Une alerte vient de remonter : le réseau intranet du ministère des Armées a été compromis. Plusieurs ordinateurs ont été infectés à Paris et à Rennes. Le risque d’une fuite de données sur les forces armées est plus que probable. Immédiatement, le Centre d’analyse en lutte informatique défensive CALID déploie deux groupes d’intervention cyber (GIC), sur les deux sites, pour évaluer l'ampleur de la compromission et mettre en œuvre des mesures de remédiation pour que le système d’information soit à nouveau opérationnel. Tel est le scénario joué dans le cadre de l’exercice DEFNET. Un scénario réaliste, auquel les cybercombattants peuvent être confrontés au quotidien.

Un groupe d’intervention cyber : une équipe d’experts

Constituée de trois à quinze analystes, une équipe GIC est déclenchée quand il y a un risque de compromission d’un système d’information ou d’un système d’arme. Ces équipes sont prêtes à intervenir sous très faible préavis partout sur le territoire national et également sur les théâtres d’opérations extérieurs.

Leur mission est de stopper toute attaque cyber sur les systèmes d’armes et systèmes d’information du ministère des Armées afin de rétablir leur opérationnalité dans les délais les plus brefs. Les analystes du GIC sont des experts cyber en réseaux ou en systèmes informatiques. Certains détiennent des compétences d’audit des systèmes informatiques.

Les cybercombattants sur les traces de l’attaquant

À Paris et à Rennes, deux GIC travaillent de concert sur cette attaque complexe. Les ordinateurs infectés ont été identifiés. Ces cybercombattants ont su retrouver la trace de l’attaquant, mais ce dernier semble se « latéraliser », c’est-à-dire qu’il arrive à infecter d’autres postes.

Le maître principal Jonathan est le chef du GIC déployé à Rennes. Avec ses deux collègues cybercombattants civils, Loïc, analyste système, et Johann, analyste réseau, ils apportent leur soutien au GIC parisien et remontent la piste de l’attaquant pour le stopper dans sa progression, et l’expulser du réseau. « Notre mission est de chasser l’attaquant du système », explique le maître principal Jonathan.

Recueillir les preuves autour de la cyberattaque

Les cybercombattants qui travaillent dans les GIC ont tous « un profil d’enquêteur ». « A chaque fois que nous sommes déployés nous menons une enquête minutieuse. Nous collectons et analysons de manière méthodique les données liées à un incident », poursuit le maître principal Jonathan.

Des prélèvements techniques sont ainsi réalisés afin de déterminer la chronologie des événements, d’établir le modus operandi de l’attaquant et de découvrir des preuves sur le système d’information. « C’est un véritable travail d’enquête. Notre but est de comprendre tout ce qu’il s’est précisément passé lors de l’attaque, stopper l’attaque et y apporter une remédiation ».

Partager l’information pour agir plus efficacement contre l’attaquant

Le téléphone sonne : c’est le chef du GIC parisien qui partage ses nouvelles découvertes avec le maître principal Jonathan. A travers ce partage, les deux GIC bénéficient d’une même vision de la situation tactique et sont plus efficaces dans l’intervention. « Il est indispensable de capitaliser nos informations entre GIC », commente le maître principal Jonathan. « Par ailleurs nous sommes quotidiennement amenés à travailler avec les SOC et nos partenaires industriels, notamment quand la compromission concerne un système d’armes. »

Pour l’édition 2025 de DEFNET a inclut la participation de la Gendarmerie Nationale auprès des cybercombattants. « Nous avons bénéficié de la collaboration de la Gendarmerie nationale, afin de partager un bon niveau d’information sur les attaquants potentiels », confie le maître principal Johann.

Après un travail intense de l’ensemble des cybercombattants mobilisés, l’attaquant a finalement pu être expulsé. Les membres du GIC vont pouvoir rentrer… jusqu’à la prochaine mission.