DEFNET 2024 : une cyberattaque simulée sur le plan de vol du Phenix
"Je vois des messages ‘hack’ au niveau de mon système" : dans le cadre de l'exercice de cyberdéfense DEFNET, l'armée de l'Air et de l'Espace a entrainé ses cybercombattants sur un scénario fictif impactant un avion A 330-MRTT de la base aérienne 125, à Istres.
Scénario fictif de l'exercice : protéger la frontière d'un pays allié
Dans le cadre de l'exercice DEFNET, l'Armée française simule son engagement en soutien à un pays fictif dont la frontière doit être protégée. Le Phenix, avion multirôle de ravitaillement en vol et de transport (A330-MRTT : Multi Role Tanker Transport) de l'Armée de l'air et de l'espace, est engagé. Ici, son objectif est de ravitailler en vol des aéronefs, comme le Rafale, en mission de reconnaissance et de renseignement à la frontière. Mais il va, pour l'exercice, être la cible d'un groupe de cybercriminels, les "APT 336".
Le plan de vol du Phenix modifié par une cyberattaque simulée
Un cybercriminel profite d'une négligence pour brancher sa clé USB sur un ordinateur LTMIS (Laptop mission) et y déposer un implant visant à modifier les données de la mission. Avec ces données erronées, son but est de compromettre la mission du Phénix, en modifiant son plan de vol.
Lorsque le Sergent-chef Maxence, mécanicien navigant des Forces aériennes stratégiques, se connecte à son ordinateur pour préparer sa mission, il ne le sait pas encore, mais son poste de travail est déjà hacké. Il charge sa mission sur une clé USB, et avec elle les effets de l'implant du cybercriminel.
Au moment de rejoindre le cockpit du Phenix et d'injecter son plan de vol avec la clé, il s'aperçoit que celui-ci a été modifié.
La chaine de défense cyber immédiatement alertée
Immédiatement, le sergent-chef Maxence, alerte son correspondant sécurité des systèmes d'informations (CSSI). Après avoir évalué la situation, ce dernier rend compte au référent cybersécurité de la base aérienne. Toute la chaine de remontée se met en place et le besoin de déclencher un groupe d'intervention cyber (GIC) commence à être évoqué.
Après échange avec les autorités et le COMCYBER, il est acté que le groupe, composé de trois militaires de l'ESIOC (Escadron des systèmes d'information opérationnels et de cyberdéfense) doit intervenir sur place. Ils se rendent sur la base aérienne 125 d'Istres (lieu de simulation de cet incident cyber) équipés d'un kit regroupant l'ensemble de leur matériel d'investigation. Ce matériel permet au GIC d'effectuer, in situ, les premiers prélèvements de données.
Le groupe d'intervention cyber se met en action
Analyse des ordinateurs de la mission, des systèmes et réseaux, de l'impact fonctionnel de l'incident : le GIC doit rapidement et méticuleusement poser un diagnostic. L'équipe d'experts cyber commence ainsi par réaliser des prélèvements directement sur les systèmes de l'avion.
Pour le Lieutenant Tom, "l'intervention d'un GIC peut être comparée à une intervention de pompiers : on sait quand on arrive, on ne sait jamais quand on repart". Car l'objectif final est celui de la remédiation. C'est en remontant les traces de l'attaque que le Lieutenant et son équipe pourront rendre le système à nouveau opérationnel le plus vite possible, afin que le Phenix puisse à nouveau assurer ces missions.
Ainsi, grâce à l'exercice DEFNET, l'armée de l'Air et de l'Espace a participé à l'entrainement de la chaine de lutte informatique défensive (LID), de la détection d'un incident jusqu'à sa remédiation, en passant par le déploiement d'un GIC.
DEFNET 2024
Cet exercice de cyberdéfense répond à un enjeu majeur de préparation opérationnelle cyber pour les Armée. D'envergure nationale et interarmées, piloté par le COMCYBER, il se déroule, partout en France, du 18 au 29 mars 2024, pour la 10e année.
En savoir plusContenus associés
De l'aspiration à la réalisation : l'enseigne de vaisseau Nicolas rejoint le COMCYBER
À 24 ans, l'Enseigne de vaisseau Nicolas débute son parcours professionnel au Commandement de la Cyberdéfense (COMCYBER). Recruté comme officier sous contrat, après un bac +5 en informatique, il réalise son aspiration professionnelle grâce à la bourse cyber de la Marine nationale. En décembre 2022, il intègre ainsi le Centre d’Analyse en Lutte Informatique Défensive (CALID) à Rennes. Nicolas partage avec enthousiasme son parcours et son engagement.
07 mai 2024
L’équipe franco-estonienne sur le podium de l’exercice international Locked Shields
Des cybercombattants français issus des unités de la communauté cyber des Armées ont participé à l’exercice international de cyberdéfense Locked Shields aux côtés de l’Estonie. L’excellente coopération au sein de l’équipe franco-estonienne lui a permis de se positionner sur le podium, en 3ème position.
29 avril 2024
DEFNET 2024 : un phishing géant pour sensibiliser à la cybersécurité
Dans le cadre de DEFNET, plusieurs milliers de personnels des Armées sont sensibilisés à travers une simulation de phishing (hameçonnage). Pour le COMCYBER, ce phishing permet de tester le niveau de maturité globale du ministère en terme de sécurité.
22 mars 2024