Un nouvel incident vient d’être signalé sur les écrans du centre opérationnel cyber : un hôpital militaire vient d’être victime d’une cyberattaque d’ampleur : les pirates se sont introduits dans un des serveurs et ont subtilisé un certain nombre de données avant de les effacer. En quelques secondes, le CO se transforme en cellule de crise. Les téléphones crépitent. Analystes, traitants et officiers de liaison se coordonnent pour apporter une solution. Cet séquence grandeur nature s’inscrit dans le cadre d’ORION 26, un exercice interarmées destiné à entrainer toutes les armées, directions et services du ministère des Armées et des Anciens combattants. Du côté de la cyberdéfense des armées françaises, l’objectif d’ORION 26 est de tester la réactivité, la coordination et l’efficacité des équipes cyber face à des scénarios inspirés de menaces réelles. Les participants sont ainsi confrontés à des attaques simulées sur des infrastructures critiques.

Gérer la crise en continu

Au cœur de ce dispositif, le centre opérationnel cyber joue un rôle pivot. Véritable tour de contrôle numérique, il assure une surveillance permanente des réseaux, détecte les anomalies, qualifie les incidents et coordonne la réponse. Au centre opérationnel cyber (CO) - dans un grand open space - le chef du CO, le lieutenant-colonel Éric, observe un grand écran numérique installé sur le mur où il peut suivre en temps réel les opérations cyber. Auprès de lui, les chefs des plateaux de la lutte informatique défensive (LID) et la lutte informatique d'influence (L2I) lui présentent des points de situation fréquemment.

« Une action est bien menée si elle est coordonnée, analysée et appréciée » explique le lieutenant-colonel Éric, chef du CO Cyber. « La plus-value du CO est cette capacité d’analyse et de réflexion dans un temps court et dans un espace resserré où tous les principaux acteurs sont réunis dans un même lieu ».

La lutte informatique défensive, socle de la résilience

Au cœur de l’action, la LID constitue la première ligne de protection. Les spécialistes du plateau lutte informatique de défense (LID) veillent, détectent, analysent et alertent dès qu’un incident survient afin de déclencher la chaine d’alerte. Durant ORION 26, les attaques simulées cherchent à saturer les capacités d’analyse et à exploiter la moindre faille. Le chef du plateau LID décide de déployer un groupe d’intervention cyber (GIC) du Centre d’analyse en lutte informatique défensive (CALID) pour intervenir sur place.

L’engagement d’un GIC

Dans la salle jouxtant de le CO, sont installés les membres d’une équipe d’un GIC. Ces deniers sont en temps normal projetés au plus près des entités attaquées, ici un hôpital militaire. Le GIC a pour mission d’effectuer des prélèvements techniques afin de déterminer la chronologie des événements. Leur autre mission : déterminer comment les pirates sont entrés dans le système, éradiquer la présence adverse et accompagner la remise en condition opérationnelle du système. Travaillant en liaison étroite avec le CO, le GIC agit comme une force de réaction rapide numérique, mêlant expertise forensique, analyse malware et appui aux administrateurs locaux. Les équipes GIC sont prêtes à intervenir sous très faible préavis partout sur le territoire national et également sur les théâtres d’opérations extérieures.

L2I, nouveau front de la conflictualité

ORION 26 ne se limite pas aux attaques sur les lignes de code. L’exercice intègre également un volet de lutte informatique défensive (L2I) : des messages circulent déjà sur les réseaux sociaux, accusant l’hôpital de négligence et semant le doute sur la sécurité des données médicales. Ces campagnes de désinformation sont destinées à fragiliser la perception de l’action militaire. « Une fausse information peut aujourd’hui produire des effets stratégiques en quelques heures », explique le lieutenant-colonel Nicolas, chef du plateau L2I. Au sein du plateau, les traitants et analystes ont pour missions d’identifier les fausses informations et de rétablir un narratif factuel. « Attention, nous ne faisons pas de la propagande » souligne-t-il. « Nous ne fabriquons pas des mensonges. Nous nous basons sur les faits, afin de mener des actions encadrées juridiquement, assumées et attribuées, visant à défendre la liberté d’appréciation des publics face à des manipulations informationnelles. »

Un espace-temps volontairement compressé pour éprouver les réflexes opérationnels

« Le rythme est plus soutenu sur Orion », commente le lieutenant-colonel Nicolas, chef du plateau L2I. « En temps ordinaire, c’est l’actualité qui impose le rythme. Dans Orion c’est l’inverse. C’est tout l’intérêt de cet exercice ». L’une des spécificités d’ORION 26 réside dans la contraction artificielle du temps. Les événements, qui dans une situation réelle pourraient s’étaler sur plusieurs jours, sont volontairement condensés en quelques heures afin de placer les équipes dans un rythme décisionnel accéléré. Une trentaine d’incidents ont ainsi été injectés sur les trois semaines d’exercice. Cette compression temporelle oblige les militaires à traiter simultanément l’analyse technique, la coordination interarmées et la lutte d’influence, sans bénéficier des délais habituels de maturation. « Sur Orion 26, nous devons faire face à une surabondance d’incidents. Nous sommes harcelés non-stop » témoigne le lieutenant-colonel Éric, chef du CO. « Le tempo est accéléré. C’est exigeant, mais c’est précisément ce qui nous entraîne à décider juste, vite, et collectivement ».