DEFNET 2015 : un exercice grandeur nature de cyberdéfense pour les 4es années de la majeure Systèmes, Réseaux et Sécurité (SRS) de l’EPITA

Les 23, 24 et 25 mars, les étudiants de 4e année de la majeure Systèmes, Réseaux et Sécurité (SRS) de l’EPITA étaient présents au Centre d’études stratégiques de l’armée de Terre (CESAT) implanté sur le site de l’École militaire à Paris pour participer au DEFNET 2015. Proposé par le ministère de la Défense dans le cadre de la réflexion autour du projet de création d’une réserve de cyberdéfense à vocation opérationnelle (RCVO), cet exercice grandeur nature de cyberdéfense permettait aux EPITéens de travailler en équipe sur la résolution d’une attaque informatique perpétrée contre une entreprise fictive.

exercice_defnet_2015_cyberdefense_reserve_etudiants_srs_majeure_06.jpgLes étudiants appelés en renfort pour aider MyCompany
L’objectif de DEFNET 2015 est simple : faire un exercice touchant les appareils militaires de l’État – la technologie informatique et numérique militaire – mais aussi les entreprises civiles. Pour cette seconde partie, les étudiants d’écoles de l’enseignement supérieur dont l’EPITA étaient mis à contribution. Ainsi, trois jours durant, près de 45 EPItéens se sont relayés pour tenter de venir en aide à MyCompany, une société fictive nommée MyCompany semblant avoir été touchée par une attaque. Dans ce cadre-là, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) demande l’engagement de ressources supplémentaires pour pouvoir traiter l’ensemble des parties civiles qui sont touchées au même moment. « Chaque journée, une quinzaine d’étudiants de 4e année intervenaient sur le même exercice, détaille Sébastien Bombal, capitaine RC, directeur des opérations Orange Cyberdéfense, responsable de la majeure SRS EPITA et encadrant de l’exercice. Chaque étudiant était en binôme. Ce dernier avait à sa disposition un ordinateur fourni dans le cadre de l’exercice et un environnement complétement virtuel qui représentait le système d’information de MyCompany qui, manifestement, avait eu un problème. Suite à ce “comportement suspicieux”, les étudiants devaient, avec leurs codes d’accès et leurs machines, comprendre et vérifier s’il s’était bien passé quelque chose pour, éventuellement, retrouver des traces d’attaque. » Autrement dit : l’enquête était confiée aux étudiants de l’EPITA.

exercice_defnet_2015_cyberdefense_reserve_etudiants_srs_majeure_05.jpg

Sébastien Bombal

exercice_defnet_2015_cyberdefense_reserve_etudiants_srs_majeure_02.jpg

Une étape de tests pour un projet de réserve unique au monde
Cet exercice fait partie de tout un dispositif de travail en amont piloté par l’État-major des Armées (EMA) avec l’aide notamment de la réserve citoyenne de cyberdéfense (RCC), autour du projet de constitution de la RCVO. De nombreux travaux de réflexion préparatoire ont été menés en amont pour en définir son intérêt et sa faisabilité, dont notamment des « laboratoires d’idées » avec les étudiants de l’EPITA organisés par Sébastien Bombal au profit de la RCC lors des Journées de la Cyberdéfense 2013 et 2014 accueillies par l’école. Ce DEFNET 2015 faisait donc figure de test. « L’EMA, avec la Direction générale de l’armement et des prestataires privés, a ainsi mis en place des plateformes de simulation à Paris, à Rennes et encore d’autres endroits pour les parties purement militaires, poursuit Sébastien Bombal. Les étudiants ont ainsi travaillé sur de vrais systèmes d’information virtuels créés pour l’occasion, avec des plateformes Web, des routeurs, des firewalls… Ils peuvent ainsi identifier une agression et la caractériser : dire quand elle est intervenue, comment, si des éléments de compromission (virus, malwares, chevaux de Troie) ont été laissés, si des impacts (vol de données, sabotages, altérations) existent puis faire une synthèse de ce qui a été trouvé. » Un avant-goût de ce qui pourra attendre les futurs membres de cette réserve qui, une fois créée, sera unique au monde.

Un exercice, plusieurs avantages
De ce fait, les 4es années de la majeure SRS se sont retrouvés au cœur d’un projet important alors que, depuis 2011, les cyber-attaques contre l’intérêt national ont quadruplées pour atteindre 780 incidents répertoriés en 2013. Autant dire que cette implication dans le programme DEFNET 2015 présentait de sacrés avantages pour ces étudiants qui, de par leur spécialisation, seront amenés à lutter contre la cybercriminalité une fois entrés dans le monde professionnel. « Il y a plusieurs intérêts à cette participation, juge Sébastien Bombal. Le premier, c’est de proposer un bel exercice, un beau travail pratique sur lequel les étudiants pouvaient s’exercer. Le deuxième, c’est de proposer des conditions de travail différentes aux étudiants. Pour cet exercice, ils ne sont pas à l’école et n’ont pas accès à tous les outils dont ils ont l’habitude : ils sont dans un environnement moins libre, plus cadré, avec une certaine rigueur et un certain enjeu qui, même s’il est fictif, reste important. Le troisième, c’est qu’il s’agit aussi d’un exercice qui peut être très valorisant pour les participants au vu des entités reconnues associées comme l’ANSSI ».

exercice_defnet_2015_cyberdefense_reserve_etudiants_srs_majeure_01.jpg
La rapidité : la principale qualité des EPITéens
Pour le sous-lieutenant Aude, doctorante en droit international public, spécialiste des questions de cyberdéfense et réserviste dans l’Armée de terre au CESAT, le DEFNET est justement plus qu’un simple exercice : « Il n’y a pas encore de réserve opérationnelle de cyberdéfense. Ce genre d’initiative avec les étudiants est donc important parce que c’est chez eux que se trouvent les compétences. On les retrouve bien sûr à l’Armée mais, dans la mesure où il n’y a pas assez de monde, il faut également aller chercher ces compétences ailleurs. C’est d’ailleurs pour cette raison qu’on décide de devenir réserviste : cela permet à chacun d’apporter ses compétences propres – dans le cas des étudiants, des compétences techniques – pour faire quelque chose d’utile avec et les mettre au service de notre pays ou, dans le cas de l’exercice d’aujourd’hui, au service d’une entreprise à qui nous apportons notre soutien. C’est ce qui motive. » Encadrant de l’exercice, le sous-lieutenant Aude a particulièrement été surprise par « la rapidité » des EPITéens. « C’est bon signe pour la suite car les étudiants représentent le public visé par la future réserve de cyberdéfense à vocation opérationnelle. Quand on est étudiant, on a du temps…, que l’on peut éventuellement consacrer à cette réserve. »

exercice_defnet_2015_cyberdefense_reserve_etudiants_srs_majeure_04.jpg

Le sous-lieutenant Aude (à droite) encadrait les étudiants

« L’État a besoin de personnes compétentes »
Parmi les étudiants s’étant prêtés à ce jeu à part, on retrouve Emmanuel Guet et Thomas Perronin (EPITA promo 2016), deux EPITéens satisfaits d’avoir pu jouer les « cyber réservistes ». « Ce qui m’a plu, c’est qu’il s’agissait d’un exercice portant exclusivement sur la sécurité, explique Emmanuel qui est justement entré à l’EPITA pour rejoindre une spécialité liée à la sécurisation. C’est ce que j’aime faire et c’est le domaine dans lequel je souhaite travailler plus tard. Là, avec DEFNET, c’était intéressant mais surtout concret car ce cas pratique, on peut être amenés à le retrouver dans beaucoup d’entreprises aujourd’hui, pas forcément des grosses, mais des entreprises de taille moyenne ou des sites de type e-commerce. » Pour Thomas, qui souhaite lui aussi travailler dans le domaine de la cybersécurité après l’EPITA, le principal attrait du DEFNET portait également sur l’aspect réaliste de l’exercice : « Ça permet de mettre en place des mécanismes de défense vraiment utiles pour les entreprises : la sécurité aujourd’hui, c’est vraiment quelque chose d’essentiel. » Enfin, même si lui et Emmanuel ne savent pas encore s’ils se porteront volontaires pour intégrer l’éventuelle RCVO, les deux étudiants apprécient tout de même l’initiative. « C’est bien qu’on puisse considérer les étudiants comme des ressources disponibles pour pouvoir aider et défendre ces entreprises », estime Thomas. « L’idée est intéressante en soit car l’État a besoin de personnes compétentes, renchérit Emmanuel. Et comme la cybersécurité reste encore un domaine récent, c’est logique qu’il se tourne vers les étudiants et les jeunes diplômés. »