Valérie Cantin : Expliquez-nous ce qu’est DEFNET à la DIRISI ? Une fois par an est-ce suffisant ? 

CF Romuald : Pour la DIRISI, DEFNET est une occasion annuelle d’entraîner ses cyber-combattants à réagir face à différents incidents cyber sur les systèmes et réseaux transverses et vitaux pour le ministère des Armées dont elle a la responsabilité. Cet entrainement réunit 3 prérequis clés : primo : être en présence de toutes les armées, directions et services du ministère ; secundo : se dérouler dans un environnement international fictif ; tertio : simuler une crise cyber majeure. Aucun autre exercice cyber ne réunit ces 3 conditions sur 15 jours, conditions indispensables pour entraîner nos centres et nos hommes avec le plus de réalisme possible. Une fois par an, c’est bien au regard du travail de préparation en amont et de la mobilisation de ressources multisites. Mais ce n’est pas le seul exercice cyber dans l’année, la DIRISI participe également à des exercices montés par chacune des trois armées. Enfin, la DIRISI a son propre exercice appelé C3PO qui a lieu tous les ans et dont l’envergure est bien entendu plus réduite.

VC : Comment sait-on si on a réussi cet exercice géant d’entraînement cyber ? 

CF R : Pour la DIRISI, cette année l’exercice est jugé réussi si les deux objectifs fixés au départ sont atteints. Premièrement, il fallait entraîner l’ensemble de notre chaîne de cyberdéfense, des échelons tactiques en bas jusqu’à notre officier de lutte informatique défensive (OLID) en haut. Après la transformation de la DIRISI en août 2020 qui a donné naissance aux pôles opérationnels dont le Pôle Opérationnel Sécurité Administration (POSA), il était important de vérifier que notre chaîne de lutte était toujours apte à traiter des incidents cyber dans un contexte de crise majeure. Au travers d’une simulation digne d’un gaming catastrophe, nous avons en amont élaboré un scenario cohérent avec le scenario haut de l’exercice élaboré par le COMCYBER. Après coup, nous avons constaté la réussite de la remontée d’informations après la détection de plusieurs incidents cyber, leur bonne prise en compte ainsi que la juste coordination des différentes entités de la DIRISI à la manœuvre en cyberdéfense.

DEFNET a également permis d’activer avec succès et pour la première fois une cellule de crise cyber interne, créée seulement pour l’occasion. Celle-ci a été constituée de 4 à 5 personnels de la direction centrale et a été activée par l’Officier de lutte informatique défensive de la DIRISI (OLID). 

Le second objectif consistait à entraîner nos équipes tactiques cyber à intervenir de manière simultanée sur le lieu d’incidents cyber pour valider ou invalider une alerte ou un comportement suspect. Objectif atteint puisque trois équipes d’intervention cyber (issues d’un vivier de 60 personnes réparties sur 8 centres de la DIRISI, tous rattachés au POSA) ont permis sur le terrain d’effectuer une levée de doute en réalisant des « prélèvements numériques » [NDLR : extraire des données d’un matériel informatique] sur les postes informatiques suspects, en effectuant des vérifications et en transférant ces prélèvements aux entités en charge de leur analyse, comme le Security Operational Center (SOC) de la DIRISI ou le Centre d’analyse en lutte défensive (CALID) du COMCYBER.

VC : Quel rôle a joué le Pôle opérationnel sécurité administration dans cet exercice et était-il le seul en jeu ? 

CF R : Le POSA est intervenu en deux temps dans le cadre de DEFNET. 

Dans un premier temps, d’octobre 2020 à début mars 2021, il a géré le montage et la préparation de l’exercice, en construisant quatre scénarios au profit de la DIRISI pour atteindre les deux objectifs d’entraînement pré-cités. Il a également appuyé et conseillé les armées, directions et services dans la construction de leur propre scénario. Cela a permis de réajuster par anticipation les effectifs de la DIRISI et de sélectionner les actions ou réactions à simuler pendant le véritable exercice. Plusieurs centres nationaux de la DIRISI - rattachés ou non au POSA - et l’état-major ont collaboré dans cette préparation primordiale. Pour détailler : les 3 CNMO Intranet rattachés au POSA ont de leur côté servi à injecter des scénarios et à jouer les victimes. Ils ont accueilli 2 des 3 équipes d’interventions, la 3e étant intervenue à l’état-major du POSA. Sur place, ces équipes ont effectué des prélèvements de postes informatiques suspects : ils ont inspecté la mémoire de l’équipement, le système et fait une copie du disque dur du système, afin de procéder aux premières investigations et de les recouper avec les usagers de ces postes (simples victimes ou cyber-attaquants de l’intérieur, dénommé insiders). La pertinence des questions aux usagers est essentielle : qu’est-ce qui s’est passé avant les premiers signes suspects ? quel matériel USB avez-vous utilisé ? Car le diagnostic permet d’évaluer les impacts opérationnels de l’incident. Puis la synthèse du diagnostic est remontée en central au centre des opérations cyber du ministère qui a une vue globale et transverse et a plus de cas d’école à son actif, donc plus d’indices pour répondre à la problématique. 

Dans un deuxième temps, du 15 au 26 mars, le POSA a été le garant du bon déroulement de l’exercice lui-même grâce à son équipe d’animation dont il a fourni la ressource humaine. Cette équipe a préparé des scénarios (l’état-major du POSA et son webmestre, ont codéveloppé de fausses pages web) et également participé à des scénarios du ministère des Armées et autres directions et services - pour une cohérence d’ensemble. Un centre opérationnel de sécurité (SOC) créé pour l’occasion devait défendre un intranet sensible (simulé sur une plateforme d’entrainement) contre des cyber-attaquants. 

Le POSA a ainsi fourni 12 personnels pendant ces deux semaines d’exercice. 

Mais le POSA n’était pas seul en jeu : le centre opérations de la DIRISI (COD) à Maisons-Laffitte et la cellule de crise cyber DIRISI montée pour la circonstance au Kremlin-Bicêtre ont mobilisé 4 personnels de la sous-direction cyber et de l’état-major opérationnel (EMO) jusqu’à l’OLID. L’ensemble de la chaîne cyberdéfense de la DIRISI a été mobilisée dans le jeu, soit une vingtaine de personnes.

VC : Qu’apprend-on humainement d’un tel exercice ? les leçons à en tirer ? 

CF R : Nous apprenons à agir et réagir en situation de stress maximal où chaque action est pesée avec rigueur, où les conséquences de chaque acte sont anticipées avec pragmatisme et technicité, tout en conservant une excellente réactivité pour contrer l’ennemi. Un savant mélange de souplesse et de vivacité d’esprit. 

Humainement il faut faire preuve de capacités d’adaptation pour travailler différemment du temps normal, pour collaborer avec des interlocuteurs inhabituels comme la cellule de crise cyber de la DIRISI et celle du ministère [créées pour la circonstance], et enfin pour composer avec le changement inopiné de chef. Il faut être curieux en posant les bonnes questions et ne rien oublier dans le check up de la situation et dans l’évaluation des impacts réels et potentiels sur les unités, il faut savoir remonter le cours des événements avec logique et bon sens. Il faut également avoir un bon esprit de synthèse pour vulgariser les informations recueillies, transmettre des éléments à la fois techniques et globaux pour permettre aux échelons supérieurs de prendre les bonnes décisions. Il faut anticiper, être préparés et réactifs pour se réorienter au moindre changement de paramètre. 

L’autre intérêt majeur de DEFNET est de croiser nos expériences et nos savoir-faire avec d’autres acteurs cyber du ministère.