Scénario fictif de l'exercice : protéger la frontière d'un pays allié

Dans le cadre de l'exercice DEFNET, l'Armée française simule son engagement en soutien à un pays fictif dont la frontière doit être protégée. Le Phenix, avion multirôle de ravitaillement en vol et de transport (A330-MRTT : Multi Role Tanker Transport) de l'Armée de l'air et de l'espace, est engagé. Ici, son objectif est de ravitailler en vol des aéronefs, comme le Rafale, en mission de reconnaissance et de renseignement à la frontière. Mais il va, pour l'exercice, être la cible d'un groupe de cybercriminels, les "APT 336".

Le plan de vol du Phenix modifié par une cyberattaque simulée

Un cybercriminel profite d'une négligence pour brancher sa clé USB sur un ordinateur LTMIS (Laptop mission) et y déposer un implant visant à modifier les données de la mission. Avec ces données erronées, son but est de compromettre la mission du Phénix, en modifiant son plan de vol.

Lorsque le Sergent-chef Maxence, mécanicien navigant des Forces aériennes stratégiques, se connecte à son ordinateur pour préparer sa mission, il ne le sait pas encore, mais son poste de travail est déjà hacké. Il charge sa mission sur une clé USB, et avec elle les effets de l'implant du cybercriminel.

Au moment de rejoindre le cockpit du Phenix et d'injecter son plan de vol avec la clé, il s'aperçoit que celui-ci a été modifié.

La chaine de défense cyber immédiatement alertée

Immédiatement, le sergent-chef Maxence, alerte son correspondant sécurité des systèmes d'informations (CSSI). Après avoir évalué la situation, ce dernier rend compte au référent cybersécurité de la base aérienne. Toute la chaine de remontée se met en place et le besoin de déclencher un groupe d'intervention cyber (GIC) commence à être évoqué.

Après échange avec les autorités et le COMCYBER, il est acté que le groupe, composé de trois militaires de l'ESIOC (Escadron des systèmes d'information opérationnels et de cyberdéfense) doit intervenir sur place. Ils se rendent sur la base aérienne 125 d'Istres (lieu de simulation de cet incident cyber) équipés d'un kit regroupant l'ensemble de leur matériel d'investigation. Ce matériel permet au GIC d'effectuer, in situ, les premiers prélèvements de données.

Le groupe d'intervention cyber se met en action

Analyse des ordinateurs de la mission, des systèmes et réseaux, de l'impact fonctionnel de l'incident : le GIC doit rapidement et méticuleusement poser un diagnostic. L'équipe d'experts cyber commence ainsi par réaliser des prélèvements directement sur les systèmes de l'avion.

Pour le Lieutenant Tom, "l'intervention d'un GIC peut être comparée à une intervention de pompiers : on sait quand on arrive, on ne sait jamais quand on repart". Car l'objectif final est celui de la remédiation. C'est en remontant les traces de l'attaque que le Lieutenant et son équipe pourront rendre le système à nouveau opérationnel le plus vite possible, afin que le Phenix puisse à nouveau assurer ces missions.

Ainsi, grâce à l'exercice DEFNET, l'armée de l'Air et de l'Espace a participé à l'entrainement de la chaine de lutte informatique défensive (LID), de la détection d'un incident jusqu'à sa remédiation, en passant par le déploiement d'un GIC.