Jour 1 - Le centre des opérations cyber est sur le pont

Depuis plusieurs mois, les services de renseignement alertent sur un risque d’offensive de TITANE (pays fictif) sur le territoire d’OSTLAND (pays fictif), membre de l’Alliance. En tant que pays membre de l’Alliance, l’armée française y apporte son soutien et est présente sur place au sein d’une force multinationale, pour protéger la frontière.

Aujourd’hui dans la matinée, les infrastructures critiques d’OSTLAND ont été victimes d’une campagne massive de cyberattaques. Les forces de la coalition, dont la France, semblent également visées. Le centre des opérations cyber est sur le pont. Les cybercombattants de l’état-major du Commandement de la cyberdéfense (COMCYBER) viennent de recevoir plusieurs alertes et s’organisent pour faire face à ces attaques. Les chaines de lutte informatique défensive sont pleinement mobilisés.

Une cyberattaque a cherché à couper les communications entre la France et les pays de l’Alliance engagés dans l’objectif de désorganiser les forces… Dans le cadre de cette attaque, cinq postes Intradef, le réseau interne des armées, seraient infectés et présentent le risque de laisser fuiter des données sur l’implication de nos forces dans la protection d’OSTLAND. L’assaillant pourrait être encore actif sur le réseau…

Jour 2 - Intervention en cours sur la frégate de type La Fayette

L’attaquant a été identifié… Un groupe d’intervention cyber (GIC) des armées a retrouvé la trace, sur le système, de celui qui cherche, depuis hier, à couper les communications entre la France et ses alliés. Il va pouvoir le suivre pour comprendre les différents chemins qu’il a emprunté… 

Dans le même temps, les attaques cyber s’enchainent et s’intensifient. Le centre des opérations cyber vient de modifier sa posture pour faire face à la crise. En effet, la Marine nationale vient de rendre compte d’un incident à bord d’une frégate de type La Fayette engagée dans l’opération de réassurance. L’incident est d’abord identifié comme étant un défaut technique par les marins du bord. Les premières investigations semblent orienter vers d’autres pistes… 

Le Service de santé des armées (SSA) est également en alerte. Son système d’information permettant le suivi des collectes de sang a été attaqué, dégradant la capacité à assurer l’approvisionnement en sang du théâtre d’opération, pour secourir les potentiels blessés. Sa cellule de crise est activée tandis que de premières investigations sont menées sur le système par les cybercombattants… 

Jour 3 : multiplication des attaques informationnelles sur les réseaux sociaux

Toute la nuit, TITANE a déclenché de nombreux bombardements à la frontière. Les forces aériennes, terrestres et navales de la France sont engagées au combat. La frégate de type La Fayette attaquée hier doit être disponible au plus vite.  Un groupe d’intervention cyber (GIC) est déployé pour investiguer sur l’origine de l’attaque. Un travail acharné des cybercombattants experts sera nécessaire pour restaurer le système touché.

Mais l’adversaire ne perd pas de temps et diffuse déjà des informations sur l’attaque contre de la frégate. Ça n’est pas le seul sujet qui circule sur les réseaux sociaux…  Les cybercombattants ont identifié plusieurs comptes locaux relayant une compromission du réseau intranet de l’armée française. Les attaques dans le champ informationnel ne font que commencer…

Enfin, ce matin, le centre de commandement et de contrôle des opérations spatiales du Commandement de l’espace (CDE) a été impacté. Cet incident cyber oblige leurs combattants à travailler en mode dégradé. La chaine de remontée cyber a tout de suite été activée. Le Commandement de la cyberdéfense va analyser la clé USB qui a infecté le système. En parallèle, les administrateurs du CDE interviennent pour restaurer rapidement le système.

Jour 4 - 12 000 personnels ciblés par un "phishing"

Dehors ! Après un travail intense, le groupe d’intervention cyber (GIC) à bord d’une frégate de type La Fayette (FLF) est sur le point d’expulser le cyber attaquant. Les marins vont rapidement pouvoir relancer le système et repartir au combat.

Dans la journée, plusieurs milliers de personnels du ministère des Armées ont reçu un message leur demandant de mettre à jour leur compte de complémentaire santé. Mais ce mail est frauduleux. Il s’agit d’un « phishing » diffusé par l’adversaire. Si les combattants des armées cliquent sur le lien, le risque que leurs informations personnelles soient collectées ou qu’un logiciel malveillant soit installé est important. Cela pourrait permettre à l’adversaire d’accéder à des informations classifiées… 

Jour 5 - Déploiement d'un groupe d'intervention cyber sur le théâtre d'opération

Un dispositif pirate au cœur du poste de commandement du théâtre d’opération ? 

La chaine cyber est en alerte. Alors que les cybercombattants du Service de santé des armées (SSA), viennent de restaurer le service (les collectes de sang retrouvent un rythme normal), d’autres attaques s’enchainent. 

L’armée de Terre vient de remonter l’information d’une attaque au centre des opérations et un groupe d’intervention cyber (GIC) est déployé sur place. Lors de ses premières investigations, le GIC détecte une exfiltration de données vers l’extérieur, alors que le poste est isolé… Des capacités supplémentaires vont être nécessaires. 

À la Direction générale pour l’armement (DGA), une remontée d’incident indique une potentielle attaque sur un système d’information très sensible, visant à voler des données sur nos systèmes d’armes. Si elles étaient exfiltrées, l’adversaire pourrait les utiliser pour leurrer les armées françaises et les faire perdre en efficacité. Des premiers prélèvements sont ordonnés sur le système…  

Jour 6 - Intervention conjointe des cybercombattants et des gendarmes

Au moment du déjeuner, le bureau cyber du Service du commissariat des armées (SCA) est inquiet. Sur le théâtre d’opération, les températures des frigos alimentaires sont faussées. Les repas de plusieurs centaines de militaires pourraient être touchés et non-consommables. Mais le fournisseur est formel : le système fonctionne normalement. Un attaquant malveillant pourrait être derrière ce déréglage et les cybercombattants vont intervenir…  

De leur côté, les cybercombattants qui travaillent depuis plusieurs jours sur une attaque complexe qui touche le réseau intranet des armées sous toujours à pied d’œuvre. Ils reçoivent un renfort de la Gendarmerie nationale, afin de partager un bon niveau d’information sur les attaquants potentiels. Gendarmes et cybercombattants des armées travaillent ensemble pour agir au plus vite.

Alors que les cybercombattants du COMCYBER avaient préparé un plan d’éviction de l’attaquant, celui-ci vient de se « latéraliser » vers un nouveau système, rendant encore plus complexe leur intervention… 

Jour 7 - Frégate et Caïman Marine : double intervention pour les cybercombattants

Engagée en mer, l’une des frégates multi-missions (FREMM) de la Marine nationale subit plusieurs incidents sur ses systèmes d’information. Ce qui laisse présager une cyberattaque. A bord, les hélicoptères Caïman Marine, ont également été ciblés, mettant en difficulté leur capacité en lutte anti-sous-marine. Après une remontée d’informations, le COMCYBER ordonne l’envoi d’un groupe d’intervention cyber (GIC) à bord de la frégate. La Marine nationale dépêche ses cybercombattants immédiatement pour identifier le périmètre des attaques et leur non-propagation vers d’autres systèmes. Ils agissent au plus vite pour restaurer le service et permettre à la frégate et aux hélicoptères de repartir en mission.

Dans le même temps, du côté de l’armée de l’Air et de l’Espace, des dysfonctionnements apparaissent sur un système de lutte anti-drones actuellement déployé sur le théâtre d’opération. Un GIC devra être sur place demain à la première heure… 

Jour 8 - Vérification de la sécurité électromagnétique des systèmes

Du côté de l’armée de l’Air et de l’Espace, le groupe d’intervention cyber (GIC) est arrivé tôt ce matin sur le système de lutte anti-drones. Il s’est branché au système pour prélever les données et les analyser au plus vite, en lien étroit avec l’industriel qui l’a conçu. 

Pendant ce temps, les cybercombattants du COMCYBER spécialisés en sécurité électromagnétique ont été déroutés d’une mission à proximité pour venir prêter main forte au GIC déployé sur les postes de commandement de l’armée de Terre. Ensemble, ils ont réussi à détecter le canal de communication utilisé par l’attaquant et à le repousser ! 

Jour 9 - Système de lutte anti-drones attaqué : les cybercombattants interviennent

À 15h, les forces armées de TITANE lancent une offensive vers le Sud et se retrouvent en confrontation avec l’armée française, déployée sur cette zone. De nombreuses attaques de drones sont constatées, alors que le groupe d’intervention cyber (GIC) est en cours d’intervention sur le système de lutte anti-drones de l’armée de l’Air et de l’Espace. Les cybercombattants redoublent d’efforts pour rendre le système opérationnel le plus vite possible mais font face à une attaque très sophistiquée.

Après un travail technique minutieux et intensif, le groupe d’intervention cyber (GIC) est sur le point d’éjecter l’attaquant du système permettant les échanges entre la France et les pays alliés. Encore quelques préparatifs et le plan d’éviction pourra être mis en œuvre…

Jour 10 - Mission réussie pour les cybercombattants des armées

Le GIC, déployé depuis plusieurs jours sur le système de lutte anti-drones, vient de réussir à éradiquer l’attaque. Le système est à nouveau opérationnel pour les forces de l’armée de l’Air et de l’Espace. 

Sur le réseau intranet des Armées, au prix d’une intervention intense, le groupe d’intervention cyber a également réussi à évincer l’attaquant du système.

Dans le champ informationnel, le travail des cybercombattants français a permis de mettre à jour et de dénoncer les actions de désinformation adverses sur les réseaux sociaux.

Alors que, sur le terrain, nos forces peuvent reprendre l’initiative, les cybercombattants ont su faire face à de nombreuses attaques, complexes et simultanées. Mais leur vigilance demeure… Ils restent prêts à mener les combats qui se présenteront à eux.