Équipe de contrôle à Tallinn, déploiement d’un centre opérationnel de sécurité (SOC) à Lille, d’équipes de réponses à incident à Rennes en partenariat avec le Canada. La France, sous l'égide du Commandement de la cyberdéfense, a renforcé sa posture au niveau international en interarmées et interalliés.

Cyber Coalition : un test grandeur nature pour la cyberdéfense internationale

Face à l’évolution de la menace cyber, le cyberespace est aujourd’hui le 5^e champ de conflictualité. En conséquence, les armées françaises s’entrainent dans ce champ en interarmées et en interalliés afin d’avoir une cyberdéfense de premier plan. Dans ce cadre, la France a déployé une délégation de cybercombattants et cybercombattantes issues des différentes armées, directions et service durant Cyber Coalition, exercice annuel de l’OTAN et l'un des plus grands au monde. Lors de cette 14e édition, la France a renforcé son partenariat avec le Canada.

La participation de la France à Cyber Coalition démontre l'importance des armées françaises dans le cyberespace et dont pour la première fois, la France prend le commandement terrestre de l'exercice via le CRR-FR à Lille. En situation réelle et grandeur nature, les cybercombattants français ont pu tester leurs capacités à défendre plusieurs systèmes d’information, dont certains critiques. 

Un scénario de crise cyber multi-milieux

Durant ces trois semaines d’exercice, plusieurs incidents cyber ont été simulés pour tester la réactivité des cybercombattants et accentuer le stress cyber. L’objectif de la manœuvre était de tester les cybercombattants des différentes nations et de déployer des groupes d’intervention cyber sur des systèmes critiques, en parallèle d’une manœuvre militaire terrestre. 

Ces incidents ont touché tous les milieux : terre, air, mer et espace. Le scénario de l’exercice incluait des attaques sur des infrastructures critiques, des intrusions dans les réseaux, l'exfiltration de données et leur manipulation. Cyber Coalition permet de renforcer la capacité militaire de lutte informatique défensive à partir de tactiques, techniques et procédures de cyberdéfense (TTPs) sur des réseaux militaires et d’infrastructures simulés.

Une équipe française renforcée pour une défense mutuelle

L’équipe française, pilotée par l’Académie de la cyberdéfense (ACy) et placée sous l’autorité du Commandement de la cyberdéfense (COMCYBER), a été déployée sur plusieurs sites. 

Du côté de Rennes, l’échelon tactique était localisé avec les équipes de réponse à incident tandis qu’à Tallinn (Estonie) se trouvait l’équipe de contrôle des opérations. 

Positionnées à Talinn, les équipes de contrôle (EXCON) supervisant l'exercice, garantissent une coordination internationale optimale. Pour le capitaine Lionel, officier de marque de l’exercice, « nous sommes les garants de la coordination, de la coopération et de la collaboration entre les équipes entrainées. » 

Nouveauté cette année, une équipe Security Operation Center (SOC) intégrée à l’état-major de la composante terrestre armée par le corps de réaction rapide (CRR-FR), a été déployée à Lille. Avec ce commandement terrestre, la France joue ainsi un rôle clé, une première sur le volet opérations cinétiques.

Des groupes d’intervention cyber : collaboration et intelligence collective

Depuis Rennes, les groupes d'intervention cyber (GIC) ont déployés sur les réseaux simulés. Pour la première fois, une équipe du régiment de cyberdéfense de l’armée de Terre, membre de la Communauté cyber des armées (CCA), a rejoint celle du Centre d’analyse en lutte informatique défensive (CALID) pour former un GIC unique, dirigé par le commandant Sébastien (CALID). « Le SOC de l’armée de Terre à Lille a détecté des anomalies qu’il nous a remonté, explique le commandant Sébastien. On va identifier ce que l’attaquant a fait et regarder ce qu’il va faire ». Pour cela « on tente beaucoup de choses » indique le capitaine Xavier du régiment de cyberdéfense. Lors des briefings, « chacun raconte ce qu’il a fait, trouvé, souligne le commandant Sébastien, cela permet de remettre les idées à plat à plusieurs pour avancer ».

Dirigé par le major Yannis du SOC - Commissariat numérique de défense (CND), ce second GIC hybride est composé d'experts des armées, directions et services (Service du commissariat des armées - SCA, Service de santé des armées -SSA, de l’Escadron des systèmes d’information opérationnels et de cyberdéfense –ESIOC, de la Direction générale de l’armement-Maîtrise de l’information -DGA-MI et du CND. « En tant que chef de GIC, j'oriente et j'organise pour que les personnes issues d'entités différentes apprennent à travailler ensemble avec un objectif :  assurer la remédiation et revenir à une situation stable ».

Pour le lieutenant Maxime, officier de marque chargé d’animer l’exercice en France, « Notre rôle en tant qu'animateur local est d'encadrer les joueurs, de s'assurer du bon déroulement des incidents et de permettre aux joueurs de participer pleinement à l'exercice. ». 

Un partenariat franco-canadien : renforcer la résilience collective

Poursuivant la collaboration établie avec le COMCYBER, une délégation canadienne a participé à l'exercice sous la tutelle du Centre d'analyse en lutte informatique défensive (CALID). En travaillant en coopération, les deux équipes franco-canadienne participent ainsi à renforcer la cyberdéfense collective contre des cyberattaques.

Pour les forces armées canadiennes, « le partenariat offre un accès à une expertise solide et à une collaboration de confiance. Travailler avec le COMCYBER et le CALID renforce la compréhension mutuelle et contribue à une approche alliée coordonnée en matière de cyberdéfense. Ces relations renforcent la résilience collective et soutiennent les objectifs partagés ».

La coopération multinationale, une richesse pour les équipes

Travailler en équipe multinationale présente des défis majeurs. Pour l’équipe canadienne, « la collaboration s'est déroulée par le biais de mécanismes approuvés et sécurisés, standard dans les exercices multinationaux. Cela a permis des échanges ponctuels et précis tout en respectant les responsabilités nationales et les exigences de sécurité opérationnelle ».

« On n’a pas les mêmes procédures d’investigation ni les mêmes outils selon les pays ; c’est la complexité de travailler en équipe multinationale ", souligne le commandant Sébastien, chef du groupe d’intervention cyber du CALID à Rennes. « C’est aussi une richesse car cette diversité exige une adaptation constante et une coordination renforcée ».