DEFNET 2022 : quand les EPITéens deviennent des cyber-défenseurs !
La situation est grave : le système d’information d’une entreprise de défense semble avoir fait l’objet d’une cyberattaque. Deux équipes de cyber-défenseurs sont alors missionnées par le ministère des Armées pour mener l’enquête et, surtout, sécuriser le système, le tout en seulement quelques heures. Voici le scénario auquel ont pu participer les 23 et 24 mars 2022 les étudiants de 4e année de la Majeure SRS de l’EPITA, à l’occasion de la nouvelle édition du DEFNET proposé par le Commandement de la cyberdéfense (ComCyber).
Organisé (et conçu) depuis 2014 par le ComCyber du ministère des Armées, le DEFNET est ce qu’on appelle un exercice interarmées de cyberdéfense permettant d’entraîner les forces armées en conditions réelles. Depuis 2015, cet exercice se décline aussi auprès des étudiants d’une poignée d’écoles en France, dont l’EPITA, à l’occasion de journées spéciales voyant des représentants du ComCyber investir les campus concernés pour challenger les futurs professionnels de la sécurité informatique. « Le DEFNET fait prendre conscience aux étudiants de la réalité de la cyberdéfense dans un écosystème particulier, largement transposable dans ce que nous faisons au quotidien, explique Philippe, chef de bureau recrutement du ComCyber. L’exercice peut aussi susciter chez les participants l’envie de nous rejoindre dans certaines spécialités en créant des vocations autour du pentest (tests d’intrusion), de l’investigation numérique (forensic) et de tous les métiers dans lesquels nous avons intérêt à recruter. En effet, l’État est toujours à la recherche de compétences, de volonté et de bon esprit sur ce sujet qui évolue constamment. » À en croire le responsable, ces besoins donnent lieu à des possibilités de rejoindre la réserve opérationnelle (« dans le périmètre du ComCyber, cela représente près de 600 cyber-combattants jusqu’à 2025 ») pour les futurs diplômés, mais pas seulement. « Au-delà de cette réserve, on a aussi besoin de cadres, pour des carrières courtes de 5 ans ou longues, et de personnel civil également. Aujourd’hui, cette dernière catégorie représente une vingtaine de postes, mais avec la loi de programmation militaire, ce chiffre va être amené à largement augmenter, comme l’a justement dit la ministre Florence Parly lors de la dernière édition du Forum International de la Cybersécurité (FIC). » D’où l’intérêt de confronter les étudiants à un défi haletant et, surtout, très réaliste.
Se battre contre l’assaillant et la montre
Cette 9e édition du DEFNET ne dérogeait pas à la règle. Sur le campus de l’EPITA Paris, les étudiants de la Majeure SRS se sont donc retrouvés à devoir explorer un système d’information fictif représentant un industriel de défense afin d’en comprendre les vulnérabilités, détecter d’éventuelles d’attaques – ils vont rapidement découvrir qu’il y en a eu – et proposer des plans de sécurisation et de remédiation pour reprendre la main et remettre le système dans un état de sécurité nominal. « Une journée, c’est assez court, et le travail des étudiants, répartis en deux équipes, se fait en plusieurs étapes, rappelle Sébastien Bombal, responsable de la Majeure SRS. Il y a d’abord une phase importante d’exploration qui correspond à des compétences d’audit, de cartographie et d’administration du système d’information. Vient ensuite une deuxième phase permettant d’identifier et de caractériser la cyberattaque – c’est de l’investigation numérique, ce qui demande des compétences de forensic et de reverse engineering. Puis intervient une troisième phase sur le renforcement du système d’information, avec « l’assainissement » de la cyberattaque, ce qui demande des compétences d’administration et de développement. » À tout cela s’ajoute, en fin de journée, une ultime étape voyant chaque équipe tester de manière croisée la sécurité des différentes plateformes pour vérifier que le plan établi soit suffisamment exhaustif et qu’un cyberattaquant ne puisse pas revenir. « Cette dernière partie a remporté un vif succès, les étudiants pouvant alors se jauger entre eux », note Sébastien Bombal.
Coordination et explications
Au-delà de l’aspect technique fondamental, le DEFNET couvre deux autres sujets clés pour les participants. Le premier, c’est celui de l’organisation car travailler à plusieurs sur un système d’information nécessite un bon suivi, particulièrement rigoureux, sur les différentes tâches et actions à mener. « Il faut parvenir à bien se coordonner comme sur une scène de crime, car si vous arrivez à dix sur un système attaqué, vous risquez de le « polluer » ! Dans ce genre de situation, on doit suivre les activités des uns des autres et se montrer aussi méthodique que factuel, comme un véritable enquêteur, en faisant des prélèvements, des photos du système, analyser les traces du système… » Le second sujet est directement lié au métier de la cyberdéfense : c’est le « rendre compte » comme l’explique Sébastien Bombal : « Il s’agit d’un élément essentiel dans les structures y compris étatiques : il faut être en mesure de pouvoir transcrire ce qu’on fait techniquement en quelque chose de compréhensible pour des personnes n’étant pas du métier. Quand est arrivé l’attaquant ? Qu’a-t-il fait ? Par où est-il passé ? Pourra-t-il revenir ? Quel est l’impact ? Vous devez être en mesure de répondre clairement à toutes ces questions, de manière très concrète. Cela oblige à ne jamais perdre de vue le contexte de l’opération en marge de la technique. »
Une expérience plus que formatrice
Du côté des futurs ingénieurs de la promotion 2023, le défi du DEFNET a été particulièrement apprécié. « C’était une bonne occasion d’apprendre à déceler des attaques et de comprendre comment elles ont pu se produire dans une situation quasiment réelle, en travaillant au sein d’une grosse équipe, pour avancer tous ensemble, juge ainsi Jean, particulièrement intéressé par le scénario proposé. C’est quelque chose que l’on revivra certainement plus tard après l’EPITA. Par contre, pour ce scénario, il y avait vraiment un grand nombre de vulnérabilités pour nous amener à tester plusieurs choses : il faut espérer qu’il n’y en ait pas autant à l’avenir ! » Même ressenti chez Nadia. « Le contexte était très stimulant et il fallait réagir rapidement pour parvenir à défendre le système d’information, poursuit l’étudiante, également sensible au dispositif d’encadrement mis en place pour l’événement. J’ai apprécié pouvoir échanger avec les représentants du ComCyber sur leurs métiers et suivre leurs conseils sur les mesures à prendre durant l’exercice. » Elle-même ne cache pas ses envies d’évoluer dans le monde de la cyberdéfense plus tard : « Cela m’a donné envie d’intégrer la réserve ! Idéalement, j’aimerais travailler dans la gestion de projet informatique au sein du ministère des Armées. » Un accueil qui a sans doute satisfait les équipes du ComCyber, à commencer par Philippe, le chef de bureau recrutement. « Au-delà du fait d’obtenir un emploi, c’est le travail d’équipe que nous cherchons à transmettre, rappelle le gradé. Ceux qui nous rejoignent s’immergent pleinement dans la cyberdéfense opérationnelle et voient des choses qu’ils ne verront pas ailleurs. Certes, c’est toujours la même base d’un point de vue technique, mais c’est véritablement collé au terrain. C’est un gain d’expérience irremplaçable ! »
