évaluer les impacts, le périmètre des attaques et voir comment l’attaquant a eu accès aux postes » commente le major Yannis. Intégré à la cellule animation de DEFNET, Nicolas, ingénieur cyber au C2PO, confie « on les laisse mijoter, on leur remettra la pression plus tard ».

Appelé en urgence à la demande du SOC, le Groupe d’intervention cyber (GIC) du Centre d’analyse en lutte informatique défensive (CALID) arrive sur place. Après avoir déballé caissons et matériel, l’équipe se met au travail. Tout comme un enquêteur sur une scène de crime, le GIC procède à des prélèvements, recueille des preuves informatiques, cherche les failles connues, les marqueurs… Le temps est compté. « On regarde d’abord si l’attaquant est toujours sur le système, et on empêche qu’il étende son emprise, explique le lieutenant Quentin, chef du groupe. En équipe, on réfléchit ensuite à un plan d’entrave ; une fois celui-ci réussi, on peut passer à la phase éviction ».

Fédérateur, cet exercice majeur de cyberdéfense permet d’opérer un véritable travail d’équipe interarmées et directions entre les différents acteurs, placés au plus proche des conditions réelles.