Plongés dans un contexte de conflit de haute intensité en Europe, les 20 experts de la DIRISI et d’Airbus, prestataire de l’exercice, étaient mobilisés pour faire face à une série d’attaques cyber visant les systèmes d’information français. Les équipes étaient chargées d’identifier, d’analyser et de stopper l’offensive d’un « attaquant externe » qui ciblait les services communs de l’Intradef, l’intranet du ministère des Armées dont la DIRISI a la charge, avec une perte des moyens de communication traditionnels.

Le scénario a été imaginé afin de tester les réflexes des équipes et les perturber dans leurs opérations, avec des déploiements de malware sur d’autres fuseaux horaires, des publications sur les réseaux sociaux et des journaux télévisés dédiés aux cyberattaques régulièrement mis en ligne pour augmenter la pression sur les participants. Avec l’aide d’un Groupe d’Intervention Cyber (GIC) DIRISI dont les équipiers sont basés à Rennes, ils devaient trouver la meilleure réponse possible en respectant des contraintes de temps et de procédures. Pour le lieutenant Alexis, « les équipes étaient dynamiques, impliquées et à 100% dans l’exercice. Elles étaient très proactives dans la recherche de solutions. »

Une montée en puissance opérationnelle

Cet exercice était ainsi composé de plusieurs environnements représentatifs des écosystèmes des Technologies de l’Information (IT) et Lutte Informatique Défensive (LID), afin de coller au mieux à la réalité de la cyberdéfense. L’Adjudant Loïc, analyste cyber du SOC DIRISI souligne les bienfaits concrets de l’exercice : « L’exercice est toujours aussi intéressant pour le centre opérationnel de cyber sécurité de la DIRISI. Complet et adapté aux exigences du terrain, il reproduit les conditions réelles d’un SOC (outils, thématique, configuration, gestion d’équipe, synthèse de l’information). De plus, couplé à des échanges très constructifs, il contribue à la montée en compétences des analystes dans ce domaine exigeant. »

Le Centre National de Mise en Œuvre des Intranets de Maisons-Laffitte (CNMO-I MLF) a aussi engagé une équipe d’administrateurs SIC dans le cadre de la remédiation cyber. En lien avec le COD (centre opération de la DIRISI) et après prise en compte des analyses de l’équipe GIC, l’équipe SIC a pu réaliser les missions qui lui incombaient et valider ainsi l’efficacité de ses procédures. Pour le lieutenant Alexis, coordinateur de l’exercice, « cette édition a permis de poursuivre le travail sur les différentes procédures mises en places dans la détection et la réponse à un incident. L’exercice a mis en lumière l’excellent niveau des équipes. »