L'île-pays de Berylia est menacée. Au cours des prochaines 48 heures, elle sera soumise sans interruption à un nombre infini de cyberattaques, qu'elle devra contenir au mieux. Bien que le pays soit préparé, le scénario est loin d'être idéal, car il est, en même temps, engagé dans un conflit ouvert avec la Crimsonie portant sur ses eaux territoriales, cette dernière ayant même osé envahir une partie de son territoire. Les activités hostiles sont désormais dirigées contre les services essentiels de Berylia connectés à Internet.
Le 25 avril, vers 11 heures, à la base Retamares de Pozuelo de Alarcón (à Madrid), un exercice de l'OTAN, exceptionnellement ouvert à la presse, a permis de montrer comment ce pays fictif se prépare à protéger ses systèmes dans « un exercice sans précédent par son ampleur et ses caractéristiques », selon les termes d'Enrique Pérez de Tena, responsable des relations internationales, de la communication et des médias du Commandement interarmées du cyberespace espagnol (MCCE). Ce dernier fait référence à Locked Shields 2024, un test que le Centre d'excellence en coopération pour la cyberdéfense de l'OTAN (CCDCOE) effectue chaque année depuis 2010 et qu'il qualifie de « pratique de cyberdéfense à balles réelles la plus avancée au monde ».
« Lorsque les gens en font l'expérience, ils ne veulent plus rien d'autre. Ils ont la possibilité de réaliser des activités auxquelles ils n'ont pas accès dans leur vie quotidienne », explique Enrique Pérez de Tena, alors que nous nous promenons dans la salle de contrôle. « C'est comme lorsqu'un avion de chasse lance des missiles. »
Défendre les infrastructures critiques
Dans cette édition de Locked Shields, explique le responsable, trois divisions ont été organisées, chacune devant défendre les 18 régions de Berylia qui sont attaquées par un autre groupe d'équipes situées à Tallinn, en Estonie, le lieu central de l'événement. Dans le cadre de l'exercice, chaque ville de l'île de Bérylia a sa propre équipe opérationnelle, et toutes ont les mêmes infrastructures critiques à défendre, allant des centrales nucléaires aux systèmes bancaires, en passant par les satellites et les centrales de distribution d'électricité. En bref, « tout ce qui peut intéresser les cybercriminels », selon Enrique Pérez de Tena.
Ce test, connu dans les milieux de la cybersécurité, met donc classiquement aux prises une Red Team (les assaillants) et une Blue Team (les défenseurs). Cette année, près de 4 000 personnes y participent. L'équipe espagnole est composée d'environ 200 experts, dont 40 % de militaires du MCCE (terre, mer et air), appuyés par des soldats portugais, brésiliens et chiliens, et 60 % de civils, issus du MCCE lui-même et d'entreprises privées qui mettent leurs compétences à disposition pour ce type d'événements.
A l'issue des deux jours, le CCDCOE établit un classement des plus de 40 pays participants, parmi lesquels figurent des pays non-membres de l'OTAN, comme le Japon. Cette année, l'Espagne s'est installée en milieu de peloton, tandis que la Lettonie et les tandems Finlande-Pologne et Estonie-France se sont distingués (ce dernier terminant à la 3ème place). Quel que soit le classement, le CCDCOE et le MCCE mettent tous deux l'accent sur la nature collaborative de l'exercice et ses vertus en termes d'apprentissage, plutôt que sur la compétition. « Cela nous aide aussi à mettre des visages face à telle ou telle situation. Savoir que quelqu'un est un grand spécialiste d'un outil ou d'un système donné. Ainsi, si j'ai tel problème, je sais que je peux compter sur lui ».
Anticiper la communication de crise
Au cours de notre reportage, nous sommes témoins de l'agitation et de la tension qui s'emparent parfois du centre de Retamares. Même si la visite des médias coïncide probablement avec une période au cours de laquelle l'intensité des incidents est moindre. Enrique Pérez de Tena nous présente une équipe, celle qu'il dirige lui-même : des experts en gestion de crise.
Enrique Pérez de Tena, responsable des relations internationales, de la communication et des médias du Commandement interarmées du cyberespace espagnol. (Photo : Juan Marquez)
« Imaginons que nous ayons devant nous des membres de la présidence du gouvernement ou d'autres ministères, dit-il pour cadrer la situation. Comment doivent-ils gérer, par exemple, une conférence de presse ? Nous gérons même une page web avec des simulations de réseaux sociaux dans lesquels des contenus sont postés, certains faux et d'autres réels. Notre travail consiste à tout comparer et à communiquer. »
Dans la même salle, un groupe de professionnels de l'équipe juridique débat vivement. « Il y a même des professeurs de fiscalité, précise Enrique Pérez de Tena. En temps de guerre, les décisions doivent être prises en tenant compte de multiples aspects ». Ces participants donnent le feu vert à certaines actions en fonction des différentes conventions existantes, ajoute-t-il. « Est-ce conforme à la Convention de Genève ? Allez-y », dit-il à titre d'exemple.
L'avantage des attaquants
Nous nous dirigeons ensuite vers une grande tente enveloppée de silence. C'est le centre qui coordonne les communications et les aspects légaux avec les hackers. C'est là qu'ils reçoivent les informations sur tout ce qui se concocte. Enfin, direction le centre névralgique de l'exercice, où des « cracks » de la cybersécurité, que nous n'avons pas le droit de nommer, défendent les différentes régions de Berylia.
« Les attaquants ont un avantage sur nous parce qu'ils ont eu le temps de se préparer », explique Enrique Pérez de Tena. « Pour nous, c'est comme si nous faisions notre travail quotidien. Et il n'y a pas de moment prédéfini pour lancer les incidents. Le cyberespace n'a pas de frontières, c'est un terrain de jeu pour tous ceux qui possèdent un appareil connecté. »
Cet exercice est-il également une cible pour les cybercriminels ? « Bien sûr », dit Enrique Pérez de Tena. « Mais nous avons ici les meilleurs [défenseurs], en ce moment même. Si quelqu'un réussit à pénétrer nos systèmes, nous rentrerons tous chez nous et changerons de métier », plaisante-t-il.
Evoluer dans la zone grise, entre guerre et paix
Cette fiction pourrait tout aussi bien se dérouler dans la réalité, nos pays se trouvant dans un état permanent de cyberguerre. « La couleur de notre casquette est grise parce que nous sommes constamment dans cette zone qui existe entre la guerre et la paix », explique Enrique Pérez de Tena. Quant à l'impact attendu de l'IA sur cette guerre larvée, le responsable ne pense pas qu'il sera plus déterminant que « tout autre développement technologique passé ». La guerre hybride a toujours existé et son principal problème aujourd'hui est l'attribution.
« Face à la difficulté d'obtenir des preuves d'experts pour traduire une personne, une organisation ou un État devant la Cour internationale, les pays procèdent à des attributions politiques. Par exemple, un ministre des affaires étrangères dit : 'Je sais que [cette attaque] provient de vous, et si vous continuez comme ça, je [riposterai]' », explique Enrique Pérez de Tena.