7h25, le 26 juin 2017. Deux heures après le déclenchement de l’opération aéro-terrestre, un vent de panique se propage dans la plupart des postes au niveau des commandements tactiques et du commandement interarmées de théâtre (PCIAT). La majorité des postes de travail et des serveurs s’éteignent brusquement et redémarrent pour ne laisser afficher qu’un message d’erreur indiquant l’absence d’adresse d’amorçage de disque.

La concomitance et l’ampleur des incidents sont telles qu’une panne simultanée et collective est rapidement exclue. Le système subit les conséquences d’une attaque informatique. Il convient pour le commandement de réagir vite. L’opération est en cours mais ni les postes de commandement tactique ni le PCIAT ne sont en mesure de la conduire dans les conditions optimales apprises au cours de l’entraînement. Le point des capacités SIC, rapidement établi par les unités interarmes de module SIC indique que seuls la téléphonie, les liaisons radio et quelques postes de travail et systèmes isolés restent opérationnels. Par ailleurs, les systèmes touchés par ces incidents ne doivent plus être considérés comme opérationnels car malgré l’agilité, la compétence et la polyvalence des administrateurs, il ne peut être envisagé de remédier à cet état dans des délais compatibles avec les premières phases de l’opération en cours. Pire, les premières données sauvegardées en ligne sur les serveurs dédiés à cet effet ont subi des dommages irréparables. L’ensemble des données sauvegardées sur les machines touchées sont perdues définitivement.

Le commandant de la Force décide de basculer sur le plan « Phœnix » planifié dans l’ordre d’opérations, en cas de crise « cyber ». La reconfiguration du C2¹ est rapidement mise en œuvre et l’opération est poursuivie en mode très dégradé avec les systèmes opérationnels restants le temps que la situation nominale soit rétablie.

Le commandement de la cyberdéfense est alerté et déploie un groupe d’intervention rapide (GIR) du CALID² dans les 48h. Dès lors, il mène les premières investigations « forensiques » et définit les mesures de remédiation dans le cadre de la reconstruction du système en liaison avec le commandement des systèmes d’information et de commandement (COMSICIAT) du théâtre. Les analyses montrent rapidement que les systèmes d’information opérationnels ont bien fait l’objet d’une attaque informatique ciblée. Un code malveillant s’est propagé sur tous les postes, serveurs et objets connectés, en utilisant une vulnérabilité de type 0-day³, pour s’installer puis s’activer à une date et une heure précises en chiffrant à la volée toutes les données du disque (données systèmes comprises). Les principales mesures de remédiation consistent à réinstaller l’ensemble des postes, serveurs compromis ou non des systèmes, nettoyer l’ensemble des espaces de stockage tout en intégrant des mesures spécifiques de filtrage le temps qu’un correctif (patch) de sécurité soit développé d’ici quelques semaines par l’industriel chargé du maintien en condition opérationnelle du système.

Les investigations ont révélé que la compromission du système proviendrait d’un fichier contenant un code malveillant activé lors de son ouverture. Les premières traces remontent à un poste d’insertion de données et permettent d’identifier une clé USB par laquelle le fichier aurait transité. L’analyse antivirale, pourtant active durant les faits et à jour de sa base de signature, n’a révélé aucun fichier suspect. L’interconnexion des systèmes d’information, condition nécessaire pour permettre la subordination directe au PCIAT des éléments tactiques déployés sur le terrain, a facilité la propagation du code malveillant sur tous les systèmes vulnérables. Un second code a également été découvert. Ce dernier aurait migré depuis un poste de contrôle de supervision des caméras de surveillance. L’analyse du code aura permis de mettre en lumière un mode opératoire et une vulnérabilité permettant à un attaquant de compromettre un système informatique isolé en envoyant des signaux infrarouges à des caméras de surveillance à une distance de dix à plusieurs centaines de mètres⁴.

Ce scénario catastrophe, certes fictif, met néanmoins en évidence une réalité⁵ probable dont les conséquences pourraient se révéler à fort impact sur des capacités opérationnelles.

Les systèmes d’information sont devenus des outils indispensables qui contribuent largement à améliorer l’efficacité de notre outil de défense, tant dans le fonctionnement courant du ministère des armées que pour les missions des armées. Ils constituent une des clés de la supériorité opérationnelle. Pour autant, ils sont également la source de nouvelles vulnérabilités car notre dépendance à ces systèmes s’est accrue. La donnée, quant à elle, constitue l’essence de tout système d’information et par association de toute opération militaire ou activité.

Ces systèmes d’information, qu’ils soient connectés ou non à d’autres systèmes, font partie d’un milieu plus étendu dénommé le cyberespace⁶ et dont les frontières perméables par nature, même en cas de séparation physique ne garantissent plus un niveau de protection suffisant face à la menace cyber⁷. Qu’ils soient issus de groupuscules hacktivistes, mafieux ou étatiques, les modes opératoires se renforcent, se spécialisent, s’industrialisent et se partagent. En outre, les effets collatéraux sont difficiles à maîtriser.

Le livre blanc sur la défense et la sécurité nationale le définit comme un milieu à part entière au même titre que l’air, la mer, la terre et l’espace extra- atmosphérique. Il possède néanmoins des caractéristiques qui lui sont propres et il constitue le substrat sans lequel aucune activité ne peut aujourd’hui être conduite dans les autres milieux. Dans le cadre des opérations militaires, le cyberespace est désormais un champ de confrontation. A ce titre, le ministère des armées doit pouvoir agir en sécurité dans un environnement de plus en plus numérisé et assurer les engagements opérationnels même sous agression informatique.

Les données et les systèmes d’information sont des actifs qui comme tout autre actif du ministère des armées, ont une valeur et doivent être protégés des dangers et des menaces, internes et externes, à la fois en confidentialité⁸, en intégrité⁹ et en disponibilité¹⁰ à la hauteur des exigences recherchées.

Parmi l’ensemble des domaines répondant aux défis de protection, de résilience et de défense des données et des systèmes d’information, la sauvegarde constitue un enjeu majeur.

La sauvegarde, c’est quoi ? C’est la garantie de préserver quelque chose contre toute atteinte qui lui serait portée. C’est un concept souvent rapproché à une procédure de protection des informations contenues dans un système informatique¹¹, par copie de ces informations sur des ressources externes (disque, bande magnétique, cloud¹², etc.). Elle relève néanmoins de la cyberprotection, ensemble des moyens, techniques ou juridiques, qui contribuent à assurer la cybersécurité, état d’un système d’information qui résiste aux cyberattaques et aux pannes accidentelles survenant dans le cyberespace.

Que faut il sauvegarder ?

• « Rien » constituerait un choix particulièrement suicidaire au regard des enjeux du ministère. La perte accidentelle ou volontaire de quelques données sensibles ou de quelques matériels peut engager la responsabilité du commandement mais surtout perturber la capacité du système de forces à assurer la mission. Dans une moindre mesure, rappelez-vous la frustration ressentie d’avoir manqué de sérieux, dans des circonstances qui aurait pu être évitées en appliquant quelques principes de sauvegarde, lorsque votre esprit se rend compte de la perte définitive de données importantes suite à une erreur de manipulation ou un défaut technique de son ordinateur ou de son Smartphone. C’est d’ailleurs toujours au moment où on s’y attend le moins qu’arrive la catastrophe.
  

• « Tout » doit constituer un choix réfléchi tant le coût et la nature des solutions techniques peuvent vite s’emballer. La numérisation croissante de l’espace de bataille et du nombre d’objets connectés dans tous les systèmes de forces (systèmes d’armes, capteurs embarqués : géolocalisation, santé, logistique, etc.) entraîne une augmentation exponentielle du volume de données produites. Selon le cabinet IDC¹³, les données numériques créées en 2020 devraient représenter, au niveau mondial, un volume de 44 000 milliards de giga-octets, soit 10 fois plus qu'en 2013. Néanmoins, l’avènement des technologies du Big DATA¹⁴ et de l’intelligence artificielle, facilité par l’augmentation de la puissance de stockage et de calcul des ordinateurs, constitue une opportunité pour la Défense d’exploiter cette manne gigantesque de données afin d’améliorer non seulement l’efficacité de son organisation mais également ses performances opérationnelles notamment en matière de planification et de conduite des opérations, de renseignement, de cybersécurité, d’entraînement, de gestion des ressources humaines, de gestion des flux logistiques et de santé.

Le compromis se situe à un niveau adapté à chaque système d’information. La réponse qui constitue la stratégie de sauvegarde résulte d’une démarche d’analyse des risques dans un contexte d’emploi et de menaces spécifiques.

Quatre types de  données  sont  à  mettre  en  perspective dans cette analyse :

1. les données de configuration du système (logiciels d’installation, documentation de configuration, etc.) nécessaires à la réinstallation du système d’information dans un état initial ;
2. les données de sécurité (journaux de sécurité) nécessaires à toute analyse a posteriori en cas d’incident ;
3. les données contextuelles (annuaires, cartographie, données de mission, etc.) nécessaires à la reprise de situation d’avant incident ;
4. les autres données notamment collectées en cours de fonctionnement.
   

La sauvegarde relève d’une obligation réglementaire et parfois légale. La politique de sécurité des systèmes d’information des armées (PSSI-A¹⁵) qui s’applique à l’ensemble des systèmes d’information des armées, regroupe un recueil de règles dont l’application peut permettre de garantir un niveau de confiance satisfaisant.

L’élaboration de la stratégie de sauvegarde s’initie au plus tôt dans le cycle de vie du système d’information au travers des objectifs de sécurité fixés dès la phase d’initialisation d’un projet ou d’une opération d’armement. L’absence de stratégie de sauvegarde doit être considérée comme une vulnérabilité critique du système d’information.

Une stratégie de sauvegarde efficace repose sur des mesures techniques de protection affermies par une organisation et une préparation opérationnelle adaptées aux dangers et aux menaces retenues. En effet, la réponse à un incident ne peut se limiter à des mesures techniques mais à des scénarii pensés prenant en compte toutes les facettes des capacités en présence (humaine, doctrine et outils).

Plusieurs impératifs s’imposent à toute stratégie de sauvegarde. Il s’agit de définir, a minima :

• les données jugées nécessaires permettant de restaurer l’activité avant En d’autres termes, il s’agit de déterminer quelles données pourraient être perdues sans que cela ne contraigne trop l’activité ;
• les technologies et types de sauvegarde (en ou hors ligne, support, etc.). Les moyens techniques sont nombreux mais peuvent s’avérer complexes. Ils doivent être pensés en amont de toute conception d’un système d’information en adéquation avec les besoins opérationnels exprimés ;
• la fréquence des sauvegardes. Elle caractérise le taux de perte acceptable des données sauvegardées ;
• la procédure d’administration et d’exécution des sauvegardes nécessaire pour organiser l’action du personnel technique SIC ;

• Source IDC (International Data Corporation - IDC est un acteur mondial des études sur les marchés des Technologies de l’Information, et des Télécommunications).
• La science de l’analyse des données.
• Publication interarmées PIA-3.20.2_CYBER-FR(2016)N°D-16- 007151/DEF/EMA/SCOPS/CYBER/DR du 08 juillet 2016. L’autorité qualifiée CEMA énonce au travers de la PSSI-A les principes et règles destinés à définir les actions relatives à l'organisation, aux techniques et aux procédures permettant de s'opposer efficacement aux menaces identifiées et de préserver ainsi les intérêts des forces armées. Ce document est la référence de plus haut niveau, dans le domaine de la SSI, applicable directement au sein des armées.

• les mesures de protection des sauvegardes. Il est important que les sauvegardes ne soient pas soumises aux mêmes risques que les données en production ;
• les procédures de test de restauration. La réactivité d’un centre SIC repose sur un état de préparation avancée afin de remonter un système d’information ;
• la procédure de destruction des supports ayant contenu les

Pour autant, la réalité montre que les systèmes d’information ne sont pas tous égaux en matière de stratégie de sauvegarde malgré les exigences imposées par la PSSI-A. Au-delà de l’aspect réglementaire, le commandement qui emploie les systèmes d’information notamment en opération, doit maîtriser l’état de préparation de ses hommes mais aussi de ses moyens techniques. Une approche saine consiste à poser directement au responsable SIC du système un certain nombre de questions :

• quelles sont les données sauvegardées ?
• sont-elles suffisantes pour garantir, a minima, une analyse a posteriori des événements de sécurité et un retour à un état de fonctionnement et de sécurité satisfaisant ?
• quand mon système tombera, quelle organisation a été définie et testée pour le restaurer et en combien de temps ?
• où sont les sauvegardes ?
• comment sont-elles protégées ?
• sont-elles soumises au même risque que le système sauvegardé ?
• à quand remonte le dernier test de restauration et quel est le résultat ?

Finalement, toutes les questions qui relèvent pour la plupart du bon sens permettant de comprendre l’état de la capacité de sauvegarde sont à poser.

La menace de type « ransomware ».

Les logiciels de type « ransomware »¹ constitue une menace considérée comme très sérieuse. Le ministère des armées n’est pas à l’abri d’être infecté par un « crypto-ransomware » non connu des différents éditeurs d’outils de sécurité. En outre, la probabilité de récupérer les données en cas d’infection reste particulièrement faible.

Se prémunir ou contrer les effets d’un tel type de menace est néanmoins possible et repose sur quelques principes de bon sens :

• sauvegarder régulièrement les données reste la mesure préventive la plus efficace pour limiter les effets. S’il n’existe pas de procédures automatisées, il est fortement conseiller d’effectuer régulièrement une sauvegarde de ses données les plus sensibles sur un support externe et déconnecté. Ne laisser brancher le disque dur externe qu’au moment des sauvegardes et utiliser principalement une clé USB pour les transferts réguliers. Attention : il conviendra de vérifier l’innocuité de la sauvegarde, la restauration pouvant relancer l’infection ;
• se méfier des pièces jointes reçues de mails douteux : si l’expéditeur n'est pas clairement identifié et que le texte montre une incohérence flagrante, il est primordial de ne pas ouvrir les pièces jointes ni cliquer sur des liens présents dans le message mais de rendre compte immédiatement au correspondant SSI et/ou, si possible, contacter l’émetteur affiché dans le mail suspect pour confirmer son identité, l’envoi du mail, la présence de la pièce jointe à la transmission du mail et le cas échéant la nature de la macro associée.

De manière générale, le respect des règles fondamentales inhérentes à une bonne hygiène informatique reste un rempart efficace face aux menaces déjà connues. A minima, rendre compte au plus vite en cas d’apparition de symptômes contribue fortement à limiter la propagation de malware.

Un ransomware (ou rançongiciel) est un code malveillant (malware) qui prive un utilisateur de l’accès à ses fichiers. Pour les recouvrer, l’attaquant propose souvent à la victime le paiement d’une rançon, généralement en bitcoin. On parle de crypto-ransomware lorsque le malware chiffre les fichiers.

Une fois confronté à la perte du système d’information ainsi que de ses données, se rendre compte trop tard de l’incapacité à les restaurer constitue un risque inacceptable. Aussi, le résultat d’un contrôle de l’efficacité de l’organisation et des procédures de sauvegarde s’avère un indicateur capacitaire pour tout responsable de composante en termes de cyberrésillience, c’est-à-dire la capacité d’un système d’information à résister aux cyberattaques et aux pannes accidentelles, puis à revenir à un état de fonctionnement et de sécurité satisfaisant.

L’effort à porter sur les sauvegardes est nécessaire mais n’est pas suffisant. En effet, la situation dans laquelle toute restauration d’un système n’est plus possible (compromission - en d’autres termes, les données de sortie voir le système lui-même ne sont plus de confiance - ou destruction – physique ou chiffrement des données - des sauvegardes et du système) doit être considérée comme  une hypothèse probable. Cette situation de crise « cyber » doit amener le commandement à imaginer un fonctionnement en mode dégradé, avec ou sans le système compromis. Qu’on l’appelle plan de continuité d’activité (PCA), plan de secours, ou autres, il constitue une réponse organisationnelle et non technique face à un événement perturbant gravement nos modes opératoires. La figure 1 représente le processus d’ensemble de traitement d’une catastrophe appliquée à une crise « cyber ». Ce plan implique une préparation et un entraînement spécifique afin de basculer d’un mode opératoire à un autre le plus vite possible afin de ne pas rajouter une crise à une crise. Les moyens techniques mis en œuvre ainsi que les données associées dans le cadre de ce plan de continuité d’activité devront également être sauvegardés. Ils constitueront une source nécessaire permettant, à l’issue du traitement de lutte informatique défensive (LID) par les experts mandatés, d’assurer une reprise d’activité dans un cadre de fonctionnement nominal du ou des SI compromis.

S’astreindre à des procédures de sauvegarde n’est pas si contraignant et les avantages sont infiniment plus grands quand vous vous retrouvez dans la situation très inconfortable d’une perte de données ou plus largement de votre système. La démarche n’est pas seulement vertueuse, c’est une obligation. Certaines menaces peuvent la perturber. Néanmoins, elle constitue un rempart contribuant à réduire les risques de pertes totales de capacités militaires à opérer. Anticipation, suivi de  capacité et adaptation sont des principes qui doivent guider le chef militaire en opération dans la prise en compte du danger ou de la menace cyber.

1 Command and Control.

2 Centre d’Analyse en Lutte Informatique Défensive ou CALID est le centre opérationnel en charge de la défense des systèmes d’information du ministère. Il met en œuvre une large palette de fonctions telles que l’anticipation, la conduite d’opération cyber, la cybersurveillance, l’analyse forensique et l’aide à la reconstruction de systèmes compromis. Il assure le noyau dur de la capacité permanente d’intervention en métropole et sur les théâtres d’opérations. Le CALID exerce pour le ministère les fonctions de CSIRT (Computer Security incident Response Team)/CERT (Computer Emergency Response Team).

3 Vulnérabilité non publique et par effet ne faisant pas l’objet de mesures de contournement instruites.

4 https://arxiv.org/ftp/arxiv/papers/1706/1706.01140.pd

5 Une famille de codes malveillants dont l’un nommé REDBoot serait capable de remplacer la zone amorce du disque et de modifier la table des partitions du disque dur. Il aurait été conçu dans le seul but de détruire.

6 Espace constitué par les infrastructures interconnectées relevant des technologies de l’information, notamment l’internet, et par les données qui y sont traitées.

7 Le fait qu’une personne ou une entité ait la possibilité ou bien l’intention (affichée ou non) d’infliger des blessures, la mort ou des dommages matériels à une autre personne ou un groupe de personnes. Sans intention, on parle plutôt de danger.

8 Caractère réservé d’une information dont l’accès est limité aux seules personnes ayant le droit et le besoin d’en connaître.

9 Garantie que l’information n’est modifiée que par une action volon- taire et légitime.

10 Accès à l’information dans des conditions définies d’horaires, de délais, de performances et de lieu.

11 la fonction de stockage dans un système d’information ne s’intègre pas dans le concept de sauvegarde.

12 la sauvegarde peut faire appel à des technologies complexes en ligne permettant de s’affranchir des risques matériels.

 13 Source IDC (International Data Corporation - IDC est un acteur mondial des études sur les marchés des Technologies de l’Information, et des Télécommunications).

14 La science de l’analyse des données.

15 Publication interarmées PIA-3.20.2_CYBER-FR(2016)N°D-16- 007151/DEF/EMA/SCOPS/CYBER/DR du 08 juillet 2016. L’autorité qualifiée CEMA énonce au travers de la PSSI-A les principes et règles destinés à définir les actions relatives à l'organisation, aux techniques et aux procédures permettant de s'opposer efficacement aux menaces identifiées et de préserver ainsi les intérêts des forces armées. Ce document est la référence de plus haut niveau, dans le domaine de la SSI, applicable directement au sein des armées.