L'OTAN a aussi ses Men in black : les cyberagents

  • 24 Apr. 2015 -
  • |
  • Mis à jour le: 29 Apr. 2015 10:35

Ils sont six. Tous habillés de noir, comme dans le célèbre film. Ils ont aussi des valises noires, mais ils n'utilisent pas leur technologie pour vous effacer la mémoire. Leur nom : l'Équipe de réaction rapide - ou RRT. Leur but : fournir une assistance aux pays ou aux installations de l’OTAN victimes d'une cyberattaque.

OLYMPUS DIGITAL CAMERA

« La RRT est capable d’intervenir sur très court préavis pour remédier à une attaque qui affecterait la capacité opérationnelle d’un système de l’OTAN dans une crise en cours, ou pour porter assistance à un état membre qui en ferait la demande en cas de cyberattaque significative à l’échelle nationale », indique Jean-François Agneessens, expert en cybersécurité à l’agence OTAN d’information et de communication (NCIA) basé à Mons, en Belgique.

Jean-François est l’un des six membres civils de la RRT pouvant être déployés sur des sites OTAN, des théâtres opérationnels ou en support d’un Allié afin de fournir un soutien technique ou aider à répondre à des incidents dus à des cyberattaques.

Les cyberattaques gagnent en intensité et en complexité. Chaque jour, l'OTAN doit gérer plus de 200 000 évènements dont, après analyse, une dizaine en moyenne s’avèrent être des attaques sophistiquées nécessitant des mesures correctives.

Les cyberattaques peuvent avoir des conséquences dévastatrices, potentiellement aussi graves que celles d'attaques conventionnelles avec des bombes et des chars. C'est pour cette raison que la cyberdéfense est considérée comme faisant partie de l'engagement de défense collective de l'Alliance au titre de l'article 5 du Traité de l'Atlantique Nord. La décision de l’envoi de la RRT pour assister un Allié est prise par le Conseil de l’Atlantique Nord (NAC), l’organe suprême de décision politique de l’Alliance.

Des experts aux profils complémentaires

Jean-François, ancien officier des forces terrestres formé à l'École royale militaire de Belgique, connaît bien les failles de sécurité dans les protocoles de communication des systèmes d'information. Il est également en charge du réseau de cyber-experts qui peuvent être appelés en complément de la RRT.

Jean-François et les autres membres de la RRT ont des profils complémentaires : experts en audit de sécurité, en test de pénétration de systèmes, en criminalistique, en codes informatiques, etc. Ils travaillent depuis les installations du centre de cyberdéfense de l'OTAN, situé à Mons, en Belgique, qui est la première ligne de cyberdéfense de l'OTAN.

Les membres de la RRT disposent de tout l’équipement dont ils ont besoin dans quelques valises noires : matériel informatique et de télécommunications, outils de détection d’intrusion, analyse criminalistique à distance ou sur le système affecté, analyse des vulnérabilités, sécurité réseau, etc.

Jean-François et ses collègues s’entraînent régulièrement avec ce kit et créent divers scénarios d’assistance en cas de cyberattaques. « On essaie d’imaginer pour quoi on pourrait être appelés, quel matériel serait nécessaire, quelles compétences seraient requises et où les trouver. On étudie tous les scénarios les plus probables et les réponses à y apporter ».

Améliorer les capacités de reaction

Pour rester opérationnels, les membres de la RRT participent aux exercices OTAN qui leur permettent de tester, dans des conditions réalistes, leurs capacités de réaction face à une crise.

Jean-François a ainsi testé ses capacités de réaction lors de l'exercice international « Locked Shields » qui s'est tenu les 22 et 23 avril 2015, organisé par le Centre d'excellence pour la cyberdéfense en coopération de l'OTAN, le centre d'étude et d'analyse de l'Alliance pour la cyberdéfense. Pendant un jeu de guerre de 48 heures, auquel ont participé 15 experts représentant chacun un des 15 pays participants, Jean-François et les autres membres de la RRT ont simulé un déploiement dans un pays fictif victime d'une cyberattaque. Leur mission consistait à rétablir la principale installation de contrôle de drones de ce pays membre fictif de l'OTAN et d'aider à sécuriser le système de contrôle auxiliaire qui peut assurer le commandement des drones militaires.

En novembre 2014, pendant un autre exercice, baptisé « Cyber Coalition », des cyber-activistes sont parvenus à prendre le contrôle du système de détection aérien d'un avion de surveillance AWACS déployé dans le cadre d'une opération. La RRT a été envoyée sur une base aérienne en Grèce pour identifier le problème et remettre l’avion en service au plus vite.

Des simulations ont été réalisées pour tester la défense contre d'autres types de cyberattaques sophistiquées, depuis le piratage des smartphones des forces déployées par des logiciels malveillants, jusqu'à l'enlèvement de la famille d'un officier supérieur OTAN, qui a fait l’objet d’un chantage destiné à voler des milliers de données classifiées sur les réseaux militaires de l’Alliance.

« La RRT n’interviendra jamais sur un problème ordinaire de cyberdéfense ou sur des cyberattaques quotidiennes », précise Jean-François. De même, le déploiement de la RRT n’est jamais planifié car c’est une solution de dernier recours. « Nous devons nous préparer à intervenir dans un environnement que l’on ne connaît pas - on ne sait pas à quelle infrastructure réseau ni à quels logiciels on sera confrontés. Toutes ces inconnues rendent notre préparation plus difficile, mais c’est cette difficulté qui rend le métier encore plus attrayant », conclut-il.

Le soutien d'experts extérieurs

Pour Jean-François, « le cyber espionnage ou les codes dormants qui peuvent mettre hors d’état des systèmes OTAN ou nationaux sont autant de nouvelles menaces présentant un niveau de sophistication accru face auxquelles l’Alliance et les nations doivent se préparer ». De même, le développement des environnements virtualisés de type « Cloud » où services et machines sont virtuels posent de plus en plus des problèmes de sécurité pour lesquels l’OTAN et le secteur privé doivent apporter des solutions communes.

Les cyberattaques malveillantes menées lors de toutes les crises récentes montrent qu'il est important que l'Alliance adopte une approche globale de la cyberdéfense et qu'elle se dote des compétences et des outils appropriés.

« La RRT est en réalité une ressource modeste, mais elle constitue une capacité centrale stratégique qui peut être renforcée, en cas de besoin, par des experts nationaux, lorsque l'OTAN répond à une demande d'assistance d'un pays », explique Suleyman Anil, chef de la Section Cyberdéfense de la Division Défis de sécurité émergents au siège de l'OTAN.

Les experts nationaux des centres d'alerte et de réaction aux attaques informatiques (CERT) ne sont pas les seuls concernés par un possible renfort. « Nous travaillons avec l’industrie pour échanger des informations de sécurité mais également pour identifier des profils d’experts dans certaines technologies qui pourraient venir compléter l’équipe », précise Jean-François. Le cyberpartenariat OTAN-industrie qui a été entériné par les Alliés lors du sommet au pays de Galles en septembre 2014 contribue à renforcer cette coopération avec l’industrie.

Contexte

  • La principale responsabilité de l’OTAN en matière de cyberdéfense est de défendre ses propres réseaux, tandis que les pays membres protègent les leurs. L'OTAN aide aussi les Alliés à renforcer leurs propres défenses. Elle le fait en partageant des informations sur les menaces, en aidant à développer les capacités, et au travers de la formation, de l'entraînement et des exercices.
  • La création de la RRT découle de la politique révisée de cyberdéfense de l’Alliance de 2011, politique qui a été renforcée lors du sommet au pays de Galles en septembre 2014 et qui s’inscrit désormais dans le cadre de la défense collective.
  • Les cyberattaques peuvent atteindre un seuil susceptible de menacer la prospérité, la sécurité et la stabilité des États de la zone euro-atlantique et leur impact pourrait être tout aussi néfaste que celui d'une attaque conventionnelle. Au sommet du pays de Galles, les dirigeants des pays de l'OTAN ont décidé qu'une cyberattaque pourrait déclencher l'invocation de l'article 5, la clause de défense collective de l'Alliance.
  • La capacité OTAN de réaction aux incidents informatiques (NCIRC) est responsable de la défense des systèmes d'information et de communication (SIC) de l'OTAN.