CENTOR 2024 est un exercice qui se tenait du 8 au 12 avril, participant à la préparation opérationnelle de la DIRISI pour l’année en cours. Organisé et coordonné par le Lieutenant Renaud, de l’Etat-Major Opérationnel (EMO) de la DIRISI, l’objectif était de « tester les limites techniques des experts mobilisés en s’approchant d’un incident cyber en conditions réelles. »

Plongés dans un contexte de cyberattaque entre pays, 14 experts de la DIRISI, mais également du constructeur français AIRBUS, prestataire de l’exercice, étaient mobilisés pour cet exercice. Ils étaient chargés d’identifier, d’analyser et de stopper l’offensive d’un « attaquant interne » qui ciblait les services communs de l’Intradef, l’intranet du ministère des Armées dont la DIRISI a la charge. Avec l’aide d’un Groupe d’Intervention Cyber (GIC) DIRISI à distance, ils devaient trouver la meilleure réponse possible en respectant des contraintes de temps et de procédures. Pour le lieutenant Renaud, « les équipes ont parfaitement répondu aux contraintes de l’exercice. »

Les différents acteurs mobilisés étaient répartis au sein d’un dispositif à plusieurs équipes avec des rôles définis :

• L’équipe bleue, qui constituait l’armement du SOC « Exercice » et les Eléments d’Intervention Cyber de l’Opérateur, incluant prélèvements et analyses.
• L’équipe verte, chargée de la coordination transverse de la réponse à l’incident CYBER.
• L’équipe jaune, chargée de la reconstruction des services communs de l’Intradef.
• L’équipe rouge, porteuse de la « menace », qui gérait l’attaque sur le réseau.
• L’équipe blanche, pour gérer l’animation de l’exercice.

Un scénario au plus proche du réel

Cet exercice était ainsi composé de plusieurs environnements représentatifs des écosystèmes des Technologies de l’Information (IT) et Lutte Informatique Défensive (LID), afin de coller au mieux à la réalité de la cyberdéfense.

Chef de l’équipe bleue, l’ingénieur Civil de la Défense Kylian, analyste cyber senior du SOC DIRISI souligne les bienfaits concrets de l’exercice : « J’apprends beaucoup de cette expérience sur le plan technique […] mais c’est aussi une vraie plus-value sur le plan humain, dans la gestion des équipes et du stress notamment. »

Tel des enquêteurs analysant une scène de crime, le GIC, géré par l’analyste Daniel, était chargé de remonter le chemin de l’attaque : « nos outils sont capables de trier et d’indexer l’ensemble des marquants (artefacts numériques) de la vie d’une machine ciblée, afin que les analystes puissent retrouver le mode opératoire, la persistance d’une attaque cyber, les actions réalisées par l’attaquant et le niveau de propagation. »

Pour le Lieutenant-Colonel Hervé, chef du SOC DIRISI, cet exercice permet à ses équipes de sortir de leurs habitudes : « le scénario a été particulièrement apprécié par les analystes du SOC DIRISI mobilisés. Un tel exercice nécessite un engagement personnel important, et constater qu’ils sont prêts à se réinvestir en situation réelle est une preuve de leur détermination. »

Durant une journée de présentation de l’exercice aux autorités, l’adjoint au chef de la Division Opérations (DIVOPS), le Général de Brigade Aérienne (GBA) José Guirao et le Commandant en second de l’EMO, le Colonel Frédéric FERRER se sont rendus sur l’un des sites accueillant l’exercice afin d’échanger avec les équipes. Ils ont pu constater par eux-mêmes la complémentarité entre les différents services et l’efficacité de l’exercice dans le maintien et la montée en puissance opérationnelle de la DIRISI en matière de cyberdéfense.

Une 2^ème édition de l’exercice CENTOR 2024 est prévue courant novembre afin d’améliorer le Plan de Continuité d’Activité (PCA) et le Plan de Reprise d’activité (PRA).