Le jeudi 24 septembre était l'occasion pour les militaires, officiels, industriels français et internationaux de se réunir à Paris sur invitation du ministre de la Défense. Premier rendez-vous international cyber d'initiative officielle, le colloque #CyberDéfense 2015 était axé sur « la cyberdéfense au cœur des opérations ».

Nous avons pris part à l'organisation aux côtés de la DGA et de l'Etat-major des Armées, afin de réaliser et animer deux compétitions : un challenge international mettant à l'épreuve les compétences de six écoles militaires en lutte informatique défensive, ainsi qu'un défi lancé aux étudiants d'écoles d'ingénieurs parisiennes.

Six écoles militaires en défense

L'objectif du Challenge #CyberDéfense était double : animer une compétition entre six écoles militaires internationales (américaine, estoniennes et françaises) et évaluer les compétences des étudiants en cyberdéfense dans une configuration réaliste impliquant une variété de systèmes, dont des équipements industriels (systèmes SCADA).

Infrascructure

Pour l'occasion, chaque équipe disposait d'un système d'information complet imitant le fonctionnement d'un site de stockage de carburant. Les participants se sont mis dans la peau d'une équipe de réponse à incident. Les administrateurs de la plateforme de la société factice Terafuel, joués par l'équipe d'animation, étant en effet débordés par une vague d'attaques en cours, un groupe d'intervention a été déployé.
Les compétences mises à l'épreuve étaient donc variées, la prise en main organisée et efficace de l'infrastructure tenait un rôle aussi essentiel que les seules connaissances techniques pour réussir dans la compétition.

Maquettes

Pour rendre le jeu plus réaliste, nous avons fourni une maquette par équipe, dotée d'un véritable automate industriel, d'actionneurs et capteurs (pompes, vannes, capteurs de niveau, etc.) Installées physiquement sur le site du colloque, les maquettes servaient d'étalon pour la compétition : l'équipe à défendre ses systèmes le plus efficacement était à même d'assurer le bon déroulement de son processus industriel et de maintenir le niveau de carburant dans les cuves sous sa responsabilité.

Suivis des scores

Mise en place du Challenge

Plusieurs mois de préparation ont été nécessaires pour mettre sur pieds la compétition. L'infrastructure a été créée sur le modèle d'une société factice en prenant en compte notre expérience de la structure et de la sécurité des petites installations industrielles.

Datacenter

Nous avons développé plusieurs logiciels pour l'occasion afin de mimer le fonctionnement de solutions SCADA propriétaires dans le contexte métier simulé. Du programme chargé de l'actionnement des modules à la consolidation des données métier, les principaux maillons de la chaîne SCADA était représentés ainsi que leur variété de technologies et protocoles.

Installation des maquettes

Contrainte supplémentaire, l'infrastructure était dispersée entre des machines dédiées à la virtualisation des environnements en centre de données, les équipements physiques disposés à l'école militaire et les équipes connectées à distance depuis plusieurs pays. La stabilité des interconnexions et la communication entre les sites distants étaient cruciales au bon déroulement de la compétition.

C'est en près de quatre heures que nous avons déployé l'ensemble du matériel sur site, établi les liens VPN pour que les composants de l'infrastructure dialoguent et que chaque équipe puisse à la fois prendre la main sur ses machines virtualisées et sa maquette physique à l'École Militaire.

Maquettes installées

Des schémas d'attaque variés

Afin de tester les compétences des équipes dans une variété de situations, nous avons mis en œuvre un panel de shémas d'attaque constitué de multiples pistes d'incursion, de compromission et d'action, dont la détectabilité variait grandement, de même que les impacts, allant du déni de service sur le processus industriel à la mise à mal des outils de bureautique de la société factice.

Equipe d'animation

Les aspects techniques étaient également variés, obligeant les équipes en défense à multiplier les sources de détection (journaux applicatifs, communications réseau, etc.) et les contre-mesures.

Les participants ont joué le jeu et se sont appliquées à agir comme un groupe d'intervention professionnel : en dialogue avec les administrateurs dont nous endossions le rôle, ils ont pris la main sur les systèmes, détecté les attaques et travaillé à déployer des contre-mesures en impactant le moins possible la production.

Après douze heures de compétition, plus d'une tonne d'eau déplacée et quelques éclaboussures, c'est l'équipe française de l'École Navale qui a montré le plus grand sérieux et les meilleures compétences en emportant la victoire.

Cinquante élèves ingénieurs mis au défi

Durant la matinée du 24 septembre, une cinquantaine d'étudiants parisiens travaillaient dans les coulisses de l'amphithéâtre à résoudre les exercices que nous leur avions réservés. L'objectif premier : sensibiliser les futurs acteurs français de l'informatique au rôle et aux missions de la Réserve Opérationnelle Cyber.

Les tâches à accomplir étaient réparties en quatre catégories, représentatives des missions de la Réserve Opérationnelle :

  • l'investigation numérique, à la recherche d'indices et de preuves de compromission ou de détournement d'un système informatique ;
  • la rétro-ingéniérie, analyse du fonctionnement de programmes potentiellement malicieux ;
  • la cryptographie et cryptanalyse, maîtrise des techniques pour la sécurité des communications ainsi que de leurs faiblesses ;
  • la stéganalyse, détection de données masquées ou exfiltrées dans du contenu d'apparence anodine.

Dix des quinze épreuves proposées ont été résolues par les étudiants pour un total de 6600 points validés. Avec près de 400 points (sur 1300 points disponibles), c'est Alexis Léonard, de l'ESGI qui remporte la compétition.