« Nous n’avons pas piraté, on nous a laissé entrer. C’est un piège ! Incroyablement sophistiqué… » Cette réplique, tirée de la série télévisée Person of Interest, laisse entrevoir des cyberattaques de plus en plus complexes. Qu’en est-il réellement et quels impacts peuvent-elles avoir ?

Sébastien Bombal, responsable du développement « Systèmes, réseaux et sécurité » à l’Epita, capitaine dans la réserve citoyenne cyber (RCC) et directeur des opérations d'Orange cyberdéfense : « Nous préparons nos étudiants à toute sorte de menaces : l'exfiltration de données, le sabotage, l'altération d'un système, la subversion… C’est pourquoi ils doivent connaître les méthodologies actuelles, être capables de cartographier des réseaux, réussir à trouver et exploiter des vulnérabilités. La protection et la défense des systèmes réseaux comme le sans-fil, des systèmes d’information de gestion, des systèmes industriels comme le SCADA, ou des objets connectés sont un enjeu majeur. Le champ des possibles est large en termes de scénarii d'attaque, dont les impacts peuvent s’avérer bien réels. »

François Lonc, doctorant à Télécom ParisTech : « Du côté des entreprises, les cyberattaques peuvent causer aujourd’hui des pertes financières ou des dégradations d'image ; dans un avenir sombre, elles pourraient cibler les voitures connectées, les compteurs électriques ou les pacemakers, et mener à des accidents touchant à la vie des citoyens. Dans nos différentes formations en cybersécurité,  nous préparons  avant tout nos étudiants à la conception sécurisée de tous les systèmes. »

A la question « Shall…we…play…a…game? » extraite du film Wargames, tout le monde répond que le combat numérique n’est pas un jeu. Comment y sensibilisez-vous les étudiants ?

S. Bombal : « Il est important de leur expliquer ce qu'est un incident de cybersécurité et ses impacts. Demain, employés par une entreprise, ils devront peut-être rendre des comptes auprès de toutes les parties prenantes, c’est-à-dire les actionnaires, les partenaires, et même les autorités. C'est loin d'être un jeu : les conséquences sur un écosystème sont bien réelles et leur responsabilité juridique peut être engagée. »

Philippe Godlewski, professeur à Télécom ParisTech : « On leur apprend à distinguer ce qui relève de l’internet "loisir", le jeu, de l’internet "technique" professionnel, qui nécessite d’être manié avec sérieux et maturité. »

F. Lonc : « Il y a une image ancrée de l'expert en sécurité qui flirte parfois avec l’illégalité... Or, j'ai le sentiment que nos étudiants n’y correspondent pas : ce sont des ingénieurs qui s'intéressent à la cybersécurité, pas des hackers. »

« Passez-moi le PDA, il faut que j’appelle "Le Sorcier". C’est un Jedi numérique. Il est hallucinant. » Est-ce que vos étudiants pourraient être ce fameux sorcier, ce Jedi numérique, que souhaite contacter un personnage de Die Hard 4 ?

P. Godlewski : « La culture internet est artisanale, tout est accessible en ligne, chacun peut se former. En conséquence, les élèves peuvent avoir l’impression d’être à la pointe sur un sujet, mais c’est une illusion. Seuls un ou deux étudiants par promotion ont la capacité de devenir très compétent rapidement. Mais tous doivent beaucoup travailler pour atteindre l’excellence. »

S. Bombal : « Il n'y a pas de sorcier ou de Jedi ! L’informatique est un domaine compliqué et la cybersécurité impose des compétences transverses, de sorte qu’il est quasiment impossible d’en maîtriser seul tous les aspects. Nous donnons à nos étudiants des clés de compréhension, mais ils doivent constamment se former et s’informer sur les nouveautés. »

Lorsque dans Skyfall, l’un des personnages assure : « Je peux faire plus de dégâts en restant en pyjama devant mon ordinateur avant ma première tasse d'Earl Grey que ce que vous pouvez faire en un an sur le terrain », on est en droit de s’inquiéter. Pour compléter leurs moyens, les armées expérimentent actuellement une réserve de cyberdéfense à laquelle participeraient vos étudiants volontaires. Comment leurs compétences pourraient être utiles ?

S. Bombal : « Des personnes mal intentionnées peuvent concevoir assez facilement des outils menaçants une nation. Il est donc nécessaire d’utiliser toutes les ressources humaines dont on dispose pour nous protéger. Si l’Etat et les opérateurs d’importance vitale possèdent souvent des capacités de défense, en cas de crise grave il faudra davantage de moyens pour traiter toutes les entreprises touchées. D’autres réserves comme la santé peuvent gonfler les effectifs avec des médecins retraités ; pour la cybersécurité, on n’a pas cette opportunité, on doit prendre des disponibilités dans l’autre bout de la chaîne : des étudiants ayant un niveau technique suffisant. »

F. Lonc : « Aujourd'hui, nous manquons en France de personnes formées à la cybersécurité et les entreprises ne sont pas toujours prêtes à investir dans ce domaine. En cas de crise, nos étudiants pourraient donc pallier ces manques au sein de la réserve de cyberdéfense. »

Dans The Big Bang Theory, l’un des personnages s’adresse à des jeunes ainsi : « La vue de vos jeunes visages boutonneux me rappelle l’époque où, moi aussi, je devais décider de mon orientation en tant que modeste universitaire diplômé… » En quoi un engagement dans la réserve de cyberdéfense pourrait être un atout pour l’avenir professionnel de vos étudiants ?

P. Godlewski : « Un engagement dans la réserve imposera aux étudiants de maintenir à niveau leur culture de l’internet. Ils se reposeront sans doute moins sur leurs acquis et rencontreront des profils très différents, plus matheux, plus réseau ou plus informaticien, ce qui leur ouvrira l’esprit, les enrichira, et leur permettra d’être toujours à la pointe. »

F. Lonc : « Pour les étudiants souhaitant travailler pour l'armée ou l’une des entreprises qui gravitent autour des institutions, la réserve leur permettra d’avoir un premier contact avec  leur futur environnement de travail.»

S. Bombal : « Non seulement la réserve leur apportera une expérience et une formation supplémentaires, mais elle donnera également du sens à ce qu’ils apprennent. En termes de pédagogie et de cadre, elle sera très enrichissante. »

Sous l’autorité du vice-Amiral Arnaud Coustillière, officier général cyber de l’état-major des armées, il s’est déroulé sur plusieurs sites militaires à Rennes, Douai, Toulon, Mont de Marsan, Maisons-Laffitte, et Paris, ainsi qu’à bord de deux bâtiments de la Marine nationale.

Le premier DEFNET, l’automne dernier, simulait une attaque sur un site unique, avec la mise en œuvre d’une cellule de crise et avait permis de valider des procédures opérationnelles dans l'emploi des groupes d’intervention rapide (GIR). Cette deuxième édition a été particulièrement innovante par son caractère global et résolument interarmées. Le scénario choisi simulait, dans un contexte international fictif, des menaces et des attaques cyber multiples contre plusieurs sites sur des thèmes très différents.

L’objectif est atteint. Il a permis d’éprouver, dans un environnement réaliste, les méthodes de :

• planification et conduite des opérations dans le domaine de la lutte informatique défensive,
• déploiement d’unités cyber,
• travail de spécialistes et de non spécialistes, de militaires d’active et de réservistes, de personnel du ministère et de partenaires hors ministère.

En lien avec les cellules dédiées de l’armée de terre, la marine nationale, l’armée de l’air et la DIRISI, le Centre d’Analyse en Lutte Informatique Défensive (CALID) a supervisé le déploiement de quatre groupes d’intervention rapide (GIR) pour contrer des attaques simulées sur des systèmes d’information. Le GIR de la DIRISI était appuyé par des spécialistes de la DPSD.

DEFNET 2015 a également permis de sensibiliser et former davantage de personnel aux enjeux de la cyberdéfense en associant notamment aux experts des militaires non spécialisés.

Par ailleurs, le centre opérations cyber inséré dans le Centre de planification et de conduite des opérations (CPCO) a planifié le déploiement inédit de deux autres GIR issus de la future réserve de cyberdéfense. Des étudiants, symbolisant ces futures équipes de réservistes, se sont penchés sur des cas pédagogiques simulés sur les sites militaires de l’école militaire (Paris) et de l’école des Transmissions (Cesson-Sévigné). Cette expérimentation a été particulièrement fructueuse, et, outre le renforcement du lien avec l’enseignement supérieur, elle va permettre de perfectionner les programmes d’entrainement dans le cadre de la montée en puissance de cette nouvelle composante de la réserve dédiée à la cyberdéfense.

Fortes de l’expérience acquise et des liens tissés au sein de la communauté nationale de cyberdéfense, les équipes engagées lors de DEFNET 2015 vont désormais entretenir et perfectionner leur savoir-faire dans le cadre d’exercices de niveau de composante ou multinationaux comme Cybercoalition (novembre 2015).

Quant au prochain DEFNET, rendez-vous en 2016.

REPERES

La cyberdéfense militaire regroupe l’ensemble des actions défensives ou offensives conduites dans le cyberespace pour garantir le bon fonctionnement du ministère de la Défense et l’efficacité de l’action des forces armées en préparation ou dans la planification et la conduite des opérations.

Conformément au Livre blanc de 2013 qui fait de la cyberdéfense l’une des priorités nationales, les exercices DEFNET s’inscrivent dans le cadre de la montée en puissance de la chaîne opérationnelle de cyberdéfense du ministère.