L’équipe OTAN de réaction rapide lutte contre les cyberattaques

Le centre technique de la capacité OTAN de réaction aux incidents informatiques (NCIRC) est le centre névralgique de la lutte que mène l’Alliance contre la cybercriminalité.

« La NCIRC est chargée de la cyberdéfense de tous les sites de l’OTAN, qu’il s’agisse de quartiers généraux fixes ou de QG déployés dans le cadre d’opérations ou d’exercices », intervient Ian West, le directeur du NCIRC.

En cas d’attaque contre l’un des systèmes informatiques de l’OTAN, les experts concernés sont immédiatement réunis. Un plan d’actions est défini. L’objectif : rétablir les systèmes pour que tout revienne à la normale le plus vite possible.

Alex Vandurme est l’un de ces experts. Il est le chef de la section ingénierie du NCIRC. Diplômé d’un master en informatique et possédant une solide expérience en sécurité informatique, il est chargé au sein du NCIRC de développer des guides de sécurité et de fournir des conseils pour protéger et réduire les vulnérabilités des ordinateurs et des réseaux informatiques de l’Alliance. Sa mission : analyser les artefacts digitaux et le trafic réseau relatif à l’incident. Il s’agit de déterminer au plus vite si l’incident a bien eu lieu, son impact, les mesures à prendre pour en limiter les dégâts et, le cas échéant, identifier la source de compromission.

« La difficulté de notre métier c’est de devoir boucher tous les trous du mur, alors que de l’autre côté les hackers doivent juste en trouver un. Il faut sans cesse penser à tout, penser comme eux et anticiper », précise Alex Vandurme.

Des attaques plus sophistiquées et plus nombreuses

La fréquence et la sophistication des attaques cybernétiques s’accroient dans le monde. Nos sociétés interconnectées sont tributaires des nouvelles technologies et cette dépendance les rend plus vulnérables aux attaques.

Aujourd’hui, espionage, destruction, crime, vols de secrets militaires et industriels sont monnaie courante. Les attaques ciblées sur une organisation ou un pays sont motivées, élaborées et le fait d’experts organisés. On est loin des gentlemen hackeurs qui considéraient les attaques sur les systèmes comme un passe-temps récréatif..

L’expérience du virus Stuxnet, qui a, dit-on, sérieusement affecté le programme nucléaire de l’Iran en 2010, a marqué le passage du monde virtuel au monde réel. L’eau, l’électricité, les hopitaux, mais également les services de sécurité aérienne, de défense et les services bancaires ; tous sont tributaires de réseaux informatiques. Autant de sites sensibles qui peuvent mettre à mal une organisation ou tout un pays.

«Le nombre de cyberattaques augmente chaque jour, que ce soit contre des systèmes OTAN ou contre des systèmes vitaux dans nos pays membres . L’OTAN elle doit être capable d’offrir à ses membres des cyberservices  pour les aider à prévenir ces attaques, à les détecter et quand elles ont lieu, à y répondre rapidement pour limiter les dégâts », précise Jamie Shea, Secrétaire général adjoint délégué de l’OTAN pour les défis de sécurité émergents.

Une équipe de réaction rapide opérationnelle dès fin 2012

A cet effet, l’OTAN a notamment commencé en 2011 à mettre sur pied une équipe de réaction rapide. « Ces experts en cyberdéfense sont chargés de porter assistance à un état membre qui en ferait la demande en cas d’attaque cybernétique significative à l’échelle nationale», commente Alex Vandurme.  La création de cette équipe découle de la politique de cyberdéfense de l’Alliance, politique révisée par les ministres de la défense en juin 2011. A l’avenir, des efforts supplémentaires seront consacrés à la prévention des risques et à l’amélioration de la résilience.

« Le type des cyberattaques dont l’Estonie et la Géorgie ont fait l’expérience vont devenir dans le futur, la forme la plus fréquente d’attaques cybernétiques. Un mélange de manifestation ou de guerre traditionnelle et d’une composante cybernétique », poursuit Alex Vandurme. Les équipes de réaction rapide doivent donc être prêtes à intervenir en cas demande d’assistance. Elles devraient être opérationnelles dès fin 2012.

A ce jour, de nombreuses étapes ont déjà été franchies : La capacité opérationnelle totale du NCIRC devrait être atteinte début 2013. L’ensemble des besoins techniques ont été identifiés et un appel d’offres a été lancé. Une plateforme de collaboration composée d’experts qui se font confiance, issus des nations, de l’industrie, du monde académique et de l’OTAN est en cours d’élaboration. Elle permettra à terme d’avoir accès à de l’expertise pointue dans tous les domaines de la cybersécurité. Des profils d’experts sollicités en fonction des missions d’assistance et précisant les domaines de compétences sont également en cours d’identification.

« Toutes les procédures et les modes d’intervention du RRT sont définis au sein d’un manuel qui devrait être achevé à l’été 2012, précise Alex Vandurme. Ce manuel définit également les lignes directrices de la réponse de l'OTAN à ses Alliés et Partenaires ayant requis une assistance pour la protection de leurs systèmes d'information et de communication».

Un groupe de travail ad-hoc a été créé pour travailler sur ce manuel. Il regroupe des experts des pays alliés et interagit fréquemment avec  les experts du plan civil d’urgence de l’OTAN.

« Avec les RRT, l’OTAN sera capable d’offrir sur demande une assistance professionnelle et organisée à ses membres et partenaires, mais surtout aux pays qui n’ont pas encore les moyens de mettre en place un tel dispositif de cyberdéfense. C’est une transposition des principes militaires d’assistance mutuelle et de défense collective», poursuit Alex Vandurme.

Profils, formation et équipement de l’équipe de réaction rapide

La capacité RRT sera composée d’une colonne vertébrale permanente de 6 experts dans leurs domaines capables de coordonner et exécuter les missions des RRT. Viendront s’ajouter, des experts des nations ou de l’OTAN dans leurs domaines respectifs. Leur nombre et leur profil seront déterminés par la mission à accomplir.

Les RRT disposeront de tout l’équipement nécessaire : matériel informatique et de télécommunications, de type téléphone satellitaires, recherche de preuves, matériel de cryptographie, analyse d’empreinte numérique, gestion des vulnérabilités, sécurité réseau, etc.

« Tous ces experts seront formés aux procédures OTAN et à la manipulation des équipements », poursuit Alex Vandurme.  « Ils feront également partie de l’exercice Cyber-Coalition que nous organisons chaque année en novembre ».

Le déclenchement de l’équipe de réaction rapide

Tout état membre de l’OTAN victime d’une attaques cybernétique significative pourra faire une demande d’assistance auprès de l’OTAN. La demande sera examinée au sein du bureau de gestion de la cyberdéfense ou CDMB qui donnera ou pas son accord. Les demandes d’assistance qui émaneraient de pays non membres devront par contre recevoir l’aval du Conseil de l’Atlantique Nord.

« Lors de l’exercice Cyber Coalition de 2010, nous avons exercé les mécanismes de consultations et de prise de décisions au niveau du CDMB pour les RRT. Nous en avons tirés les leçons nécessaires pour améliorer nos procédures. En novembre 2012, nous allons passer à la phase 2 : tester la phase d’intervention des RRT et plus particulièrement la pertinence du manuel qui vient d’être développé ».

Une fois activées, les RRT pourront intervenir dans les 24 heures de l’incident.

 « J’aime ce travail. C’est excitant et diversifié », conclut Alex Vandurme. « Il n’y a pas deux minutes qui se ressemblent. C’est une bataille d’experts. Et c’est également un honneur de contribuer à créer quelque chose de toute pièces :  de la volonté politique à la mise en œuvre pratique ».