Dans ce secteur, la DRSD identifie les vulnérabilités et menaces susceptibles de porter atteinte aux personnes, matériels et informations sensibles du ministère.

Elle privilégie l’anticipation et s’appuie sur ses moyens propres. Elle travaille en partenariat avec des acteurs institutionnels tels que l’ANSSI, le CALID, le COM CYBER.

Par ailleurs, elle contribue à la lutte informatique en participant à la protection des systèmes d’information du ministère et de l’industrie de défense.

Ces missions peuvent avoir un caractère :

• préventif : sensibilisations, inspections, alertes ;
• curatif : analyse des cyber-attaques, soutien à la remédiation et encadrement de la reprise d’activité.

Cas concret

Cas cyberespionnage Une entreprise de défense subit pendant trois jours un blocage de ses systèmes d’information. Elle mène des actions de contrôle et se rend compte qu’une attaque est en train d’être opérée à partir de ses réseaux WIFI. Ses recherches désignent un ordinateur extérieur à l’entreprise. Cette machine étant présente sur son site, elle parvient à la saisir.

Elle réalise alors une copie intégrale du système, immédiatement transmise à la DRSD ainsi que les premiers éléments concernant le propriétaire de cet ordinateur. Ce dossier est traité sur la base d’une analyse technique et d’une enquête de terrain. Afin de conduire une analyse complète et exhaustive, la DRSD s’appuie sur un travail collaboratif avec les services partenaires spécialisés. L’analyse de l’ordinateur par des techniques d’inforensic confirme le mode d’action de l’attaquant et caractérise la pile logicielle utilisée : en pénétrant le réseau WiFi de l’entreprise, il cherchait à activer des malwares sur des postes bien ciblés au sein de l’entreprise. Le blocage des réseaux a été provoqué par un problème pendant le déroulement de l’attaque. L’enquête terrain, conduite en parallèle, va préciser l’environnement de l’individu, ses contacts et ses centres d’intérêt.

Ces résultats confirment les éléments obtenus grâce à l’analyse technique. Une première évaluation de ses motivations est donc élaborée ainsi qu’une ébauche de la menace qui pèse sur l’entreprise : les malwares placés sont des « keylogger » qui enregistrent les touches frappées sur les claviers. L’individu cherchait, dans un premier temps, à capter des informations techniques pour étendre son attaque à un des principaux clients de cette entreprise. Il tentait ainsi de contourner la sécurité des réseaux du client qu’il n’aurait jamais pu pénétrer de manière frontale. La DRSD a transmis à l’entreprise les éléments nécessaires pour bloquer les effets de l’attaque et identifier les malwares. L’affaire est judiciarisée.

En situation de crise, la DRSD a accompagné cette entreprise, en caractérisant la cyberattaque, en donnant à l’industriel les éléments nécessaires pour entraver l’action du cyberattaquant et en évaluant le préjudice. Enfin, une fois la remédiation opérée par l’industriel, des ingénieurs SSI de la DRSD l’ont aidé à mettre en œuvre les préconisations de certains textes réglementaires, permettant ainsi de rehausser son niveau global de sécurité.