Les contenus multilingues proposés sur le site sont issus d'une traduction automatique.
 

 
 
 
 
 
Français
English
Français
English
 
 
 
Afficher
 
 
 
 
 
Afficher
 
 

Autres sources

 
Saut de ligne
Saut de ligne

La conduite d’opérations de cyberdéfense

BRENNUS 4.0
Sciences & technologies
Saut de ligne
Saut de ligne

Depuis 2013, le Livre blanc sur la défense et la sécurité nationale affirme que le cyberespace est désormais un champ de confrontation à part entière, tandis que notre stratégie est pensée de manière à ce que notre souveraineté nationale puisse s’y exercer et être respectée. Au-delà des mots et de la nature du cyberespace, une réalité bien tangible se fait jour où des États et de puissants groupes assument l’expression de leur territorialité dans ce nouvel espace. Dans ce contexte tumultueux, il devient donc indispensable, pour la France et le ministère des armées en particulier, de mener des opérations de cyberdéfense.


Quel milieu de confrontation pour quelles opérations ?

A l’instar d’autres champs de confrontation, il existe pléthore de types d’opérations de cyberdéfense. Toutefois, le découpage en plusieurs couches du cyberespace et son positionnement transverse aux quatre milieux traditionnels, méritent quelques instants de réflexion. Ainsi, il est de coutume de décomposer le cyberespace selon trois niveaux. Le premier représente le niveau physique, soit les infrastructures telles que les datacenters, les coeurs de réseaux ou encore les câbles informatiques. Le second, quant à lui, représente le niveau logique, soit les données qui sont stockées au sein de ces infrastructures physiques et la manière dont elles sont formatées, puis interprétées lorsqu’elles sont en mouvement au travers des réseaux. Enfin le niveau cognitif qui représente le sens donné à cet ensemble d’informations logiques au travers du contenu des sites, des courriels ou encore des messages et autres contenus publiés au sein des réseaux sociaux.

 

Ainsi, il est possible d’agir au sein du cyberespace mais aussi depuis le cyberespace à destination des quatre milieux Terre, Air, Mer et Espace. Du point de vue du ministère des Armées, cela revient à mener des opérations de Lutte Informatique Offensive (LIO) et de Lutte Informatique Défensive (LID) dans un cadre légal clair, qui décrit l’emploi de l’arme cyber, partout où les armées sont engagées.

 

A ce propos, le CEMA, dans son discours prononcé en janvier 2019 à l’occasion de la publication par le ministère de sa politique LID et de la doctrine d’emploi de la LIO à des fins militaires, résumait alors l’ensemble du spectre des missions militaires selon le triptyque « renseigner – défendre – agir ». Il ajoutait que les nouveaux moyens de lutte (i.e. cyber) pouvaient dès lors « se combiner et, si nécessaire se substituer aux autres capacités militaires […] ». Ici, il est plus intéressant d’étudier la combinaison des capacités cyber, notamment défensives, en appui d’opérations cinétiques traditionnelles.

 

Quel champ de bataille pour une opération de cyberdéfense ?

Dans cette perspective, il est tout d’abord nécessaire d’identifier la zone d’opérations cyber. Cette phase est particulièrement complexe car celle-ci n’est pas restreinte à un seul milieu ou une seule zone géographique. A titre d’exemple, des aéronefs sont employés pour assurer une mission de défense aérienne au-dessus d’un théâtre d’opérations où sont engagés d’autres moyens terrestres français. Nous pourrions considérer ici que la zone d’opération serait limitée aux systèmes d’information et de communication de ce théâtre. En réalité, les sous-systèmes de chacun des matériels déployés, du véhicule numérisé au système de pilotage de drones en passant par les systèmes bureautiques qui équipent désormais tous les états-majors, font également partie de cette zone d’opération cyber. Mais plus encore, il faut également prendre en compte la base aérienne et les services logistiques d’où sont partis les aéronefs et pourquoi pas une seconde base aérienne d’où partiraient d’éventuels avions ravitailleurs si l’élongation le nécessitait. A ce propos, une différence notable apparaît face à la définition d’une zone d’opération, généralement qualifiée d’extérieure, pour les théâtres cinétiques : le champ de bataille cyber est constitué de nos propres systèmes. C’est en quelque sorte en terrain connu que les opérations de cyberdéfense sont conduites. Pourtant il faut combattre l’idée selon laquelle cela confèrerait au défenseur un avantage considérable, puisqu’il serait en terrain connu.

 

Tout d’abord, l’établissement et le maintien à jour d’un schéma relationnel entre les opérations constituées de différents vecteurs (e.g. drones de reconnaissance, aéronefs, escadrons de cavalerie, etc.) et la connaissance des très nombreux systèmes d’information et de communication associés à l’engagement de ces vecteurs n’existe pas de manière unifiée. Certes, l’expérience et l’expertise des opérateurs de ces systèmes permettent de s’en faire une idée. Celle-ci demeure toutefois très fragmentée, incomplète et finalement assez peu opératoire.

 

Ensuite, un opérateur des systèmes d’information et de communication aura toujours, malgré lui, une certaine réticence à rechercher les fonctions critiques des systèmes qu’il exploite, de crainte de remettre en question les principes d’architecture technique et de fonctionnement de son système de systèmes qui conduiraient mécaniquement à des indisponibilités. Ces interruptions de service sont antinomiques à la mission principale des opérateurs, qui est d’assurer les usagers opérationnels d’un service rendu en « tout temps et en tout lieu ».

 

Enfin, la définition des fonctions critiques diffère selon les points de vue « mission » ou « technique ». Ainsi, un opérateur aura tendance à énumérer, par exemple, les serveurs centraux qui assurent l’exécution de tâches essentielles au fonctionnement du système. Bien que cette démarche ne soit pas totalement erronée, elle n’est pas nécessairement alignée avec une lecture plus opérationnelle et souvent détaillée de la ou des missions de la force. A titre d’exemple, certaines fonctions de coordination avec les alliés ou de l’approvisionnement en munitions sont essentielles à la réalisation de la mission, mais peuvent dépendre de fonctionnalités simples (logiciels, portails d’information, etc.). Si ces derniers venaient à être ciblés, ils ne représenteraient pas de risque pour les systèmes en général, mais impacteraient directement la réalisation de la mission.

 

Forts de ce principe, l’Alliance atlantique et les États-Unis notamment, ont développé une doctrine selon laquelle des opérations de LID peuvent être menées en appui d’opérations classiques dans l’intention de défendre les systèmes essentiels à la réalisation de la mission. Ce concept est baptisé Cyber Mission Assurance. Toutefois, la défense de ces systèmes ne signifie pas qu’il faut en contrôler le niveau de sécurité. Cela implique un certain dynamisme, une manoeuvre qui permettra aux systèmes essentiels à la réalisation de la mission (cf. supra) de continuer à opérer, même de manière dégradée, i.e., sous la contrainte d’une pression, de quelque nature que ce soit, qui serait exercée par un ou plusieurs adversaires. Autant d’éléments avec lesquels il est possible de construire une manœuvre, pour répondre à une agression. La finalité de la mission est bien de permettre à l’opération cinétique de se poursuivre, même si pour cela les SIC identifiés comme essentiels sont maintenus et opérés dans un état de fonctionnement dégradé.

 

Conduire une opération de cyberdéfense

On peut ainsi élaborer une manœuvre, assez classique par ailleurs, en trois phases : identifier/cartographier – déployer – surveiller, en mesure de réagir à un incident.

La première phase, consistant à identifier les fameux éléments clefs pour une manoeuvre de cyberdéfense, est menée selon les principes décrits plus haut. Concrètement, des tâches seront confiées aux opérateurs et aux opérationnels afin qu’ils recherchent et identifient, ensemble, tous ces éléments, sur la base d’une liste des missions ad hoc. Cela peut concerner : des machines client, des interconnexions réseau, des logiciels (opérationnels ou de gestion), des dépendances à des systèmes logistiques ou encore des adhérences à des tiers, industriels ou services de soutien du ministère. Pris individuellement, chacun de ces éléments n’aurait pas été identifié comme essentiel à la mission. Pour autant, la nature du cyberespace confère à l’opération une dimension qui dépasse l’emprise territoriale. Ainsi, un adversaire est en mesure de cibler un système actif en métropole afin de produire un effet contre la force projetée. Dans ce cadre, il convient de considérer chaque interface et connexion avec un autre système comme autant de points d’accès à surveiller et à défendre. Cependant, l’existence d’une posture permanente cyber, sur le modèle de la défense aérienne du territoire métropolitain, permet de disposer de moyens opérationnels qu’il suffit de compléter par la manoeuvre de LID ainsi initiée.

 

Dans un second temps, des mécanismes de surveillance adaptés au plus près des éléments clefs identifiés précédemment seront déployés ou activés. Avant de poursuivre, deux points méritent quelques instants de réflexion. Tout d’abord, une phase complète de l’opération sera consacrée au déploiement d’outils. C’est particulièrement étonnant alors qu’il est fait état dans la presse spécialisée, comme dans celle plus généraliste, que l’instantanéité de l’action est une caractéristique déterminante du cyberespace. En sus et malgré la modernité des systèmes informatiques, les éléments qui les composent ne sont pas dotés de mécanismes de surveillance embarqués et automatisés.

 

S’agissant du premier point, l’instantanéité de l’action dans le cyberespace est le plus souvent l’apanage de l’attaquant. Son action, certes fulgurante, est le fruit d’un long travail de ciblage [1], de perfectionnement des outils, adossés à une solide expérience, qui lui permet de pénétrer puis de se mouvoir rapidement au sein du ou des systèmes ciblés. Pour le défenseur, il est nécessaire de s’intégrer dans la manoeuvre SIC du ou des opérateurs. Une grande coordination est requise car il convient de ne pas gêner le fonctionnement quotidien des milliers d’autres services et dizaines de milliers d’utilisateurs qui fonctionnent et travaillent parfaitement sans interaction directe avec l’opération. Toutefois, l’appréciation de la situation par le commandement peut nécessiter une dégradation des services au-delà des limites de l’opération. Là encore, la décision de l’action et de ses conséquences, lui revient. Il revient donc à la manoeuvre LID de présenter son action et ses éventuelles conséquences de manière claire. C’est là un lourd handicap et une des raisons pour lesquelles le fait de combattre sur son terrain ne confère pas d’avantage tactique face à l’adversaire. Ce dernier sera bien plus agile et ne s’intéressera qu’aux cibles qu’il aura choisies, alors que le défenseur devra composer avec de nombreux acteurs, souvent d’un niveau de maturité hétérogène et qui poursuivent, pour la plupart, leurs propres objectifs.

 

En ce qui concerne le second point, une analogie avec la préparation d’avions ravitailleurs peut être développée. Ainsi, une mission aérienne qui nécessiterait un ravitaillement en vol, ne permet pas de pré-positionner les avions ravitailleurs sur la piste, leurs cuves remplies et en attente du « vert mission », car leur train de roulage n’a pas été conçu pour supporter un tel poids au sol. A titre de comparaison, les outils qui seraient donc déployés au cours de la seconde phase de l’opération cyber se trouvent dans une situation identique. L’effort réalisé pour déployer de nombreux outils qui vont générer beaucoup d’informations et qui nécessiteront une analyse, certes automatisée, mais aussi des investigations poussées à chaque alerte, n’est pas tenable dans la durée. Nos infrastructures comme le personnel cyber combattant ne pourraient soutenir cet effort constamment. Il est donc nécessaire de trouver le juste milieu, de déployer les outils et de préparer le meilleur plan d’activation possible.

 

La troisième et dernière phase, « surveiller », correspond le plus souvent à l’image que l’on peut se faire des opérations de cyberdéfense, sans se douter des prérequis pour en arriver là. L’usage de l’ensemble des données collectées au cours des phases précédentes, afin de tenter de détecter des traces d’un adversaire y est essentiel. A cela s’ajoute la connaissance des tactiques, techniques et procédures du ou des adversaires identifiés dans l’analyse de la mission, qui viendra compléter l’ensemble. Deux modes d’action distincts peuvent donc être employés : soit la détection « passive » où des moyens de détection classiques et statiques seront utilisés, soit la détection « active » qui consiste à « chasser » l’adversaire. Ce second mode d’action requiert une connaissance aigüe du champ de bataille et des modes d’action adverses. Les plus expérimentés d’entre eux - les adversaires - rivalisent d’ingéniosité pour se couvrir, effacer leurs traces ou cacher leurs actions au travers d’échanges qui semblent tout à fait légitimes, tels que des échanges de courriel, la consultation de sites web à la réputation solide ou encore au travers des réseaux sociaux.

 

Là encore une autre caractéristique majeure du cyberespace apparaît. Le tempo de l’opération de cyberdéfense est en général différent de celui de l’opération cinétique à laquelle elle fournit un appui. Alors que l’opération cinétique est dans une phase d’attente, tout en restant vigilante, après avoir identifié les moyens et les unités qui seront utilisées, l’opération cyber s’affaire au déploiement de son dispositif et multiplie les travaux de renseignement sur le ou les adversaires qui pourraient menacer l’opération. Par la suite, l’effet majeur de l’opération cinétique, une frappe par exemple, marque souvent une condition décisive pour l’opération cyber. En effet, l’effort cyber est conduit au préalable des frappes et se poursuit de manière appuyée à l’issue, dans l’optique où d’éventuelles frappes de rétorsion de l’adversaire ou de ses proxys seraient conduites dans le cyberespace.

 

Combattre contre un adversaire

Enfin, dans l’éventualité où une action offensive cyber est portée contre notre dispositif, la bascule en un mode « gestion de crise » doit s’opérer de façon ordonnée et organisée. Les premières heures, précieuses, permettront de collecter suffisamment d’informations associées à l’attaque, pour permettre d’en apprécier le contexte, l’impact, etc. Il s’agira ensuite de solliciter et d’associer les entités idoines, telles que les opérateurs, les armées ou services concernés, afin d’apprécier dans le détail les éventuels impacts opérationnels, grâce à une grille de lecture du besoin opérationnel ou de la mission confiée. La coordination, le partage de la situation et l’appréciation de la menace sont la clef, afin d’être en mesure d’utiliser tous les leviers défensifs du ministère.

 

Cette synthèse est présentée au commandement qui dispose de sa vision propre des évènements en cours dans toutes les autres dimensions et qui décide de l’action opérationnelle à mener dans le cyberespace (i.e. attente et caractérisation, défendre, reconquérir, etc.).

A l’issue de cette appréciation de la situation initiale puis de la mise en alerte des acteurs, un processus de réponse à incident assez classique se met en place. Ce cycle, mis en oeuvre au niveau tactique, peut s’illustrer selon le principe d’une roue de Deming [2] adaptée.

 

Dans le cadre d’une alerte donc, la collecte d’éléments supplémentaires pour compléter l’appréciation technique est essentielle. Cela se traduit en général par l’envoi d’un groupe d’intervention réduit dont la mission sera, en toute discrétion, de collecter de nouvelles informations. Une analogie avec la mission « éclairer » peut être établie, car il convient, à ce stade, d’éviter d’engager l’adversaire afin qu’il ne cesse pas son attaque de manière brutale ou qu’il fasse évoluer son mode d’action vers des effets plus destructeurs. L’étape suivante consiste en l’analyse et l’extraction d’éléments techniques opératoires qui permettront de détecter une éventuelle présence de l’attaquant en d’autres lieux de nos systèmes. Ainsi, de nouvelles capacités de détection seront mises en oeuvre, qui permettront de trouver peut-être d’autres points de l’adversaire. Cela conduira à la collecte de nouveaux éléments et ainsi de suite...

 

Tout l’enjeu de ce processus est d’en raccourcir la boucle d’exécution de manière à ce que le rythme du défenseur (i.e. OPTEMPO) soit plus court que celui de l’attaquant, afin de gagner progressivement l’ascendant et ainsi créer une opportunité où l’initiative pourra être saisie. Dès lors, le défenseur sera dans une posture où il lui sera possible de casser le plan de l’adversaire, décider de le repousser en dehors des SIC du ministère et de lui interdire toute nouvelle action sur les systèmes essentiels à la mission.

Les opérations dans le cyberespace sont une réalité. Un sens stratégique et tactique aiguisé y est nécessaire pour s’adapter à ce nouveau champ de confrontation… et vaincre !

—————————

[1] Ou, dans certains cas, l’absence de ciblage sera compensée par une capacité de propagation et de réplication démesurée, comme pour les épisodes Wannacry et NotPetya en mai/juin 2017. L’instantanéité de l’attaque demeure réelle, quelques heures pour que le monde entier soit attaqué !

[2] La roue de Deming (de l'anglais Deming wheel) dite PDCA (Plan-Do-Check-Act) est un modèle d'amélioration continue utilisé en management de la qualité. La roue de Deming est un moyen mnémotechnique permettant de repérer avec simplicité les étapes à suivre pour améliorer la qualité dans une organisation.

 

Séparateur
Titre : La conduite d’opérations de cyberdéfense
Auteur(s) : le Commandant Nicolas Chevrier, du Commandement de la cyberdéfense
Séparateur


Armée