CABINET DE LA MINISTRE : cabinet militaire, cellule gendarmerie et sécurité intérieure

INSTRUCTION N° 101000/ARM/CAB relative à la politique de lutte informatique et défensive du ministère des armées.

Du 24 décembre 2018
NOR A R M F 1 8 5 2 3 7 5 J

Pièce(s) jointe(s) : Cinq annexes.

Classement dans l'édition méthodique : BOEM 160.4.

Référence de publication : BOC n°6 du 07/2/2019

1. Généralités.

1.1. Périmètre d'application.

La présente politique ministérielle de lutte informatique défensive (LID) s'applique à tous les organismes relevant de l'autorité du ministre des armées, directement ou par voie de tutelle⁽¹⁾, à l'exception de la DRSD ⁽²⁾ et de la DGSE ⁽³⁾ et, en tant que de besoin, aux prestataires sous contrat⁽⁴⁾.

Hors mention spécifique (qui fera systématiquement l'objet d'une note de bas de page), dans la suite de ce document, le périmètre d'application est ainsi dénommé « ministériel » et concerne tous les systèmes d'information, équipements ou services numériques utilisés dans le cadre de ce périmètre.

La politique ministérielle de LID fixe ses principes, ainsi que les piliers capacitaires « DORESE » de cette fonction opérationnelle (doctrine, organisation, ressources humaines, entraînement, soutien et équipements). Elle pourra être mise à jour pour prendre en compte le retour d'expérience de son application, sous l'égide du commandement de la cyberdéfense (COMCYBER).

La politique ministérielle de LID est complétée par deux protocoles particuliers, respectivement avec la DRSD ⁽⁵⁾ et la DGSE qui précisent les modalités de continuité, d'échange, de mutualisation des moyens et les développements capacitaires en matière de LID.

Le non-respect de cette politique peut être considéré comme une faute professionnelle qui peut relever, selon l'appréciation de l'autorité investie du commandement et selon la nature des transgressions constatées et de leurs conséquences, de sanctions disciplinaires non exclusives des sanctions pénales.

1.2. Le cyberespace, opportunités et risques.

Le cyberespace est un lieu de communication et d'échanges favorable au progrès et multiplicateur d'effets. L'ambition numérique du ministère des armées vise, à travers sa transformation digitale, à garantir la supériorité opérationnelle et la maîtrise de l'information sur les théâtres d'opérations, à renforcer l'efficience des soutiens, à faciliter le quotidien de son personnel et à améliorer sa relation au citoyen et son attractivité. Le numérique est quasiment omniprésent dans les activités du ministère et dans les forces et constitue ainsi le substrat sans lequel aucune activité ou mission ne peut plus être correctement conduite.

C'est pourquoi le cyberespace est devenu un champ de confrontation à part entière, avec des caractéristiques qui lui sont propres, et qui se combine avec les autres champs de confrontation (terre, mer, air et espace extra-atmosphérique). La complexité, l'hyperconnectivité, la taille des réseaux, le recours massif à l'externalisation ont tendance à rendre opaque les systèmes d'information. Les opérations dans le cyberespace souffrent du brouillard que décrivait Clausewitz. Les adversaires ont parfaitement compris l'usage qu'ils pouvaient tirer de l'incertitude et de cette opacité. Ils exploitent à dessein et en toute impunité les faiblesses du système, qu'elles soient organisationnelles, juridiques ou encore techniques.

Les cyberattaques s'exercent de manière directe sur nos systèmes ou indirecte via des partenaires ou des industriels. Elles se produisent en permanence, de façon durable et, en fonction des crises internationales ou des engagements de nos forces, se renforcent en quantité, agressivité et technicité.

Les cyberattaques constituent un risque majeur en progression constante, autant sur la probabilité d'occurrence que sur l'impact potentiel. Elles ciblent le cyberespace dans son acception la plus large : systèmes d'information, systèmes de communication, systèmes de commandement et de combat, systèmes d'arme, systèmes scientifiques, systèmes de contrôle d'automatismes ou de machinerie et plus généralement, tout système embarquant des technologies numériques, connectées ou non.

Elles sont un mode d'action à part entière, destiné à produire des effets significatifs (espionnage, sabotage, déstabilisation, etc.) ⁽⁶⁾sur les missions opérationnelles des forces et le fonctionnement des organismes du ministère des armées. La résilience face à un risque systémique ⁽⁶⁾est devenue un véritable enjeu pour toutes les organisations publiques et privées françaises ; le ministère n'y échappe pas.

La nature de la menace, les outils, tactiques, techniques et procédures (TTPs) adverses et surtout la technologie évoluent très rapidement et se complexifient. L'arsenal et les modes opératoires, rendus plus accessibles, prolifèrent et sont réutilisés et améliorés pour cibler un cyberespace en expansion.

1.3. Le besoin de maîtriser le cyberespace.

Face à une menace toujours plus actuelle, agile, profonde et durable, les travaux conduits lors de la revue stratégique de cyberdéfense de 2018 ont confirmé notamment que :

la France doit adapter sa posture de cyberdéfense avec l'ambition de mieux faire respecter sa souveraineté numérique et d'éviter que les attaques portent gravement atteinte aux intérêts de la Nation ;
la résistance d'une nation et sa résilience dans le cyberespace reposent grandement sur les moyens et sur l'organisation de sa cyberdéfense.

La maîtrise du cyberespace est nécessaire pour assurer aux forces leur liberté d'action et garantir le fonctionnement du ministère. Les opérations visant à protéger et à défendre les systèmes du ministère des armées doivent donc continuellement s'adapter pour conduire cette mission dans une approche globale. Elle est notamment conditionnée par la capacité à anticiper, détecter et réagir face à des cyberattaques qui évoluent continuellement.

Pour ce qui concerne le ministère des armées, les autorités d'emploi des systèmes doivent disposer d'une stratégie de sécurité cohérente avec l'emploi de leurs systèmes, alliant protection et détection. Au minimum cette stratégie doit permettre d'être résiliente aux attaques dont la cible n'est pas spécifiquement le ministère ⁽⁷⁾, ou dont le niveau de sophistication se limite à l'usage de moyens d'attaque aisément accessibles.

1.4. Les six catégories de missions de la cyberdéfense française.

La revue stratégique de cyberdéfense a défini une nomenclature, à l'échelle interministérielle, pour la cyberdéfense française, à travers six missions⁽⁶⁾:

la prévention : la mission de prévention et de sensibilisation vise en particulier à faire prendre conscience des risques numériques dans le cadre d'une activité. Les utilisateurs des systèmes d'information constituent une cible privilégiée. La prévention constitue le socle pour mener à bien des missions de LID. Cette mission⁽⁸⁾ est portée au niveau ministériel par le HFCDS⁽⁹⁾.
la protection : la mission de protection est la brique essentielle pour résister à une cyberattaque. Elle vise à maitriser les vulnérabilités et les impacts potentiels tout au long du cycle de vie des systèmes. Les dispositifs de protection doivent être renforcés pour compliquer fortement la tâche des attaquants tout en facilitant la détection par les services compétents. La protection regroupe l'ensemble des actions visant à concevoir, développer et mettre en production des systèmes d'information (SI) robustes, exploitables, défendables et maintenables en condition de sécurité. Cette mission⁽⁸⁾ est animée au niveau ministériel par le HFCDS.
l'anticipation : en complément de la prévention, les attaques peuvent être prévenues, atténuées ou neutralisées dans leurs effets afin de permettre de prendre les dispositions propres à la poursuite de l'activité. La mission d'anticipation est conduite à l'échelle interministérielle par l'ANSSI (agence nationale de sécurité des systèmes d'information), l'ensemble des services de renseignement et le commandement de la cyberdéfense. A l'échelle du ministère des armées, le COMCYBER est responsable de cette mission et pilote ainsi l'ensemble des actions d'anticipation, en liaison avec les services de renseignement autant que de besoin.
la détection : la mission de détection est essentielle pour lutter contre les cybermenaces. Elle consiste à identifier une activité susceptible d'être une cyberattaque, sur la base d'informations collectées ou de capteurs spécifiques. Le COMCYBER s'assure de la détection sur le périmètre ministériel à l'exception des réseaux de la DRSD et de la DGSE, avec des unités spécialisées ou via des unités et des entités concourantes. Le COMCYBER peut solliciter les services de renseignement et les partenaires nationaux, en coordination avec l'ANSSI, pour compléter les informations de détection dont il dispose, et solliciter ses partenaires internationaux, militaires et industriels.
la réaction : la mission de réaction consiste à caractériser une attaque, à limiter ou contenir ses effets pour permettre à l'autorité d'activité⁽¹⁰⁾de continuer son activité sous agression informatique. Elle contribue in fine à remettre le système attaqué dans un état de fonctionnement tout en s'assurant que l'attaquant ne pourra pas revenir sur le système. Ainsi, la réaction entraine le plus souvent une opération de LID, conduite par le COMCYBER en liaison avec l'autorité de l'activité impactée et l'ANSSI. Cette opération peut engendrer une judiciarisation ou encore une notification à des autorités compétentes, et enfin être combinée à des actions pouvant dépasser le champ de la cyberdéfense (cinétiques, diplomatiques, économiques, judiciaire, etc.).
l'attribution : la mission d'attribution des attaques, qui consiste à désigner clairement l'origine d'une attaque informatique, reste une décision politique établie sur la base d'un contexte géopolitique, de faisceaux d'indices⁽¹¹⁾ et de renseignements.

1.5. La lutte informatique défensive au sein du ministère.

La LID est « l'ensemble coordonné d'actions menées par un État, qui consistent à détecter, à analyser et à prévenir des cyberattaques, et à y réagir le cas échéant »⁽¹²⁾.

La LID est donc l'ensemble des actions, techniques et non techniques, adaptées pour faire face à un niveau de menace ou à une attaque réelle, visant à préserver notre liberté d'action dans le cyberespace.

La LID se décline au travers des trois missions : anticipation, détection et réaction. Elle soutient les trois autres missions (prévention, protection et attribution).

Les missions de prévention et de protection forment un continuum avec les missions défensives d'anticipation, de détection et de réaction. Le COMCYBER peut ainsi ordonner en coordination avec le HFCDS des mesures techniques et non techniques⁽¹³⁾ contribuant directement à élever le niveau de protection, faciliter la détection et contribuer à la réaction. Dans le cas où les mesures ne peuvent être appliquées, l'entité rend compte au plus vite au COMCYBER.

Les missions de prévention et de protection ont la particularité de s'appliquer à des systèmes numériques relevant⁽¹⁴⁾ du ministère des armées (zone amie - bleue), tandis que les missions d'anticipation, de détection et de réaction peuvent non seulement concerner des zones bleues mais aussi impliquer d'autres systèmes d'information (zone neutre - grise) ou des systèmes relevant de l'adversaire (zone ennemie - rouge).

Figure 1 : Champs potentiels des missions dans le cyberespace.

Les opérations défensives au sein du ministère des armées sont planifiées, préparées et conduites par la chaîne de commandement du COMCYBER. En lien avec l'ANSSI et les services de renseignement, elles visent ainsi concrètement à :

caractériser et réagir à toute cyberattaque lancée contre les systèmes d'information du ministère des Armées, y compris en faisant cesser les effets⁽¹⁵⁾ ;
concourir à la résilience des forces et des activités du ministère des armées, pour continuer à opérer sous agression informatique ;
contribuer à l'attribution des attaques ;
conduire des opérations défensives, pouvant impliquer des partenaires nationaux et internationaux ;
concourir à la notification aux autorités compétentes et à une possible judiciarisation ;
contribuer à l'élaboration des stratégies de réponse à l'échelle ministérielle et à l'échelle interministérielle.

1.6. Notion de défendabilité.

La défendabilité d'un système est la capacité de faire évoluer et ajuster rapidement les mesures de protection et la capacité de défendre un système par anticipation, par détection, puis réaction à une cyberattaque dans le tempo des opérations.

La défendabilité s'évalue à partir de niveaux et s'appuie notamment sur l'homologation.

La démarche d'homologation⁽¹⁶⁾ est un préalable indispensable à l'instauration de la confiance dans les systèmes d'information et dans leur exploitation au quotidien.

Il s'agit d'un processus d'information et de responsabilisation qui aboutit à une décision prise par le responsable de l'organisation. Cette décision constitue un acte formel par lequel :

il atteste de sa connaissance du système d'information et des mesures de sécurité (techniques, organisationnelles ou juridiques) mises en œuvre ;
il accepte les éventuels risques qui demeurent, aussi appelés « risques résiduels ».

Pour être efficace, la démarche d'homologation doit être adaptée aux enjeux de sécurité du système, notamment au contexte d'emploi, à la nature des données contenues, ou encore aux utilisateurs.

L'homologation est l'acceptation d'un risque résiduel connu. Elle relève de la mission protection.

Pour être pertinente, une démarche d'homologation ne peut se limiter à attester d'une robustesse suffisante du système alors que le rythme de l'évolution des technologies des menaces, tactiques, outils et procédures d'un adversaire sont potentiellement rapides. La défendabilité vise à disposer de la capacité à faire face à un adversaire et à défendre un système.

La défendabilité est une capacité qui nécessite d'être maintenue tout au long du cycle de vie du système.

Le volume constant et le tempo des opérations numériques nécessitent aujourd'hui de pouvoir résister par défaut à des cyberattaques non ciblées, mais aussi de pouvoir s'adapter et réagir à des attaques ciblées, en s'appuyant sur :

une cartographie à jour des systèmes, organisations et missions soutenues ;
une prise en compte du renseignement d'intérêt cyber (RIC) à fin de LID ;
une posture de sécurité adaptée au système, et une capacité à la moduler en fonction de la menace ;
une surveillance adaptée et une capacité de réaction face à une cyberattaque ;
un évitement de la propagation d'une cyberattaque et du risque systémique ;
une capacité à rendre compte et à poursuivre l'activité ou la mission soutenue.

Une manœuvre ennemie peut cibler des systèmes manipulant des informations sensibles afin de renseignement, mais aussi pour entraver ou perturber des systèmes de soutien ou encore exploiter la connectivité des systèmes pour les infiltrer plus profondément. Tout système du ministère peut devenir une cible, pour rebondir vers d'autres systèmes et atteindre ainsi l'effet recherché.

Un adversaire ciblera tôt ou tard des interconnexions ou les systèmes ayant de fortes adhérences avec d'autres systèmes.

Les actions de LID doivent, en particulier envisager que les moyens LID puissent être sous le contrôle de l'adversaire

Le niveau de classification des informations portées par le système et son niveau de connectivité ne sont pas les seuls critères à prendre en compte pour la nécessité de le défendre.

Prendre en compte la défendabilité d'une capacité et des systèmes sous-jacents, c'est s'assurer de la prise en compte de la capacité dans sa globalité, avec son environnement, et en particulier ses dépendances avec les autres.

Le maintien de la défendabilité d'un système est un prérequis pour mener efficacement des missions de LID et s'inscrit pleinement dans la mission de protection et sa chaîne de responsabilité.

2. ORGANISATIONS ET RESPONSABILITÉS EN MATIÈRE DE LUTTE INFORMATIQUE DÉFENSIVE.

2.1. L'organisation interministérielle de la cyberdéfense.

La stratégique nationale de la cyberdéfense du 12 février 2018 a consolidé l'organisation du modèle français de cyberdéfense, autour notamment du SGDSN et de l'ANSSI⁽¹⁷⁾.

La responsabilité de la conduite des opérations de défense est confiée au directeur général de l'ANSSI et à l'officier général commandant de la cyberdéfense pour le périmètre du ministère des armées (hors DGSE et DRSD⁽¹⁸⁾), en coordination avec l'ANSSI⁽¹⁹⁾.

À l'échelle interministérielle, la gouvernance de la cyberdéfense est organisée comme suit :

« Les orientations et directives dans le domaine de la cyberdéfense sont prises en conseil de défense et de sécurité nationale (CDSN) » ;
« Le comité directeur de la cyberdéfense … est chargé de suivre la mise en œuvre des décisions prises en matière de développement et d'organisation générale du domaine. Il veille en particulier au bon déroulement de la montée en capacité du système dans le domaine technique … et la bonne coordination fonctionnelle » à l'échelle interministérielle. « Il est présidé par le CEMP (chef de l'état-major particulier du Président de la République, le coordinateur national du renseignement et de la lutte contre le terrorisme (CNRLT) et le directeur du cabinet du Premier ministre ». Le secrétariat du comité directeur est assuré par le SGDSN ;
le comité de pilotage de la cyberdéfense prépare les travaux du comité directeur de la cyberdéfense, sous la direction du cabinet du Premier ministre.

Le centre de coordination des crises cyber (C4) anime et prépare la cyberdéfense. Il répond notamment à un objectif de coordination à un niveau stratégique (C4-STRAT) :

pour préparer et coordonner des crises de moindre ampleur ne nécessitant pas un plan gouvernemental ;
lors de publication de vulnérabilités majeures susceptibles d'être exploitées à court terme ;
pour partager des analyses de la menace et proposer des stratégies de réponse.

En cas de crise majeure d'origine cyber, une cellule de crise interministérielle⁽²⁰⁾peut être activée. Les membres permanents du C4-STRAT y participent, avec d'autres le cas échéant selon la nature de la crise.

2.2. L'organisation générale du ministère.

Conformément à l'article D3121-14-1 du code de la défense, dans le domaine de la conduite de la défense des systèmes d'information du ministère des armées, hors DGSE et DRSD, le chef d'état-major des armées est responsable de la surveillance des systèmes d'information et de la mise en œuvre des mesures de défense les concernant. Il coordonne son action avec l'autorité nationale de défense des systèmes d'information, l'ANSSI.

L'article D3121-24-2 du code de la défense précise que l'officier général commandant de la cyberdéfense exerce les attributions relevant de l'article D3121-14-1 et qu'il assiste et conseille le ministre des Armées dans son domaine de compétence.

L'arrêté du 4 mai 2017 modifiant l'organisation de l'état-major des armées détaille les attributions de l'officier général commandant de la cyberdéfense⁽²¹⁾ dans la conduite de la défense des systèmes d'information et de la conception, de la planification et de la conduite des opérations militaires de cyberdéfense, en coordination avec le sous-chef d'état-major « opérations » (SCOPS) de l'état-major des armées (EMA).

Figure 2 : Périmètre de responsabilité du COMCYBER dans le conduite de la défense des systèmes d'information du ministère des armées en lien avec l'ANSSI.

La défense du ministère du armées peut être combinée à des actions hors du cyberespace pour faire face, repousser ou faire cesser les effets d'une cyberattaque. La présente politique se concentre uniquement sur la déclinaison des missions défensives dans le cyberespace.

Le COMCYBER est responsable du processus d'élaboration et de maintien du référentiel réglementaire en LID dont cette politique fait partie. L'approbation de la présente politique est une attribution du ministre ou, par délégation, du chef de cabinet militaire, HFCDS.

2.3. Les acteurs de la chaîne défensive du ministère des armées.

La chaîne défensive est :

unifiée : un échelon central de commandement unique qui coordonne ou pilote l'ensemble des actions menées par les états-majors, directions et services et les organismes qui leur sont rattachés de l'ensemble du ministère (EMDS) en particulier pour optimiser les moyens, favoriser les synergies et garantir la cohérence de l'ensemble des actions ;
centralisée : pour offrir d'emblée une vision globale, permettre une mobilisation rapide des moyens et des compétences disponibles au sein du ministère des armées ;
spécialisée : une partie des actions demande des compétences et des procédés particuliers, ainsi qu'un haut niveau d'expertise.

L'article D3121-24-2 du code de la défense octroie à l'officier général commandant de la cyberdéfense⁽²²⁾ le contrôle opérationnel (OPCON) des opérations défensives sur l'ensemble du périmètre ministériel de cette directive.

2.3.1. Le commandement de la cyberdéfense.

2.3.1.1. L'officier général commandant la cyberdéfense.

Pour assurer la bonne exécution de la défense des systèmes pour l'ensemble du ministère des armées, l'officier général commandant de la cyberdéfense, assisté de son état-major :

assure la cohérence du modèle de cyberdéfense pour l'ensemble du ministère défini dans le présent document ;
caractérise la menace et les attaques, en fédère les évaluations⁽²³⁾, analyse les risques et définit la posture adaptée pour le périmètre ministériel ;
contrôle l'emploi, le niveau d'interopérabilité ainsi que le niveau de préparation opérationnel ;
conduit la politique opérationnelle de coopération internationale en matière de défense des systèmes du ministère, entretient des liens avec ses homologues des autres nations et veille aux bons échanges entre les différents entités nationales et étrangères, notamment en cas de crise ;
conduit les opérations en cas de crise cybernétique ou dans le cadre du volet cybernétique d'une crise, et coordonne l'activation des organisations spécialisées nécessaires.

À ces fins, il :

fixe les missions, les objectifs et les éléments clés ;
ordonne le déploiement des moyens et mesures spécialisés ;
dirige les forces subordonnées et contrôle les manœuvres de LID ;
délègue éventuellement l'OPCON, le TACOM⁽²⁴⁾ et le TACON⁽²⁵⁾;
réalise le compte-rendu vers les autorités militaires et politiques ;
fixe les éléments de langage relatifs aux missions, les dispositions relatives à la sécurité opérationnelle, ainsi que les principes relatifs à la communication interne et externe ;
exerce le contrôle de la communication et de la diffusion de l'information ;
définit les outils de commandement, de contrôle et de coordination de la chaîne défensive, devant être utilisés au niveau opératif et tactique pour les EMDS du ministère ;
décline et fait appliquer les plans gouvernementaux d'intervention et fait mener les vérifications nécessaires ;
procède à des audits ou contrôles de circonstance en cas de suspicion d'attaque, d'incident non expliqué ou sur renseignement extérieur, afin de rechercher les traces d'une éventuelle attaque.

Le COMCYBER détient une compétence exclusive de notification aux autorités extérieures au ministère des armées⁽²⁶⁾, pour les incidents relevant de leur domaine de compétence de par la loi ou le règlement⁽²⁷⁾ excepté pour la mise en œuvre de la loi informatique et libertés (CNIL) assurée par la direction des affaires juridiques du ministère des armées (DAJ). Dans le cas d'une externalisation, la notification devra être coordonnée avec le COMCYBER pour l'industriel.

L'officier général commandant de la cyberdéfense, assisté de son état-major fait régulièrement :

préparer et réaliser des exercices au niveau ministériel ;
participer des équipes du ministère à des exercices interministériels ou interalliés dans ce domaine ;
procéder à des tests ou exercices inopinés afin de tester le niveau de sécurité et de résilience du ministère ;
préparer et entretenir les plans de lutte et de renforcement ad hoc pour faire face à une crise cybernétique.

2.3.1.2. Le centre cyber des opérations.

Le COMCYBER s'appuie sur son pôle opérations, en particulier le centre cyber des opérations (CCO) pour exercer l'OPCON des opérations dans le cyberespace et donc notamment pour la LID.

Le CCO établit la situation cyber de référence⁽²⁸⁾du ministère des armées, prépare, planifie et conduit les opérations de LID, en coordination le cas échéant avec les partenaires nationaux et les partenaires internationaux, en s'appuyant sur la chaîne défensive des EMDS pour l'ensemble du ministère.

Le CCO informe aussi les autorités et les états-majors opérationnels, les directions et les services concernés sur l'impact des incidents sur la continuité des activités, en coordination avec les officiers cyber respectifs. Le CCO entretient également une relation très étroite avec le centre de planification et de conduite des opérations (CPCO) afin d'appuyer les opérations militaires. Notamment, la composante « renseignement » du CCO cumule ses fonctions avec celle de référent cyber du bureau renseignement du CPCO (J2/cyber).

Le CCO s'appuie en particulier sur :

des unités spécialisées telles que le centre d'analyse en LID (CALID), la 807 CTRS ou encore le centre d'audits de la SSI (CASSI) - placées sous l'autorité fonctionnelle du COMCYBER qui disposent de capacités permanentes⁽²⁹⁾, spécialisées et souveraines ;
une chaîne défensive déclinée jusqu'aux plus bas échelons (organiques, tactiques pour les structures déployées en opérations, ou encore les correspondants lors d'une externalisation) ;
des groupes d'interventions cyber ⁽³⁰⁾armés par les EMDS dans le cadre du contrat opérationnel ;
des capacités de détection (appelées SOC⁽³¹⁾) adaptées et rattachées aux opérateurs des EMDS permettant d'assurer entre autre la surveillance ;
la réserve de cyberdéfense à travers le centre de réserve et de préparation opérationnel de cyberdéfense (CRPOC) ;
les experts du pôle SSI de la DGA pour le soutien d'expertise dans le cadre des missions fixées par un protocole⁽³²⁾ ad hoc ;
les partenaires nationaux en particulier l'ANSSI et les services de renseignement, ainsi que les partenaires internationaux ;
la DIRISI et les autres opérateurs du ministère.

2.3.1.3. Le centre d'analyse en lutte informatique défensive.

Placé sous l'autorité du COMCYBER, le centre d'analyse en lutte informatique défensive (CALID) est le centre opérationnel spécialisé du ministère des armées en matière de LID. Il fournit des capacités d'anticipation, de détection et de réaction. Il conduit, sur ordre du COMCYBER, les opérations au niveau tactique, en apportant une expertise technique.

En sa qualité de « CERT »⁽³³⁾ du ministère, il est responsable de la fonction d'hypervision pour l'ensemble du ministère et doit pouvoir accéder, sur demande, aux capacités des opérateurs et des SOC, y compris sous-traitées ou externalisées, pour remplir ses missions.

Le CALID fonctionne en permanence (24/7). Il est armé par du personnel spécialisé et disposant des savoir-faire, notamment sur les systèmes d'investigation, de surveillance et sur les techniques associées en matière de LID.

Le CALID coopère très étroitement avec :

l'ANSSI/COSSI⁽³⁴⁾pour assurer la défense en profondeur des systèmes du ministère et disposer de la connaissance des alertes concernant les réseaux et systèmes alliés, gouvernementaux ou privés, en lien avec ceux de la défense ;
ses homologues techniques au niveau national, interallié (NCIRC)⁽³⁵⁾ et des alliés (CERTs militaires). En tant que CERT du ministère, il est dénommé « FR-MIL-CERT » ;
les pôles d'expertise en matière de cyberdéfense de la direction générale de l'armement (DGA) encadrés par le protocole COMCYBER DGA, qui définit les modalités et les attentes. Activable sans délai, la DGA-MI DGA (maîtrise de l'information) peut appuyer le CALID ou être chargée de certaines tâches d'expertise technique approfondie.

Le CALID comptabilise les incidents LID pour le ministère des armées à l'exclusion du périmètre de la DRSD et de la DGSE. Il consolide également la comptabilisation des incidents LID ouverts par les SOC.

Pour l'ensemble du ministère, le CALID exerce notamment les missions :

d'anticipation, par le maintien d'une vision d'ensemble des menaces, des modes opératoires ainsi que des marqueurs d'attaques informatiques, au profit de l'ensemble du ministère ;
de capitalisation et de diffusion des marqueurs d'attaques informatiques, et du pilotage de la recherche d'attaques informatiques au profit des SOC ;
d'établissement et de maintenance d'une base de données des vulnérabilités partagée avec tous les acteurs concernés⁽³⁶⁾, selon le droit et le besoin d'en connaître ;
de diffusion des informations sur les précautions à prendre pour minimiser les risques d'incidents ou leurs conséquences ;
de consolidation du suivi des incidents de sécurité (attaques suspectées ou avérées) sur les réseaux et les systèmes d'informations : réception des demandes, analyse des symptômes et éventuelle corrélation des incidents ;
de réaction aux attaques informatiques, au moyen de capacités humaines et matérielles d'investigations numériques spécialisées ;
de réalisation au profit du COMCYBER d'une tenue de situation ministérielle des incidents en cours de traitement ;
d'accompagnement des SOC internes, ou externalisés, dans l'élaboration des stratégies de surveillance et de détection, et la validation de plans de remédiation ;
de coordination technique avec les partenaires, notamment le COSSI ;
d'élaboration des procédures employées, des directives techniques et des modèles de message utilisés ;
de conseiller du COMCYBER pour la définition des moyens humains et matériels nécessaires pour armer un GIC ;
de tenue à jour de la liste des moyens nécessaires au déploiement d'un GIC et la fourniture des outils logiciels nécessaires à la réalisation de la mission ;
de soutien technique aux équipes déployées, tant en matière d'analyse approfondie que de conseil ;
de vérification des comptes rendus finaux d'incidents et d'interventions des EMDS et analyse du retour d'expérience (RETEX) dont il est destinataire. Le CCO valide les documents définitifs.

Pour exercer ses missions, le CALID doit pouvoir accéder, sur demande, aux systèmes sous responsabilités du ministère, y compris ceux qui sont externalisés.

2.3.2. Les états-majors, directions, services et les organismes rattachés.

Les EMDS doivent assurer une activité de type SOC, adaptée à leur organisation, pour la surveillance de leurs systèmes qui ne relèvent pas de l'opérateur de référence la direction interarmées des réseaux d'nfrastructure et des système d'information (DIRISI) , notamment leurs propres systèmes d'information (SI) « métier » et disposer d'un centre, ou à minima assurer une activité, de coordination LID (C2 LID). Les deux cas suivants sont distingués :

lorsque le système est non opéré par la DIRISI, cette activité assure la coordination technico-opérationnelle, au profit de la chaîne défensive. Elle sert aussi de relais au CALID et au CCO (gestion technique de bâtiment, les SIC tactiques, les systèmes d'armes, l'informatique embarquée, etc.) ;
lorsque le système est opéré par la DIRISI, cette activité apporte au CALID, si besoin, une connaissance « utilisateur » du milieu, de l'environnement, des contraintes, etc.

Indépendamment de leur rattachement organique ou de leur positionnement géographique, les C2 LID sont sous la tutelle fonctionnelle de la chaîne défensive. Les C2 LID apportent deux expertises complémentaires :

une expertise métier d'armée ou d'organisme, qui assure un lien très étroit avec le CALID. Elle a vocation à participer à la gestion des incidents ou à la mise en place d'une première cellule de crise ou équipe d'intervention ;
une expertise technique d'armée ou d'organisme assurée au sein des centres techniques LID (CT LID), où à minima d'une activité, de taille et d'organisation variables selon l'organisme. Le CT LID n'existe que si nécessaire. Le premier rôle d'un CT LID est d'apporter l'expertise précise sur les systèmes et de suivre leur état en matière de LID. Il n'a pas vocation à exploiter des systèmes de détection LID, ni à assurer une permanence H24.

L'officier général commandant de la cyberdéfense décline dans une directive opérationnelle cyberdéfense annuelle les missions et objectifs à couvrir par les EMDS. Elle complète les contrats opérationnels⁽³⁷⁾ des forces armées en vigueur qui décrivent des capacités opérationnelles devant être mises en œuvre par les unités spécialisées de cyberdéfense et les EMDS selon des délais d'alerte définis.

Les opérations de défense des systèmes d'information liées à la fonction dissuasion sont pilotées en lien direct avec le chef de la division des forces nucléaires de l'EMA et le centre opérationnel des forces nucléaires (COFN), l'inspecteur des armements nucléaires (IAN) en est tenu informé.

L'efficacité de l'action opérationnelle de cyberdéfense repose en partie sur le partage d'informations entre entités ayant des intérêts en commun. C'est pourquoi le COMCYBER entretient une coopération interministérielle en matière de LID, avec les services de renseignement, les partenaires internationaux et éventuellement les industriels. Ces coopérations sont aujourd'hui décisives pour la cyberdéfense. Elles sont encadrées et coordonnées par le COMCYBER pour l'ensemble du ministère des armées.

Le recours à l'externalisation, a considérablement étendu la surface d'attaque et la complexité du cyberespace à défendre pour le ministère. Les sous-traitants et industriels de défense représentent un vecteur indirect de menace contre les systèmes, notamment les systèmes d'armes.

Le ciblage des chaînes d'approvisionnement ou de maintien en condition opérationnelle, des fournisseurs ou des sous-traitants constitue aujourd'hui un mode d'action courant lors d'une cyberattaque. La chaîne défensive du ministère doit être en mesure d'assurer un continuum dans ses missions d'anticipation, de détection et de réaction sur les périmètres externalisés ou interconnectés avec les industriels de défense.

En coordination avec la DRSD⁽³⁸⁾ et l'ANSSI, la chaîne défensive doit disposer des moyens de son action au minimum à travers des vecteurs contractuels ou éventuellement via la voie réglementaire pour certains cas⁽³⁹⁾.

Les autorités signataires de marchés transposent les principes de cette politique dans les contrats à venir. Pour les contrats en cours, elles devront étudier la faisabilité d'un avenant en tant que de besoin.

L'autorité d'emploi, en s'appuyant sur son officier cyber (OCYBER), s'assure que les prestations délivrées permettent d'adapter le niveau de sécurité pour faire face à la menace, de surveiller le dispositif, et de faciliter une réaction. En outre le COMCYBER et la DGA mettent en place un dispositif permettant de faciliter les échanges d'information de LID vers certains industriels de défense et services externalisés.

2.3.2.1. Les officiers cyber.

Les commandants ou directeurs de structures organiques (EMDS) disposent d'un officier cyber (OCYBER) éventuellement renforcé par une cellule cyber (CC). L'OCYBER assure le lien fonctionnel avec le COMCYBER.

Dans le cas particulier d'un théâtre d'opération extérieur, l'OCYBER est subordonné au COMANFOR⁽⁴⁰⁾ et la cellule cyber de théâtre, agit en matière de LID, en coordination avec la chaîne SIC du théâtre, en particulier le COMSICIAT. Par ailleurs, les opérations de LID sont élaborées et conduites en étroite concertation avec le CCO et en lien avec le CPCO/J6.

L'OCYBER est le conseiller du commandement ou de la direction pour toutes les questions relatives notamment à la défense des systèmes, il est responsable, dans le périmètre de l'autorité à laquelle il est subordonné, de la coordination de la défense (LID) des systèmes d'information avec la protection (SSI). Les OCYBER peuvent cumuler les rôles d'OSSI⁽⁴¹⁾et d'OLID⁽⁴²⁾. Dans ce cadre, les OCYBER :

assistent et conseillent le commandement dans l'exercice de ses responsabilités, tant dans la conception que dans l'exploitation des systèmes d'information, en vue d'assurer leur sécurité ;
mettent en place dans leur structure respective les moyens nécessaires pour assurer la coordination entre la chaîne défensive et les autorités d'emploi ;
estiment les impacts opérationnels sur leur activité consécutifs aux mesures défensives envisagées par le COMCYBER ;
intègrent la problématique LID aux travaux de planification et de conduite de leur organisme.

2.3.2.2. Les groupes d'intervention cyber.

Les groupes d'intervention cyber (GIC) représentent une capacité d'intervention en LID primordiale et complémentaire des SOC. Ces groupes sont constitués par du personnel spécialisé en investigation numériques et en audit de sécurité des systèmes d'information.

Les GIC peuvent être déployés suivant deux cas de figure : soit en réaction à un incident LID⁽⁴³⁾ soit de manière planifiée, telle une patrouille, vis-à-vis d'un système particulier⁽⁴⁴⁾pour rechercher des traces d'attaques passées ou en cours.

La mission d'un GIC est également de conseiller et d'épauler le responsable d'une activité pour restaurer ou maintenir la disponibilité, la confidentialité et l'intégrité d'un système, touché par un incident ou dont le niveau de défendabilité est insuffisant.

Les GIC du ministère sont fournis par les EMDS et proviennent le plus souvent d'unités spécialisées de cyberdéfense. Le nombre et les délais d'alerte des GIC sont décrits dans les contrats opérationnels des EMDS. Ce travail de définition du volume et des niveaux d'alerte des GIC relève du COMCYBER. Il est établi en lien avec les EMDS. Des GIC fournis par des industriels de confiance, répondant à la norme PRIS, peuvent intervenir au bénéfice du ministère si le système d'information concerné l'autorise. Outre le cadre contractuel, les modalités d'intervention, d'analyse et de conservation des données prélevées et de confidentialité doivent être définies dans une charte co-signée par l'industriel et le COMCYBER.

Des GIC sont planifiés à partir d'expressions de besoin formulées annuellement par les EMDS vers le COMCYBER. Ils permettent de déterminer si un système d'information particulier fait ou a fait l'objet d'attaques cybernétiques.

Un GIC est exclusivement armé par du personnel ayant suivi la formation nécessaire et reconnu apte à exercer la fonction de chef de groupe ou de technicien.

La composition des groupes d'intervention et leur mise en alerte sont déterminées par un contrat opérationnel annuel avec les EMDS ou en fonction des circonstances selon les directives du COMCYBER. Ils sont constitués à partir d'un vivier de spécialistes identifiés. Le COMCYBER fixe les modalités et les conditions de leur emploi dans le contrat opérationnel.

Les interventions des GIC doivent être réalisées de façon à satisfaire au mieux les conditions de qualification pour la réponse aux incidents de sécurité prévues par le décret n° 2015-350 du 27 mars 2015 relatif à la qualification des produits de sécurité et des prestataires de service de confiance pour les besoins de la sécurité nationale.

La programmation, l'organisation et le déroulement d'un GIC s'adaptent aux contraintes opérationnelles de l'autorité d'emploi tout en cherchant à préserver l'intégrité du système concerné.

En cas de découverte d'une attaque ou d'une compromission au cours d'une mission GIC planifiée, les actions menées ne sont plus d'ordre préventif, mais réactif à travers un ordre d'opération adapté à la situation et promulgué par le COMCYBER.

La chaîne de responsabilité d'une opération est définie comme suit, avec délégation possible sur ordre du COMCYBER :

CHAÎNE DES RESPONSABILITÉS.	CAS GÉNÉRAL.	DÉLÉGATION POSSIBLE.
OPCOM.	CEMA.	-
OPCON.	COMCYBER via son pôle opérations (CCO).	OLID d'armée ou responsable de zone pour les OPEX/Forces de présence ou souveraines.
TACOM.	CALID.	OLID d'armée ou responsable de zone pour les OPEX/Forces de présence ou souveraines.
TACOM.	Chef du GIC.	Chef du GIC.

L'ordre préparatoire des opérations et les ressources qui arment le GIC est proposé au CCO, après validation par le CALID, par le TACON qui en assurera la coordination technique, ou la conduite, selon les conditions de commandement arrêtées.

Le chef du GIC est responsable du personnel et des matériels déployés dans le cadre de l'opération ainsi que du bon déroulement des différentes phases de la mission. Il a un rôle essentiel en matière d'information des autorités locales et de compte-rendu vis-à-vis de sa chaîne de commandement, le CALID et le CCO.

Les autorités d'emploi, appuyées des responsables du système d'information concerné, apportent leur soutien et coopèrent sans restriction. Au niveau local, un personnel exerçant la fonction d'administrateur du système concerné, est désigné pour accompagner le groupe et faciliter ces opérations.

2.3.2.3. Les Security Operation Centers.

2.3.2.3.1. Contenu

Les Security Operation Centers (SOC) sont les centres du ministère assurant la mission de détection en coordination avec l'OLID, et en particulier la qualification des alertes de sécurité en incident de sécurité sur leurs périmètres de responsabilités, y compris sur les périmètres externalisés ou opérés par un industriel.

Les SOC peuvent être externalisés pour tout ou partie, mais doivent impérativement respecter la présente politique et s'intégrer pleinement dans la chaîne de LID.

Les SOC sont responsables :

des capacités de surveillance. À ce titre ils concourent aux missions d'anticipation et de réaction ;
de s'assurer que tous les secteurs du ou des opérateurs qu'ils couvrent, nécessitant une surveillance, sont identifiés et intégrés dans la chaîne de surveillance, en coordination avec l'OLID ;
de s'assurer de l'efficience de tous les capteurs sur leur périmètre de responsabilité ;
d'appuyer leur commandement dans la conduite des opérations de LID.

Les SOC contribuent à l'élaboration de la situation cyber de référence du ministère, tenue par le CALID au niveau tactique, et par le CCO au niveau opérationnel.

Les SOC assurent le premier niveau de détection et de qualification, exploitant ainsi l'information utile sur les évènements de sécurité de leur périmètre avant escalade vers le CALID.

Les SOC peuvent contribuer à l'armement d'un GIC.

Les SOC exploitent le RIC fourni par le CALID.

2.3.2.3.2. Contenu

Figure 3 : Chaîne de commandement de la LID.

3. MISE EN UVRE DE LA LUTTE INFORMATIQUE DÉFENSIVE.

3.1. La lutte informatique défensive.

La lutte informatique défensive (LID) repose sur les trois missions : anticipation, détection et réaction. Ces missions se déclinent comme suit. Elles sont détaillées dans l'annexe V.

	ANTICIPATION (Annexe V. point 2.1.).	DÉTECTION (Annexe V. point 2.2.).	RÉACTION (Annexe V. point 2.3.).
Veiller.	X
Renseigner.	X	X	X
Reconnaître.	X	X	X
Surveiller.	X	X	X
Investiguer.	X	X	X
Défendre.		X	X
S'adapter.	X	X	X
Contrôler.	X	X	X
Neutraliser.			X
Reconquérir.		X	X
Reconstruire.			Concoure.

La LID peut être combinée pour faire face, pour repousser ou faire cesser les effets d'une cyberattaque, avec des actions dépassant le champ de la cyberdéfense. La présente politique, se concentre uniquement sur la déclinaison des missions défensives dans le cyberespace.

L'augmentation de l'efficacité des missions d'anticipation, de détection et de réaction passe notamment par une meilleure coopération nationale et internationale. Pour y parvenir, il est nécessaire de développer des méthodes et moyens d'interopérabilité des outils défensifs de cyberdéfense.

Toutefois dans le cadre des coalitions, les principes suivants s'appliquent :

la LID reste une prérogative nationale ;
les incidents sur les réseaux nationaux sont considérés à priori comme « Spécial France »⁽⁴⁵⁾car dévoilant nos potentielles vulnérabilités. C'est pourquoi le ministère déploie uniquement ses propres groupes d'intervention et capacités sur les réseaux nationaux ;
la France peut apporter son soutien pour des opérations défensives sur le réseau d'un allié ou d'une coalition qui en ferait la demande ;
toute mission ou exercice, en coalition ou avec des alliés, nécessitant des systèmes d'information de circonstance ou des interconnexions avec des réseaux nationaux, doit obligatoirement comporter l'étude d'opportunité d'un volet « LID » et en rendre compte au CCO.

Le COMCYBER est responsable, pour l'ensemble du ministère des armées, de définir ou d'approuver les standards et moyens de cyberdéfense employés par les unités spécialisées et les entités concourantes afin de garantir la cohérence des capacités de cyberdéfense au sein du ministère des armées et l'interopérabilité au niveau national comme international.

Toute mission de LID doit se conformer à des règles d'engagement et des règles de sécurité opérationnelle approuvées par le COMCYBER, visées préalablement par l'autorité d'emploi concerné ou le HFCDS.

La LID peut parfois nécessiter des interactions non intrusives⁽⁴⁶⁾ avec des systèmes d'information maitrisés potentiellement par un adversaire. Ces interactions, qui visent à mieux caractériser une cyberattaque (arsenal et infrastructure d'attaque), peuvent être conduites par le CALID sur ordre du COMCYBER, avec le concours des services de renseignement.

Dans le cadre de la LID, il peut être nécessaire, par anticipation ou en réaction, de décider de dégrader ou de couper nos systèmes. Cette décision incombe, en premier ressort, à l'autorité d'emploi ou, si les circonstances l'exigent, à l'autorité qualifiée SSI ou le HFCDS. Pour certains systèmes clairement désignés (ex : dissuasion, PPS Air), ou qui relèvent d'autorités interministérielles, un arbitrage au niveau supérieur est nécessaire.

L'autorité d'emploi est responsable de la reprise d'activité du système d'information, en s'appuyant sur sa chaîne protection / SSI et en concertation avec le COMCYBER.

3.2. Posture permanente de cyberdéfense.

Le cyberespace est un milieu particulier d'opération, à la fois permanent et soumis à des crises. La détermination d'une posture de cyberdéfense découle d'un niveau de menace déterminé à la fois par :

l'état de la situation géopolitique ;
l'état de la situation dans le cyberespace et le niveau d'alerte national ;
les activités, les missions et les opérations militaires en cours et à venir ;
l'évaluation de la menace propre au domaine cyber militaire ;
des évènements et des effets redoutés d'un adversaire potentiel.

La posture permanente de cyberdéfense (PPC) est l'ensemble des mesures prises pour assurer la défense des forces armées dans le cyberespace en temps de paix comme de crise ou de guerre. La PPC décline, au niveau du ministère des armées, la posture nationale de cyberdéfense définie par le secrétariat général de la défense et de la sécurité nationale (SGDSN).

La PPC vise à préserver la liberté d'action des forces armées et du ministère. Elle recouvre trois missions principales :

la surveillance du cyberespace et la détection des atteintes affectant le ministère des armées ;
la capacité des forces à se déployer en sécurité au regard des menaces provenant du cyberespace, et à accomplir leur mission ;
la réaction aux agressions informatiques ou informationnelles, y compris en prenant des mesures pour en faire cesser les effets.

La PPC est placée sous le contrôle opérationnel de l'officier général commandant de la cyberdéfense et est adaptée en fonction du stade d'alerte et du niveau de menace.

Le niveau de menace définit les risques auxquels le ministère est exposé. Il permet de fixer les objectifs de protection et de résilience de nos systèmes. Le niveau de menace est arrêté par l'officier général commandant de la cyberdéfense en lien avec l'ANSSI :

niveau jaune : assurer une vigilance accentuée, face à des risques réels mais encore imprécis, par des mesures locales générant le minimum de perturbations dans l'activité normale. Se mettre en état de passer aux postures des niveaux orange et rouge dans un délai de quelques jours ;
niveau orange : prévenir le risque d'une action hostile considérée comme plausible, fût-ce au prix de contraintes et de perturbations modérées dans l'activité normale. Se mettre en état de passer aux postures des niveaux rouge et écarlate dans un délai rapide (quelques heures), selon la nature des moyens ;
niveau rouge : prendre les mesures nécessaires, dont certaines mesures de protection des systèmes et des réseaux pour prévenir le risque avéré d'une ou plusieurs cyberattaques importantes. Mettre en place les moyens de secours conformément aux plans de continuité d'activité. Préparer la défense des systèmes par des moyens appropriés, en acceptant les contraintes imposées à l'activité du ministère et des forces tout en garantissant leur liberté d'action ;
niveau écarlate : prévenir le risque de cyberattaques majeures simultanées, pouvant utiliser des modes opératoires différents. Mettre en place les moyens de secours conformément aux plans de reprise d'activité. Préparer la défense des systèmes par des moyens appropriés. Des mesures particulièrement contraignantes peuvent être mises en œuvre, gênant l'activité du ministère, mais garantissant la liberté d'action aux forces.

Le stade d'alerte définit les objectifs et les mesures à mettre en œuvre de prévention, de protection, d'anticipation, de détection et de réaction sur l'ensemble les systèmes relevant du ministère, et peut ponctuellement varier d'une zone ou d'un domaine particulier à un autre. Il existe trois stades d'alerte :

vigilance : adopté en continu, pour faire face à un niveau de menace faible à modéré. Il consiste à assurer le maintien d'un niveau de SSI approprié à l'exécution des missions du ministère ;
renforcé : pour faire face à une menace avérée présentant un risque d'impact majeur, ou pour faire face à un incident ou une attaque qui ne peut être contenu localement et menace de s'étendre ;
crise : adopté en cas de cyberattaque majeure ou d'incident à grande échelle. Ce stade vise à permettre le maintien des activités opérationnelles prioritaires, éventuellement en utilisant certains systèmes critiques en mode dégradé.

Le CCO évalue le niveau de menace dans le but de fixer ensuite le stade d'alerte de la chaîne défensive, y compris pour les réserves cyber, dans le cadre de la PPC.

L'officier général commandant de la cyberdéfense fixe le stade d'alerte à adopter par la chaîne défensive, en lien avec le SCOPS de l'EMA et le HFCDS.

3.3. Classement des attaques et réactions associées.

Le classement des attaques et les réactions associées sont réalisés à partir de l'échelle ci-dessous qui provient des recommandations de la revue stratégique de cyberdéfense et est alignée avec les standards CISS USA. Cette échelle doit être utilisée pour toute qualification d'un incident par la chaîne défensive.

Un incident peut être requalifié à tout moment par la chaîne défensive en particulier par le COMCYBER, en fonction du contexte, de la situation, de la gravité des impacts et de l'adversaire.

ÉCHELLE DE GRAVITÉ.	ÉVALUATION DE L'IMPACT.	PRINCIPES/RÉACTIONS ASSOCIÉES.
0	Incident négligeable Impact négligeable	- traitement de l'incident par la chaîne défensive au niveau des EMDS, tout en rendant compte au CALID et à la chaîne défensive.
1a	Incident Impact faible	- traitement de l'incident par la chaîne défensive au niveau des EMDS tout en rendant compte au CALID. - ce dernier rend compte au CCO des incidents, dont l'évolution et la caractérisation nécessitent d'ordonner une opération de LID du COMCYBER. À ce stade, un GIC peut être engagé en réaction, sur décision du CCO.
1b	Incident Impact significatif et circonscrit	- conduite d'une opération de LID par le COMCYBER, en lien avec la chaîne défensive au sein des EMDS, sous la coordination du CCO et du CALID. - la posture peut être adaptée sans délai.
2	Incident grave Impact fort et circonscrit	- correspond soit à des niveaux d'impact et de criticité forts mais circonscrits, soit à des niveaux d'impact faible pour un niveau de criticité important ou majeur (ou réciproquement). - le COMCYBER se prépare à activer une cellule de crise. Il peut activer des renforts ou des capacités additionnelles issues du contrat opérationnel, ou des différents protocoles (ANSSI, DGA, etc.).
3	Crise Impact fort et étendu	- le COMCYBER active une cellule de crise en lien avec l'ANSSI, le HFCDS et le SCOPS de l'EMA. - la posture de crise est potentiellement activée sans délai.
4	Crise Majeur	- correspond à une crise systémique ou à un impact majeur sur les activités du ministère ou les missions des forces. - une cellule de crise ministérielle est activée, en lien avec le COMCYBER qui conduit les opérations défensives
5	Situation d'urgence extrême	- la souveraineté ou les intérêts fondamentaux de la Nation sont atteints. - la caractérisation « d'agression armée », au sens de l'article 51 de la charte des Nations unies, est envisageable. - une cellule de crise interministérielle est activée.

4. COHÉRENCE MINISTÉRIELLE DE LA CAPACITÉ DE LUTTE INFORMATIQUE DÉFENSIVE.

4.1. Introduction.

L'article 6. de l'arrêté du 4 mai 2017 ^(A) modifiant l'organisation de l'état-major des armées précise que l'officier général commandant de la cyberdéfense assure la cohérence du modèle de cyberdéfense du ministère et sa coordination générale, hors DGSE et DRSD.

L'arrêté précise qu'il :

contribue à l'élaboration de la politique des ressources humaines de cyberdéfense ;
coordonne la contribution des armées et organismes interarmées à la politique nationale et internationale de cyberdéfense ;
coordonne la définition des besoins techniques spécifiques de cyberdéfense ;
développe et anime la réserve de la cyberdéfense ;
contribue à la préparation de l'avenir du domaine de la cyberdéfense ;
participe à l'élaboration des positions du ministère de la défense auprès des instances internationales et des organismes nationaux ne dépendant pas du ministre des armées.

Ce chapitre précise quelques principes de gouvernance visant à assurer la cohérence du modèle à l'échelle ministérielle.

4.2. Élaboration des politiques, doctrines et organisations.

Les EMDS peuvent spécifier l'organisation, les processus et les moyens mis en place dans le cadre de cette politique de LID pour prendre en compte leur particularité. Ils informent le COMCYBER, et peuvent déroger à cette politique, sous réserve d'accord du COMCYBER.

Les documents qui relèvent du périmètre de l'instruction générale n° 125/DEF/EMA/PLANS/COCA - N° 1516/DEF/DGA/DP/SDM du 26 mars 2010 relative au déroulement et à la conduite des opérations d'armement, et comportant des éléments sur la LID ou la cyberdéfense, sont soumis pour avis au COMCYBER.

En complément, afin d'assurer la cohérence du modèle de cyberdéfense du ministère et sa coordination générale, tout document traitant de stratégie de LID doit être validé préalablement par le COMCYBER. Ceci inclut en particulier, en matière de LID :

les documents traitant de prospection, d'ambition, de politique, d'organisation, de schéma directeur, de doctrine ;
les doctrines d'emploi des unités concourantes.

Les retours d'expérience produits par les unités concourantes à la LID doivent être adressés au COMCYBER en sus des processus de partage du RETEX en vigueur⁽⁴⁷⁾.

Cette politique est complétée par un plan de LID global, sous la responsabilité du COMCYBER, qui peut être décliné par les EMDS sous réserve d'une validation du COMCYBER.

4.3. Ressources humaines.

Les ressources humaines (RH) sont le facteur clé de succès des actions de LID.

L'automatisation des procédés reste un enjeu car elle permettra de limiter le recours à des ressources humaines et des expertises rares, pour anticiper, détecter et réagir, même aux attaques les plus élaborées⁽⁴⁸⁾.

Dans le cadre de sa mission de préparation de l'avenir, le COMCYBER doit définir, orienter et consolider la politique RH cyber en liaison avec les acteurs de la gestion des ressources humaines du ministère des armées.

Pour remplir ses missions de LID, le ministère doit disposer de spécialistes de la cyberdéfense formés et entraînés. Ils servent au sein des structures de l'organisation de cyberdéfense du ministère et des services de renseignement. Les actions de veille, de détection et d'action de lutte contre les attaques informationnelles. Celles-ci sont conduites par un mélange de spécialistes en sciences humaines et en technologie de l'information, par des analystes et des généralistes dans le domaine des opérations.

Mêlant des savoir-faire comme par exemple la connaissance du cyberespace, l'analyse de la menace, l'investigation, le ciblage, l'organisation RH du ministère est professionnalisée via des parcours de carrières coordonnés par les filières professionnelles SIC/Cyber et RENS/Cyber au sein des familles professionnelles SIC et RENS afin de construire une pyramide des rôles et fonctions cyber du ministère.

Pour la LID, la DGNUM est en charge de rendre compte aux instances ministérielles et interministérielles de la montée en puissance des ressources humaines cyber ministérielles.

La coordination des politiques RH cyber est notamment réalisée au travers des travaux du groupe de travail « opérer dans le cyberespace ».

Pour disposer d'une population plus homogène, plus pérenne dans le temps et plus apte à relever les défis de la LID, il est indispensable de donner de la visibilité aux gestionnaires des ressources humaines et aux individus sur leurs perspectives d'emploi. En particulier, il s'agira de cartographier les postes clés et y adosser un parcours professionnel ou des prérequis. Cette politique a également pour but d'identifier les axes d'effort en termes d'attractivité et de fidélisation du personnel concerné. À cet effet, un document de politique générale RH Cyber complètera le présent document.

À ce titre, le COMCYBER :

en liaison avec les employeurs, veille à l'élaboration d'une politique de recrutement et d'actions de communication ciblées dans l'objectif de répondre à l'ensemble des besoins spécifiques. Il concourt à la tenue d'évènements susceptibles de générer de l'attractivité. Il veille à l'identification des potentiels candidats issus de la société civile, et susceptibles de rejoindre le ministère.
défend, avec la DGNUM, la DRSD, la DRM et la DGSE, les intérêts du domaine cyber dans les différentes instances RH.

En liaison avec la CAF⁽⁴⁹⁾« cybersécurité » (CYBER)⁽⁵⁰⁾ et les structures de formation, le COMCYBER s'assure de l'adéquation des formations spécialisées cyber existantes avec les besoins opérationnels, en synergie avec les autres CAF.

Le COMCYBER est chargé de conduire les travaux de pérennisation de la fonction cyber. Dans le domaine RH, il a la responsabilité de définir cette sociologie et d'orienter la politique RH en liaison avec les acteurs RH du ministère.

Pour la LID, en lien avec la DGNUM et la direction des ressources humaines du ministère de la défense (DRH-MD), le COMCYBER entretient une vision d'ensemble des effectifs et de leur montée en puissance et se voit adresser régulièrement un bilan des chaînes mises en place par les EMDS. Il apporte une expertise du domaine sur les éventuelles difficultés de gestion RH.

Sans se substituer aux autorités organiques, le COMCYBER assure, en lien avec les gestionnaires RH, une veille spécialisée sur l'armement des postes au sein des unités placées fonctionnellement sous son autorité, dans le souci de préserver un bon niveau de capacité opérationnelle.

Le COMCYBER pilote le recrutement et la préparation opérationnelle de la réserve de cyberdéfense, réalisés par le centre de réserve et de préparation opérationnelle de cyberdéfense (CRPOC), avec le concours des EMDS.

4.4. Entraînement/Préparation opérationnelle.

En matière de LID, le besoin de préparation de l'ensemble de la chaîne et des spécialistes nécessite l'exécution régulière d'exercices et d'entrainements dans des conditions proches de la réalité et devant être adaptés aux menaces les plus prégnantes.

L'officier général commandant de la cyberdéfense est responsable :

du contrôle de l'emploi ainsi que du niveau de préparation et d'entraînement des moyens de LID ;
de la préparation et de la réalisation des exercices et des entrainements en LID ;
de la réalisation de tests et d'exercices inopinés.

Des exercices à vocation de cyberdéfense doivent en conséquence être régulièrement réalisés afin de renforcer les savoir-faire spécifiques. L'effort porte sur :

la planification et la préparation des opérations dans le cyberespace ;
la conduite des opérations de LID en gestion de crise ;
la prise en compte de l'environnement et du RIC.

Si la préparation opérationnelle est du ressort des EMDS ces derniers étant en particulier responsables d'organiser l'entraînement individuel de leur personnel le COMCYBER, en sa qualité d'employeur, doit définir les objectifs à atteindre afin de disposer des capacités nécessaires à la cyberdéfense. Ces objectifs et le niveau d'entraînement visé sont formalisés dans des directives annualisées de cyberdéfense.

Par ailleurs, le cadrage et le pilotage de la participation du ministère et des forces armées aux exercices interministériels et internationaux est du ressort du COMCYBER. Ce dernier est aussi responsable de la préparation et de l'animation des exercices nationaux qu'il conduit au profit de la chaîne de cyberdéfense. Le COMCYBER planifie et conduit l'exercice annuel DEFNET, afin d'entrainer toutes les composantes de la chaîne défensive.

De manière globale, le COMCYBER définit les organisations et met en place les moyens nécessaires à la préparation opérationnelle interarmées de l'ensemble de la chaîne de cyberdéfense. Définissant les résultats à atteindre lors de ces activités, le COMCYBER peut également mettre en place des moyens nécessaires à l'évaluation et à la qualification du niveau de compétence individuel et collectif des spécialistes de cyberdéfense. Les résultats de ces évaluations sont partagés avec la chaîne de commandement de l'unité concernée ainsi qu'avec la tête de chaîne défensive de l'EMDS dont cette unité dépend.

Le COMCYBER et la chaîne défensive peuvent recourir à l'externalisation pour mener à bien certaines missions et opérations de LID. Le niveau de qualification⁽⁵¹⁾ des industriels doit être reconnu par l'ANSSI. Le niveau de préparation opérationnelle du ministère et des forces doit être en mesure de fournir un niveau équivalent à ces niveaux de qualification.

Le COMCYBER s'appuie sur le CRPOC pour coordonner la préparation opérationnelle, planifier et conduire certains exercices.

4.5. Soutien.

Le COMCYBER assure un soutien financier spécialisé aux unités qui lui sont fonctionnellement rattachées.

Le soutien courant (frais de déplacement hors dispositions opérationnelles particulières, formation, préparation opérationnelle, équipement courant, infrastructure, santé et sécurité au travail) reste de la responsabilité des autorités organiques.

4.6. Équipements.

Pour mener à bien ses missions, l'organisation de la chaîne défensive dispose d'outils, dont certains sont développés et produits en toute autonomie⁽⁵²⁾, ou sous maîtrise d'ouvrage avec des industriels de confiance en liaison avec la DGA lorsqu'il s'agit d'un programme ou d'une opération d'armement, ou avec le support d'une autre autorité signataire de marchés quand il s'agit d'acquérir des solutions sur étagère.

En termes de capacités spécialisées, on peut notamment citer les solutions :

de détection ;
d'investigation ;
de conduite des opérations dans le cyberespace ;
de veille ;
d'entraînement à la cyberdéfense.

Le COMCYBER valide les fiches d'expression de besoin des EMDS qui impactent la cohérence ministérielle en matière de LID, ce qui lui permet d'assurer la cohérence opérationnelle entre le besoin lié aux opérations conduites dans le cyberespace et les développements capacitaires. À ce titre, il contribue à l'expression des besoins en équipements spécifiques de cyberdéfense, et à la cohérence capacitaire en maintenant une liaison étroite avec l'EDPI⁽⁵³⁾ du PEM⁽⁵⁴⁾ Cyber et l'officier de cohérence opérationnelle.

Le PEM Cyber comprend notamment l'ensemble des études, des développements et des réalisations communes destinées à fournir aux EMDS les capacités spécialisées cyber, en termes notamment de chiffrement et de LID, en permettant ainsi de factoriser les efforts. Les besoins spécifiques des EMDS ne sont généralement pas pris en compte dans le PEM Cyber.

S'agissant des acquisitions spécifiques cyber, le COMCYBER dispose d'un levier financier sur le budget opérationnel de programme 178-061C « emploi des forces ». Il veille à la programmation financière adéquate et à la réalisation des besoins spécialisés des unités fonctionnellement placées sous son autorité.

Une unité opérationnelle (UO) dédiée est mise à la disposition du COMCYBER, pour contribuer :

au financement direct des opérations de cyberdéfense du ministère, incluant le développement de capacités et leur emploi ;
au fonctionnement courant du COMCYBER ;
à l'entraînement dans le domaine de la cyberdéfense ;
à l'acquisition de petits équipements⁽⁵⁵⁾ spécifiques et de prestations au profit du COMCYBER et des unités qui lui sont fonctionnellement rattachées.

Si besoin, le COMCYBER appuie les EMDS dans l'expression de leur besoin propre à travers des directives ou en apportant un conseil spécifique dans les choix opérationnels.

Tout programme ou opération d'armement doit prendre en compte le risque d'une cyberattaque sur les équipements livrés, sur les services rendus mais également sur l'ensemble de la chaîne d'approvisionnement. C'est pourquoi, dans le cadres des programmes et opérations d'armement⁽⁵⁶⁾, la rédaction d'une FEROS est obligatoire afin d'assurer de la prise en compte systématique de la cyberdéfense, lors du passage à la phase de réalisation.

Enfin, pour la mission de détection, il est nécessaire de doter le COMCYBER de moyens d'hypervision capables de consolider l'ensemble des informations et des évènements de sécurité identifié. Cela nécessite que les opérations d'armement respectent une série de prérequis techniques. Cet axe de développement capacitaire constitue une priorité pour la cyberdéfense de l'ensemble du ministère, et induit un besoin d'interopérabilité à tous les niveaux sous la coordination du COMCYBER.

La ministre des armées,

Florence PARLY.

Annexes

Annexe I. Les documents applicables.

Les textes et documents applicables en sus des codes sont :

Décret n° 2017-743 du 4 mai 2017 ^(A) relatif aux attributions du chef d'état-major des armées ;
Arrêté du 20 mars 2015 modifié, portant organisation de l'état-major des armées et fixant la liste des commandements, services et organismes relevant du chef d'état-major des armées ou de l'état-major des armées ;

Arrêté du 4 mai 2017 ^(B) modifiant l'organisation de l'état-major des armées ;
IGI 2100 : instruction générale interministérielle n° 2100/SGDN/SSD du 1^er décembre 1975⁽¹⁾ relative à la protection des informations classifiées de l'organisation du traité de l'Atlantique nord (OTAN) ;
II 910 : instruction interministérielle n° 910 du 19 décembre 1994 ⁽¹⁾ relative aux articles contrôlés de la sécurité des systèmes d'information (ACSSI) ;

IGI 1300 : instruction générale interministérielle n° 1300 du 30 novembre 2011 ⁽¹⁾ relative à la protection du secret de la défense nationale ;
IM 900 : instruction ministérielle n° 900/DEF/CAB/DR du 26 janvier 2012 ⁽¹⁾ relative à la protection du secret de la défense nationale au sein du ministère de la défense ;

IGI 2102 : instruction générale interministérielle n° 2102/SGDSN/PSE/PSD du 123 juillet 2013 ⁽¹⁾ relative à la protection des informations classifiées de l'Union européenne (UE) ;

IGI 6600 : instruction générale interministérielle nº 6600/SGDSN/PSE/PSN du 7 janvier 2014 relative à la sécurité des activités d'importance vitale ;

II 901 : instruction interministérielle n° 901 du 28 janvier 2015 ⁽¹⁾ relative à la protection des systèmes d'information sensibles ;

IM 7326 : instruction ministérielle n° 7326/ARM/CAB du 25 juin 2018 ⁽¹⁾ relative à la politique de sécurité des systèmes d'information du ministère des armées (PSSI-M).

Notes

n.i. BO ; JO n° 106 du 5 mai 2017, texte n° 78.A

n.i. BO ; JO n° 106 du 5 mai 2017, texte n° 87.B

n.i. BO.1

Annexe II. ORGANISATION DE L'ANTICIPATION, DE LA DÉTECTION ET DE LA RÉACTION.

1. Anticipation.

La connaissance partagée, adaptée, fine et actuelle des risques et menaces qui pèsent sur l'environnement opérationnel, notamment cyber, des capacités et des systèmes sous-jacents à protéger ou à défendre, est un prérequis indispensable à l'efficacité de la posture de défense, à la planification et à la conduite d'opérations.

L'anticipation est l'ensemble des mesures permettant de limiter les effets et l'ampleur d'un incident ou d'une crise en complément de la mission de protection. Au profit du COMCYBER, elle a pour but :

d'objectiver le niveau de menace, le stade d'alerte et plus globalement les risques afin d'étudier et suivre les évolutions possibles ;
d'étudier l'opportunité et la faisabilité d'éventuels engagements opérationnels ;
de clarifier des situations complexes potentiellement génératrices de crises, en mettant en évidence les facteurs clés ;
d'élaborer des recommandations organisationnelles et techniques en prenant en compte les spécificités de la menace et le périmètre à défendre, au profit de la mission de réaction ;

Le COMCYBER, sur la base de son analyse de la menace, oriente l'ensemble de la chaîne défensive, en particulier les capacités de détection et d'anticipation. Le COMCYBER se coordonne avec l'ANSSI et les services de renseignement spécialisés (DGSE, DGSI).

La DGSE, contributeur du RIC, participe à l'évaluation de la menace et fournit au COMCYBER tout élément permettant de caractériser une menace contre le ministère des Armées. La DGSE est porteuse, pour le ministère des Armées, de la mission d'attribution.

Le RIC a notamment vocation à apporter à la chaîne du commandement de la cyberdéfense les informations dont la connaissance et la compréhension sont nécessaires pour opérer dans le cyberespace. Le RIC est une des composantes du renseignement d'intérêt militaire⁽¹⁾. Il est élaboré sur la base de renseignements multi capteurs obtenus tant dans l'espace physique que dans le monde numérique. Certains renseignements d'intérêt non militaire mais néanmoins cyber font l'objet d'échanges entre acteurs spécialisés de la LID.

En lien avec le commandement de la cyberdéfense, la direction du renseignement militaire (DRM) contribue à l'évaluation de la menace cyber d'intérêt militaire (acteurs, doctrines, capacités étatiques ou non) en se concentrant sur les organisations menaçant les forces armées.

Les actions de LID relèvent de la compétence exclusive du COMCYBER et des services de renseignement spécialisés désignés. Toute autre entité peut y contribuer sur sollicitation du COMCYBER, sur opportunité ou dans le cadre d'une mission permanente. Le CALID est chargé de détenir les expertises et les données nécessaires pour évaluer la technicité des attaques. Pour cela, le CALID peut s'appuyer sur les experts du pôle SSI de DGA⁽²⁾, sur l'ANSSI et les services de renseignement spécialisés désignés. Le CALID est l'entité du ministère des armées⁽³⁾ qui détient la base de référence ministérielle du RIC à fin de LID. En complément et à des fins de développement capacitaire, Le pôle SSI de la DGA est en charge de conserver et de gérer pour le ministère la base interministérielle des logiciels malveillants et des analyses techniques associées. Ce travail s'effectue en respectant les règles de diffusions des différents organismes contributeurs.

Le CALID est l'unité du ministère des armées⁽³⁾ responsable de collecter, qualifier, analyser et partager les informations et RIC à fin de LID. Le partage s'exerce sous contrôle du COMCYBER en particulier afin de garantir la confidentialité et le respect des cercles de confiance⁽⁴⁾. La diffusion est réalisée soit par le CALID, soit par le CCO en fonction des destinataires et partenaires, du contexte et de la nature des informations et renseignements à diffuser.

L'anticipation repose sur un cycle d'amélioration continue s'appuyant notamment sur les missions de prévention et de protection. L'efficacité des actions conduites dans le cadre de la mission d'anticipation se mesure par rapport au niveau de sécurisation de l'ensemble de la surface attaquable du ministère. Elle repose donc en premier lieu sur une connaissance approfondie et un partage du contexte, de la cartographie de l'environnement, des vulnérabilités et de la menace.

À titre d'exemple, la figure 1 représente le processus d'alerte dans le cas d'une vulnérabilité majeure affectant potentiellement les systèmes du ministère. Ces alertes proviennent principalement soit de partenaires tels que l'ANSSI, soit d'industriels ou encore de publications spécialisées. L'enjeu sur ce type d'évènement est d'informer, de coordonner l'action et d'évaluer l'impact avec toutes les parties prenantes concernées au sein du ministère (autorité d'emploi, chaîne SIC, chaîne protection, chaîne défensive) et en incluant éventuellement les prestataires et les industriels. Le CCO consolide la vision d'ensemble pour les alertes majeures et/ou nécessitant un traitement d'urgence. L'objectif est que toutes les parties prenantes disposent au plus tôt des éléments qui leur permettent d'évaluer le risque sur le périmètre de responsabilité impacté.

Figure 1 : Synthèse du processus d'alerte d'une vulnérabilité majeure.

Les connaissances et actions issues des missions de protection, complétées par celles issues de la mission d'anticipation sont un préalable à une mission de réaction, en particulier :

la cartographie du cyberespace - émanant de la reconnaissance du milieu pour maitriser la défense du système à travers son périmètre, ses points vitaux et rendre efficient le processus de gestion d'incident ou de crise (gestion des impacts, efficacité dans la coordination, etc.). Elle identifie les leviers de défense⁽⁵⁾, les interactions entre systèmes et activités métier et les principales faiblesses et vulnérabilités du dispositif ;
la maitrise du risque résiduel par la connaissance des vulnérabilités du système à défendre afin d'anticiper, entraver voire identifier des actions hostiles ;
la capacité de surveillance et de détection du système : permettant de suivre dynamiquement ou de retracer a posteriori des actions hostiles.

1.1. Le centre d'analyse en lutte informatique défensive.

Le CALID est responsable de la veille et de la consolidation, pour l'ensemble du ministère, de la connaissance des indicateurs de compromission et des modes opératoires d'attaque et des mesures pour les contrer ;

Le CALID est responsable, pour le ministère, de détenir et entretenir la base de connaissance technique de référence en matière défensive (artefacts techniques sous forme d'indicateur de compromission contextualisée, tactiques, techniques et procédures (TTPs), vulnérabilités connues, modes opératoires adverses).

Le CALID concoure à l'évaluation du risque et de la menace.

Dans le respect de la confidentialité et des conditions des communautés de partage, le CALID est chargé de diffuser les éléments techniques :

aux unités concourantes à la détection, en particulier les SOC ;
aux unités concourantes à l'anticipation et aux missions de protection.

Le CALID concoure à l'entretien de la situation cybernétique de référence du ministère détenue par le CCO du COMCYBER.

Le CALID contribue à la planification des groupes d'intervention cyber à titre préventif, responsabilité du COMCYBER, et contribue à la réalisation de certaines missions.

1.2. Les groupes d'intervention cyber.

Cette mission sert à intervenir sur un système d'information ne faisant pas l'objet d'une surveillance permanente, afin de rechercher, à un instant donné, toutes traces de cyberattaques passées ou en cours. Le GIC a une composition et un volume qui varient en fonction de la situation. Le GIC a pour mission :

dans une phase de préparation, de mener une reconnaissance des systèmes ciblés et de confirmer le périmètre concerné ;
dans une phase de prélèvement, de collecter des éléments du terrain ;
dans une phase d'analyse, de procéder aux analyses des prélèvements via les moyens du CALID afin de caractériser des traces d'attaques éventuelles ;
d'évaluer les systèmes de détection et les processus de réaction en place.

Le GIC rend compte de ses actions et de ses constats à son OPCON et son TACOM en tenant informé respectivement le CCO et le CALID, sans oublier les autorités locales. Ces comptes rendus permettent d'informer l'autorité d'emploi dont dépend le système d'information concerné.

Le GIC d'anticipation est planifié, et permet d'améliorer la connaissance globale du SI. Cette connaissance doit être partagée avec le CALID au travers du compte-rendu d'intervention.

Les résultats de la mission GIC, doivent être pris en compte par le responsable de l'activité afin d'établir des plans d'actions qui améliore la défendabilité du SI.

1.3. Les Security Operation Centers.

En s'appuyant sur l'opérateur, les SOC doivent disposer de la cartographie des systèmes et des réseaux de leurs périmètres de responsabilité. Ils en assurent le partage avec la chaîne défensive, sur demande.

Les SOC concourent à la capitalisation de la connaissance du contexte, de la cartographie de l'environnement et des vulnérabilités des systèmes afin, notamment, d'orienter la mission d'anticipation du CALID.

Les SOC s'appuient sur les analyses de risques réalisées au profit de l'autorité d'emploi, afin d'en déduire une surveillance adéquate pour chaque système.

Les SOC ont en charge l'amélioration continue des stratégies de détection sur les SI de leur périmètre.

Les SOC s'appuient sur une politique de journalisation déduite des évènements redoutés à détecter selon le système à surveiller.

Ils mettent à disposition du CALID les informations permettant d'entretenir la situation cyber de référence ministérielle, ainsi que le référentiel des évènements redoutés et la manière de les détecter.

2. Détection.

La détection permet de prendre conscience qu'une attaque est en préparation, a été tentée, menée, ou est toujours en cours.

La détection d'une attaque n'est pas forcément en temps réel et peut être faite a posteriori.

La mission de détection concerne l'ensemble des acteurs du ministère. En effet, tout utilisateur du système peut être à l'origine de la découverte. La détection repose donc aussi bien sur des moyens humains, spécialisés ou non, que sur des moyens technologiques.

Les missions de prévention et de protection jouent donc un rôle essentiel pour améliorer la vigilance des utilisateurs, des sous-traitants ou encore des responsables d'activité susceptibles de contribuer à la détection d'évènements ou de comportements anormaux de systèmes numériques.

La coopération avec des partenaires nationaux ou internationaux, ou les industriels permet d'améliorer significativement les capacités de détection, par l'échange d'information sur les attaques subies.

L'interopérabilité est essentielle dans toutes les missions de LID, en particulier pour la coopération et une détection efficiente, cohérente et globale pour le ministère. L'interopérabilité permettra de construire une capacité d'hypervision, dont les modalités sont définies par le COMCYBER.

L'interopérabilité doit permettre d'optimiser les ressources humaines du ministère. Les SOC des EMDS assurent une capacité de détection seulement en heures et en jours ouvrés, et s'appuient sur le CALID pour leur permettre une surveillance continue en H24, 7 jours sur 7. Le plan de montée en puissance ou d'alignement des SOC est précisé par le COMCYBER dans un plan de LID.

La procédure d'alerte⁽⁶⁾ pour l'ensemble du ministère est définie par le COMCYBER et synthétisé dans le schéma ci-après.

Quelle que soit la façon dont les premiers éléments de détection sont identifiés (moyens organiques détenus par les EMDS, via un SOC, via un industriel ou un signalement extérieur, etc.), il est nécessaire de rendre compte selon la procédure d'alerte à la chaîne défensive afin de mieux caractériser l'incident (ampleur, impact, origine, etc.).

La consolidation de la détection et les éventuelles actions prises, doivent être hypervisées au niveau du CALID pour disposer d'une vision globale et exhaustive, permettant ainsi de requalifier l'incident et d'orienter les actions à venir.

Les moyens de détection mis en œuvre doivent être évolutifs pour s'adapter aux menaces, au périmètre et à l'évolution du système à défendre.

Tout évènement ou comportement anormal doit être signalé à un SOC. Le CALID est destinataire par défaut des signalements en l'absence de SOC ou d'entité équivalente.

2.1. Le centre d'analyse en lutte informatique défensive.

Le CALID conseille le COMCYBER dans la définition de la politique de surveillance. Il dispose d'une capacité permanente, spécialisée et souveraine de surveillance des réseaux, de veille au titre du RIC, d'investigation et plus globalement de réaction à des attaques suspectées ou avérées.

Le CALID doit pouvoir accéder en permanence à la connaissance de la cartographie des systèmes et réseaux du ministère et de leur configuration auprès des autorités d'emploi, des opérateurs et des industriels.

Dans le cadre de la surveillance, le CALID est plus spécifiquement chargé :

de l'élaboration des directives de surveillance des SI du ministère à destination des opérateurs et des unités concourantes, telles que les SOC ;
de la coordination avec les autres acteurs concourants à la mission de détection ;
de la recherche des comportements spécifiques potentiellement malveillants (patrouille) ;
d'ordonner le déploiement de règles de supervision génériques ou spécifiques.

Le CALID, pour remplir sa mission de surveillance, a besoin de disposer de données extraites des systèmes du ministère.

Les entités du ministère mettant en œuvre des systèmes numériques doivent conserver les traces et journaux, conformément aux directives ministérielles, et transmettre ces éléments au CALID lorsqu'ils leur sont demandés.

Tout usage de code potentiellement malveillant, ou à fin d'exercice cyber sur les systèmes relevant du ministère, doit être vérifié préalablement par le CALID⁽⁷⁾.

2.2. Les Security Operation Centers.

Les SOC mettent en œuvre les circuits de remontée des évènements et alertes de leurs périmètres, en particulier :

la procédure permettant à tout utilisateur du système de faire état de la découverte d'un évènement suspect ou d'un comportement anormal sur les systèmes numériques ;
en coordination avec les opérateurs, la procédure de signalement permettant aux industriels de défense et prestataires de notifier une alerte ou un incident de sécurité susceptible d'impacter le ministère.

En coordination avec les opérateurs, les SOC s'assurent de disposer des journaux d'évènements nécessaires à l'accomplissement de la surveillance, au regard des objectifs de détection.

Les SOC s'assurent de la conservation des journaux et des traces selon les directives, la décision d'homologation et la règlementation en vigueur. La conservation des journaux et des traces permet de détecter a posteriori une cyberattaque et de concourir à l'investigation.

Les SOC assurent l'amélioration continue des capacités de collecte d'évènements, qu'ils soient d'origine technique ou non technique.

Les SOC mettent en œuvre des capacités de détection sur leurs périmètres de responsabilité et s'assurent de leur maintien en condition opérationnelle et de sécurité.

Les SOC doivent contrôler régulièrement, à leur niveau, l'efficacité des capacités de détection.

Dans le cadre du procédé d'exécution surveillance, en coordination avec le CALID, les SOC sont plus spécifiquement chargés :

de la recherche des indicateurs de compromission diffusés par le CALID ;
de la déclinaison opérationnelle des directives de surveillance de la chaîne défensive, sur leurs périmètres de responsabilité, en particulier l'application de règles de supervision spécifiques ou génériques, émises par le CALID.

Les SOC maintiennent la connaissance fine et exhaustive des sources d'évènements, des capacités de détection et des stratégies de surveillance déployées. Les SOC informent régulièrement le CALID de l'état opérationnel des capacités de détection.

Figure 2 : Synthèse du processus de remontée d'un incident.

3. Réaction.

À la suite d'une détection, les procédés d'exécution choisis pour une réaction sont intimement liés :

au système impacté et son environnement ;
à la connaissance de la menace et du contexte ;
aux activités soutenues par le système impacté ;
au contexte opérationnel en cours.

Toute réaction nécessitera a minima des investigations permettant de caractériser l'attaque, l'impact et de qualifier la criticité de l'incident.

La compréhension d'une cyberattaque est un processus itératif impliquant :

de s'adapter en continu et de réévaluer éventuellement l'incident et les moyens nécessaires pour répondre à l'attaque ;
un échange permanent avec les parties prenantes et les partenaires ;
une coordination d'ensemble et l'établissement d'une vision partagée de la situation.

Une mission de réaction peut nécessiter d'engager l'adversaire sur les systèmes de la responsabilité du ministère pour les défendre ou les reconquérir. Les règles d'engagement cadrent particulièrement ses procédés d'exécution.

Les conséquences éventuelles d'une mission de réaction sont partagées avec l'autorité d'emploi et arbitrées au besoin au niveau d'autorité adéquat.

Une mission de réaction peut aussi impliquer des actions ayant des effets en dehors des systèmes numériques de la responsabilité du ministère, voire débordant sur l'espace physique. Le COMCYBER se coordonne en fonction de la situation avec l'ANSSI, les partenaires, les services de renseignement, les autorités d'emploi, les opérateurs et les autorités militaires et civiles.

A l'issue d'une mission de réaction en LID, celle-ci doit systématiquement faire l'objet d'une analyse causale de l'opération visant à améliorer la prévention, la détection et le niveau de protection des systèmes d'information de l'ensemble du ministère. Cette analyse est coordonnée par l'OCYBER concerné ou par le COMCYBER selon l'ampleur de l'incident.

L'ANSSI émet le référentiel sur le niveau d'exigences à atteindre en matière de réaction⁽⁸⁾ pour notamment les administrations et les opérateurs d'importance vitale. Ce référentiel constitue une cible à atteindre pour la chaîne défensive, en particulier pour le CALID et les GIC.

3.1. Le centre d'analyse en lutte informatique défensive.

Le CALID assure le volet technique des actions de réaction en particulier visant à caractériser l'attaque, hiérarchiser et informer le COMCYBER de tout évènement présentant un risque pour les systèmes du ministère.

Il coordonne, après avoir mené une analyse technico-opérationnelle avec les différents acteurs, les actions défensives, sous la responsabilité du COMCYBER dans le cadre des opérations de LID.

Le CALID émet des directives spécialisées vers les opérateurs, les SOC et les unités concourantes et peut, si la situation le nécessite, intervenir directement auprès des formations en coordination avec l'OCYBER.

3.2. Les groupes d'intervention cyber.

La mission en réaction d'un GIC consiste à intervenir sur un système d'information potentiellement compromis, dans le cadre d'un ordre d'opération⁽⁹⁾ définissant notamment l'idée de manœuvre, les règles d'engagement et la posture initiale.

Un GIC doit permettre en particulier :

d'affiner la qualification de la gravité d'un incident ;
d'investiguer pour permettre la caractérisation d'une attaque ;
neutraliser les effets potentiels sur les systèmes compromis ou prendre des mesures conservatoires ;
défendre et engager le combat numérique ;
de concourir à une remédiation afin de recouvrer un certain niveau de fonctionnalité du service.

Ce groupe, dont la composition et le volume varient selon la situation, a pour mission :

de réaliser une phase cyclique de collecte et d'analyse des éléments de terrain, complétée éventuellement par des mesures conservatoires. Cette phase permet de caractériser une attaque et de préparer les mesures de réaction. Elle comporte aussi un volet reconnaissance, dont la cartographie du SI, qui est essentielle et permet d'avoir une évaluation des vulnérabilités et de la défendabilité du SI, ce qui évitera le sur-incident ;
dans une phase de confinement, de faire exécuter localement les actions conservatoires permettant de limiter les effets d'une attaque ;
dans une phase de défense et de reconquête, de participer sur le terrain aux actions de LID permettant de repousser l'assaillant et lui interdire tout retour dans le système considéré. Il s'agit de faire exécuter des actions d'assainissement, de renforcement et de supervision de circonstance, décidées en liaison avec l'autorité d'emploi.

Il rend compte de ses actions et de ses constats à son OPCON et à son TACOM, en tenant informé respectivement le CCO et le CALID, sans oublier les autorités locales. Ces comptes rendus permettent d'informer l'autorité d'emploi dont dépend le système d'information concerné.

Si la responsabilité de la remédiation ou de la reconstruction d'un système d'information détruit ou altéré relève du responsable de l'activité concernée (ou de l'opérateur) tout comme l'établissement et le suivi du plan de continuité d'activité, le GIC doit proposer des solutions palliatives (dont de contournement) pour recouvrer un certain niveau de fonctionnalité du service sans risque de réitération ou de propagation de l'attaque non maîtrisée. Dans ce cadre, le GIC peut concourir à la mise en œuvre des solutions proposées.

La mobilité et la réactivité inhérente au GIC lui permettent d'assurer au plus tôt une présence physique sur les lieux de l'incident pour encadrer et renforcer les équipes locales. Il apporte dans les meilleurs délais les savoir-faire permettant de faire face aux attaques les plus graves et prend en charge les premières investigations spécialisées.

Trois ordres de déploiement sont identifiés :

au sein des forces en opération ou pré-positionnées, ou d'une entité du ministère des armées (mission principale) ;
au sein d'un industriel de la défense, en renfort de la DRSD et/ou de l'ANSSI ;
au sein d'une entité hors du ministère, en renfort de l'ANSSI.

3.3. Les Security Operation Centers.

Les SOC assurent un premier niveau de qualification des alertes. Ils transmettent au CALID les alertes confirmées ou qu'ils n'ont pas été en mesure de qualifier.

Les SOC sont responsables, à leur niveau, de traiter des incidents classés « négligeables » dans l'échelle de gravité interministérielle.

À la demande du CALID, les SOC participent aux travaux de contextualisation, d'investigation et de caractérisation des attaques et de leurs impacts.

Les SOC participent ou mènent les analyses causales des incidents, dans un objectif d'amélioration de la prévention, de la détection et du niveau de protection des systèmes d'information.

Annexe III. Les procédés d'exécution.

1. Veiller.

La veille⁽¹⁾ a pour objectif d'exprimer une vision cyber de l'avenir. Il s'agit d'identifier les tendances et les ruptures qui pourraient marquer l'emploi de la cyberdéfense et plus particulièrement de la LID dans un tempo propre au numérique.

Le domaine cyber présente une particularité par son rythme et son taux de publication en source ouverte, qui implique pour l'adversaire comme pour le ministère des armées une adaptation permanente. L'information, la connaissance et le renseignement connaissent une obsolescence rapide. Une gestion du cycle de vie de ces informations et du renseignement est nécessaire.

La veille contribue à l'élaboration du RIC et a pour visée de collecter les éléments d'ambiance nécessaires à une représentation globale du cyberespace et d'enrichir la connaissance acquise. Intégrée dans tous les processus de protection⁽²⁾et défensifs⁽³⁾, large spectre, elle prend en compte les cyberattaques ne ciblant pas spécifiquement le ministère.

Cette appréciation holistique du cyberespace doit in fine permettre de planifier et conduire des actions préventives, contribuant à l'amélioration continue du niveau de sécurité des SI du ministère et au soutien de la posture permanente cyber et des tactiques d'évitement.

Il s'agit donc de surveiller le cyberespace afin de collecter les informations, liées aux besoins et à l'actualité, nécessaires pour anticiper les opérations de défense des SI du ministère ou l'appui des forces.

Ainsi, elle couvre des domaines aussi variés (et non exhaustifs) que la géopolitique, la géo-économie, l'économie numérique, l'évolution de la technologie numérique, de ses usages, des vulnérabilités, et l'évolution globale de la cybercriminalité et des cybermenaces potentielles.

Acteurs concourants : l'ANSSI, la DRSD, la DGRIS, la DRM, le CALID, la DGA, la DGNUM, la chaîne protection/SSI, les opérateurs et la chaîne défensive.

2. Renseigner.

« Le renseignement est défini comme le produit d'une démarche de recherche orientée de données générant des informations relatives à l'environnement, aux capacités et intentions des acteurs, et leur exploitation. Il vise la mise en évidence des menaces et opportunités, et contribue à l'élaboration d'options militaires. » ⁽⁴⁾.

Le RIC à fin de LID est la composante spécifique du RIC des niveaux opératif et tactique qui vise à réaliser l'étude des marquants techniques. Il permet d'adapter et de rendre plus efficient les mesures de protection et de défense. Il nécessite de maintenir un niveau de connaissance approfondi sur les cybermenaces (motivations, capacités, TTPs, indicateurs et marquants techniques, etc.).

Pour permettre de caractériser la menace et évaluer le risque pesant sur nos systèmes, le RIC vise à connaitre :

les entités susceptibles de préparer et conduire des attaques contre nos systèmes ;
les objectifs probables qu'elles chercheront à atteindre (systèmes ciblés, effets) ;
les fenêtres temporelles et les évènements déclencheurs de ces attaques ;
les modes opératoires adverses (MOA), compétences, pratiques et moyens utilisés par les adversaires ;
le milieu et les vecteurs d'attaque possibles et avérés.

Le COMCYBER s'appuie sur les services de renseignement (DRM, DRSD et DGSE) qui évaluent la menace dans leur périmètre de responsabilité respectif, en particulier :

les capacités susceptibles de nécessiter l'intervention des forces armées, organisations, ordres de bataille, doctrines, activités opérationnelles ou d'entraînement ;
les acteurs clés, pris individuellement ou collectivement, susceptibles de représenter une menace par leurs intentions ;
l'environnement et ses impacts sur la capacité adverse ou l'action de nos forces.

Le COMCYBER est responsable du RIC à fin de LID⁽⁵⁾ sur son périmètre de responsabilité. Il est chargé de caractériser la menace et d'évaluer le risque cyber pesant sur le périmètre ministériel et des activités opérationnelles conduites par les forces armées. La DGSE et la DRSD sur leur périmètre de responsabilité respectif contribuent à cette connaissance globale.

Le RIC suit pleinement le cycle du renseignement :

La chaîne de commandement de la cyberdéfense est le principal utilisateur du RIC au sein des armées. Elle coordonne l'expression de besoins en renseignement auprès des différents services de renseignement du ministère en fonction des priorités fixées dans le cadre des travaux du groupe d'anticipation stratégique⁽⁶⁾de l'EMA.

L'usage du RIC à fin de LID est précisé dans une directive du COMCYBER qui traite des missions, du périmètre et des acteurs concourants.

Acteurs concourants : le CALID en lien avec l'ANSSI/COSSI, les services de renseignement désignés.

3. Reconnaître.

Ce procédé consiste à rechercher de la connaissance technique et organisationnelle dans le but de cartographier l'environnement au sens large (acteurs, enjeux, dépendances, etc.) et cela sans engager le combat numérique.

Les savoir-faire associés à ce type d'action se situent à mi-chemin entre la réponse à incident et les équipes techniques d'audit. Il convient d'être en mesure de développer une dynamique commune.

Les facteurs de succès sont :

la cartographie et l'urbanisation du SI, en lien avec les informations issues du cycle du renseignement et de la veille. Elles constituent le prérequis à l'établissement d'une situation cyber de référence ;
la connaissance de l'adversaire et de ses modes opératoires ;
la discrétion du dispositif ou des dispositifs concourants à la mission ;
le désengagement avant contact numérique.

La reconnaissance du système à protéger est l'étape charnière entre l'anticipation et la réaction.

Il est impossible d'anticiper, de détecter ou de réagir à une cyberattaque si le système numérique à défendre est inconnu. La cartographie et la connaissance de ses vulnérabilités et de ses capacités de réaction sont des éléments clés pour la LID.

Pour défendre un système, il est nécessaire de connaître :

les missions soutenues par le système et les impacts potentiels en cas d'atteinte à l'intégrité, la disponibilité et la confidentialité ; les moyens secours des missions ;
l'organisation de la gestion du système y compris SIC, SSI et LID ;
les spécificités et les contraintes du système ainsi que son positionnement géographique ;
l'architecture du système en particulier ses dépendances et interconnexions ;
les technologies et les descriptions techniques du système ;
les vulnérabilités et les mesures de protection en vigueur.

Grâce à la reconnaissance, il devient possible de prioriser des efforts et d'adapter de manière ciblée des mesures de protection ou de défense.

Acteurs concourants :

les unités spécialisées : CASSI, 785 CGE, pôle SSI de la DGA, EM SSI, GSTAD, CADES, SOC-R, CALID, etc. ;
les autorités d'emploi et d'homologation, et leurs opérateurs, contribuent également à ce procédé, en particulier sur la connaissance du contexte, de l'emploi, des vulnérabilités et surtout des impacts potentiels pour les activités ;
les acteurs de la chaîne protection/SSI.

4. Surveiller.

La surveillance consiste à « déceler toute activité hostile ou inhabituelle à l'encontre des réseaux et des SI du ministère de la défense »⁽⁷⁾.

La surveillance repose sur trois capacités principales :

une capacité générique à superviser les comportements des systèmes ;
une capacité complémentaire basée sur des capteurs générant de manière automatisée des évènements de sécurité ;
une capacité de recherche des cyberattaques.

Le cyberespace et les systèmes numériques du ministère étant particulièrement vastes, il est impossible de les surveiller de manière exhaustive.

Un découpage et une priorisation par l'autorité d'emploi des secteurs de surveillance sont nécessaires, sur la base :

des directives du COMCYBER ou du CALID ;
des bonnes pratiques et des directives de l'ANSSI ;
d'analyses de risque.

La surveillance se base sur un processus d'amélioration continue. Elle nécessite de s'adapter continuellement au rythme des évolutions des systèmes et des signaux recherchés⁽⁸⁾.

Pour la détection, la surveillance s'appuie sur quelques principes clés :

la recherche de signaux forts : les journaux d'évènements générés permettent de constituer une base de données sur laquelle il devient possible en temps réel ou a posteriori d'effectuer des recherches et de générer des alertes ;
l'orientation de la recherche, soit sur la base d'un comportement malveillant connu, soit d'un comportement anormal ou d'un marqueur signant une cyberattaque. La notion de signaux forts provient de cette connaissance de l'attaquant ou d'un discriminant d'une activité malicieuse par rapport à une activité légitime sur le système ;
la recherche de signaux faibles : La chaîne de détection va générer des alertes sur la base d'une suspicion, d'un évènement anormal ou d'un comportement anormal, discret, qui peut sembler être légitime mais dont l'appréciation (très souvent humaine), nécessite une véritable levée de doute ;
ces alertes ne sont pas nécessairement technologiques. Elles peuvent être issues d'anomalies de la perception de situation, de données ou de comportements atypiques, d'impacts métier inattendus, etc.

La capacité à surveiller un système s'appuie particulièrement sur la génération de journaux d'évènements. Tout système numérique du ministère doit générer des journaux d'évènements⁽⁹⁾ adaptés à la fonction, à la criticité et à la sensibilité du système concerné et aux évènements redoutés, être capable de moduler le détail et la volumétrie d'information dans ses journaux d'évènements en fonction de l'évolution du risque et des menaces subies.

La capacité d'investigation, en cas de suspicion ou de cyberattaque avérée, dépendra fortement des journaux d'évènements disponibles.

Un évènement⁽¹⁰⁾identifie une occurrence de l'état d'un service et du système numérique ou d'un réseau indiquant une faille possible dans la politique de sécurité, des échecs des mesures de sécurité ou encore des situations inconnues jusqu'alors et pouvant relever de la sécurité.

Tous ces évènements ne peuvent être analysés ou qualifiés d'alertes de sécurité. Seul un processus de discrimination et de primo-qualification (souvent automatisé) permet de déclencher une alerte en vue d'une potentielle réaction ou d'un approfondissement de la situation.

Toutes les alertes doivent être traitées, mais elles ne font pas systématiquement l'objet d'une réaction. Une alerte qualifiant un comportement malveillant devient un incident et peut entrainer une mission de réaction. Un processus d'amélioration continue doit permettre de concentrer les efforts sur les alertes nécessaires et utiles.

Tout incident sur les systèmes d'information relevant du ministère des armées, à l'exception de la DGSE et de la DRSD, doit faire l'objet d'une remontée d'incident selon le processus décrit dans la directive n° 132/ARM/EMA/COMCYBER/DR du 27 octobre 2017 (n.i. BO).

Cette méthode de détection s'appuie souvent sur la vigilance de l'organisation et doit canaliser toute sensation même intangible d'un possible évènement redouté.

Les opérateurs sont responsables d'appliquer et de mettre en œuvre les directives de surveillance du COMCYBER ou du CALID et d'en assurer l'exécution. Pour ce faire, ils doivent se doter (éventuellement externaliser) ou se rattacher à un SOC pour opérer les moyens de supervision. Ils ont également pour responsabilité de mener, selon une fréquence adaptée, une première analyse⁽¹¹⁾ des journaux de sécurité des systèmes d'information de leur périmètre.

Le SOC a pour responsabilité de s'assurer que tous les secteurs d'activité du ou des opérateurs qu'il couvre, nécessitant une surveillance, sont identifiés et intégrés dans la chaîne de surveillance. Il décline ou propose au CALID des directives techniques de surveillance.

Le SOC a également pour responsabilité de s'assurer de l'efficience de tous les capteurs sur son périmètre de responsabilité.

Il qualifie le premier niveau des alertes en incident, avant de rendre compte au CALID. Il rend compte des alertes qu'il n'a pas été en mesure de qualifier. Il peut, le cas échéant, s'appuyer lorsqu'ils existent sur les centres techniques de LID (CTLID), experts sur les systèmes métiers ou spécifiques.

Une surveillance efficiente, cohérente et globale des SOC du ministère nécessite une interopérabilité et une consolidation. Cette capacité dite d'hypervision constitue un enjeu majeur pour le ministère, sous l'autorité du COMCYBER.

L'ANSSI émet un référentiel sur le niveau d'exigences à atteindre en matière de détection⁽¹²⁾, notamment pour les administrations et les opérateurs d'importance vitale. Ce référentiel constitue une cible à atteindre.

Acteurs concourants : le CALID, les SOC des opérateurs sur leurs périmètres respectifs, y compris les SOC sous-traités, les SOC de circonstance⁽¹³⁾et l'ANSSI.

5. Investiguer.

Investiguer consiste à aller chercher la connaissance d'ordre tactique et technique, sur le réseau, et en fonction des ordres d'opération dans le cyberespace ou sur les systèmes ennemis, en engageant éventuellement le combat numérique.

Sur les systèmes relevant du périmètre ministériel, une investigation peut être déclenchée :

pour rechercher de manière préventive sur tout ou partie d'un système, les traces d'une cyberattaque non détectée. Cette recherche s'appuie fortement sur la connaissance des modes opératoires adverses et sur la connaissance acquise dans le cadre du RIC.

Ce type d'investigation est appelée « chasse » ou « hunting ».

pour effectuer une levée de doute, pour mesurer l'ampleur d'une compromission⁽¹⁴⁾, ou pour identifier précisément⁽¹⁵⁾les systèmes à reconquérir, à la suite d'une cyberattaque réussie.

Ce type de recherche s'inscrit typiquement dans un processus de gestion d'incident ou de crise.

Structurée, l'investigation a pour objectifs principaux de :

caractériser : Il s'agit de déterminer le mode opératoire de l'adversaire⁽¹⁶⁾, la chronologie générale des activités de l'adversaire, l'ampleur et la gravité de l'incident et du périmètre compromis et les effets recherchés ;
collecter : en se basant sur une phase préalable de reconnaissance, des opérations de prélèvement et de collecte sont menées dans le cyberespace en vue d'une analyse pour y rechercher les traces d'une cyberattaque. La phase de collecte doit prendre en compte deux points clés :
- un mode opératoire décliné de la tactique de défense face à l'attaquant (par exemple le niveau de discrétion à adopter pour les prélèvements) ;
- une action judiciaire a postériori⁽¹⁷⁾.
analyser : il s'agit d'identifier, comprendre, déterminer et capitaliser sur les cyberattaques ;
contribuer à l'attribution de l'attaque.

Pour mener une investigation, une posture de réaction initiale doit être déterminée et ordonnée par le CCO, en coordination avec les autorités d'emploi et les opérateurs concernés, et en fonction des premiers éléments déclenchant cette investigation. Trois niveaux peuvent être décidés :

discrétion élevée : les actions de LID sont réalisées sans laisser de possibilités à l'attaquant de savoir qu'il a été repéré.

Le principal inconvénient de cette posture de réaction est que l'attaquant n'est pas entravé dans ses actions ;

discrétion moyenne : les actions de LID sont réalisées avec discrétion.

Cette posture de réaction autorise l'emploi d'un plus large éventail d'actions, y compris d'administration, permettant d'entraver partiellement l'attaquant. Il existe une possibilité que l'attaquant prenne conscience des contre-mesures et décide donc de changer de comportement, voire de disparaître ;

discrétion faible : les actions de LID sont réalisées dans un objectif de sécurisation rapide des systèmes. L'attaquant se sait donc repéré.

Figure 1 : Postures de réaction possibles.

L'investigation est une manœuvre permanente jusqu'à un ordre d'arrêt par le CCO. Généralement l'ordre d'arrêt sera prononcé lorsque la connaissance de l'attaque est suffisante pour l'entraver et en contrer les effets.

L'analyse en phase d'investigation est fondée sur une manœuvre cyclique qui permet de mettre en perspective une cyberattaque sur la base de l'ensemble des informations à disposition :

la vision globale de l'attaque ;
la compréhension de l'environnement technique et organisationnel du système impacté ;
les propositions de révision de la posture de réaction ;
les analyses techniques de la compromission comprenant la connaissance détaillée des modes opératoires adverses utilisés contre le système, ou ceux issus de la veille ou encore du renseignement ;
le recensement des cibles et l'évaluation des impacts (BDA⁽¹⁸⁾) sur l'activité associés à l'attaque notamment en matière :
- de confidentialité (ex. : données exfiltrées) ;
- d'intégrité (ex : modification ou insertion de données, sabotage, etc.) ;
- de disponibilité (ex : sabotage, dénis d'accès, etc.) ;
- d'image,
- d'engagement de responsabilité.
les propositions de mesures nécessaires à la phase de défense, de renforcement ou de reconquête du système, en particulier les propositions de mesures limitant les impacts et réduisant (évitement) le risque d'une nouvelle compromission ;
les propositions de priorisation de surveillance, d'investigation et de réaction, en particulier en situation de crise.

Les investigations sont menées, sur ordre du CCO, par le CALID ou un dispositif de groupes d'intervention cyber (GIC) pour prévenir ou pour réagir, selon la nature du déclenchement de l'investigation décrite en annexe.

Acteurs concourants :

les acteurs de la chaîne défensive ;
les services de renseignement désignés ;
les acteurs de la chaîne de protection/SSI ;
les opérateurs des systèmes et services au profit du ministère ;
les unités spécialisées (CALID, SOC, CTLID, pôle SSI de la DGA, 807 CTRS) et les GIC.

Sous contrôle du COMCYBER, le CCO peut solliciter ses partenaires nationaux tels que l'ANSSI, les partenaires internationaux, les industriels et les sous-traitants.

6. Défendre.

Forme de manœuvre consistant à agir selon la posture, afin de :

déceler et neutraliser toute présence suspecte ;
perturber, entraver ou interdire à un adversaire de franchir une frontière numérique ou de s'emparer d'un système ;
limiter les effets provoqués par un adversaire sur les systèmes sous la responsabilité du ministère des armées.

Nourries de l'avancée de l'investigation et de la surveillance, et s'appuyant sur la posture de réaction, des mesures adéquates à la situation sont mises en œuvre. Le plus souvent (mais non nécessairement) ces mesures se déclinent en trois catégories :

les mesures conservatoires, visant à limiter les effets ;
les mesures soutenant l'investigation. Défendre et investiguer sont des procédés travaillant de concert, se protégeant l'un l'autre ;
les mesures défensives contre un potentiel attaquant, qui selon l'urgence de la situation, peuvent aller jusqu'à bloquer tout ou partie des actions malveillantes.

Une défense efficace passe par :

une reconnaissance efficace ;
une préservation de la discrétion ou de l'initiative sur l'adversaire en fonction de la posture initiale déterminée ;
une priorisation des actions à mener ;
une adaptation de la surveillance aux circonstances ;
une intégration avec d'autres procédés d'exécution, en particulier l'investigation et la surveillance ;
l'appui des opérateurs.

Une manœuvre de défense peut impliquer une modification de l'environnement pour ralentir, ou entraver la progression d'un adversaire, y compris à travers la mise en place de mesures conservatoires, de mesures de renforcement ou de mesures visant à assainir le système de la présence adverse.

L'exécution de la manœuvre défensive peut être réalisée par l'opérateur du système concerné ou à défaut, par la chaîne défensive, dans le respect des règles d'engagement édictées et en coordination avec l'autorité d'emploi et/ou les opérateurs.

Acteurs concourants :

les acteurs de la chaîne défensive ;
les acteurs de la chaîne de protection/SSI ;
les opérateurs des systèmes et services au profit du ministère ;
les unités spécialisées (CALID, SOC, CTLID, pôle SSI de la DGA, 807 CTRS) et les GIC.

Sous contrôle du COMCYBER, le CCO peut solliciter ses partenaires nationaux tels que l'ANSSI, les partenaires internationaux, les industriels et les sous-traitants.

7. S'adapter.

À la suite de l'appréciation de l'attaque, le COMCYBER décide de la stratégie ainsi que de l'évolution de la posture initiale, notamment en ce qui concerne le niveau de discrétion à adopter vis-à-vis de l'attaquant.

En cas de présence de l'attaquant sur le système, si aucun moyen ne permet de remédier rapidement et durablement à la compromission, il est recommandé d'adopter un mode opératoire discret afin d'éviter d'éveiller ses soupçons et de l'amener à changer de comportement, et susciter des actions potentiellement plus agressives ou plus furtives.

Le COMCYBER définit le niveau d'alerte donné et en précise les modalités opérationnelles, techniques et non techniques à mettre en œuvre. Ces plans prévoient également, en cas de détection d'incident ou de perturbation, les moyens de pallier immédiatement la perte de ces capacités opérationnelles.

Les actions à mener dans le cadre d'un incident ou d'une crise sont de la responsabilité de la chaîne défensive et coordonnées par le CCO.

La chaîne défensive partage, avec la chaîne protection/SSI, toutes les actions à conduire, en particulier celles visant à protéger ou améliorer durablement la défendabilité des systèmes. Ces actions sont menées dans la durée sous la responsabilité de la chaîne protection/SSI.

Les RETEX sont présentés dans le cadre de la CMSSI, sur les mesures prises et à maintenir sur le long terme.

Acteurs concourants :

les acteurs de la chaîne défensive ;
les acteurs de la chaîne de protection/SSI ;
les opérateurs des systèmes et services au profit du ministère ;
les unités spécialisées (CALID, SOC, CTLID, pôle SSI de la DGA, 807 CTRS) et les GIC.

Sous contrôle du COMCYBER, le CCO peut solliciter ses partenaires nationaux tels que l'ANSSI, les partenaires internationaux, les industriels et les sous-traitants.

8. Contrôler.

Le contrôle est un procédé permanent ou exécuté sur ordre, qui vise globalement, ou de manière ciblée, à vérifier, voire évaluer, la posture de cyberdéfense et l'état des capacités cyber.

Le contrôle permet de vérifier, voire évaluer, de manière objective, le niveau de risque, l'état et l'efficacité des mesures de protection et des mesures défensives.

Le contrôle permet également de contribuer à la reconnaissance par anticipation ou en réaction.

Il permet aussi de s'assurer, en période de crise ou lors d'un incident, que les mesures d'adaptation ordonnées dans un contexte particulier sont en place et efficace.

Enfin, il vise à apporter un appui à l'autorité d'emploi contrôlé et une prise de conscience des risques.

Tout contrôle opéré sur les systèmes du ministère doit faire l'objet d'un compte rendu et d'un plan d'action à destination du commanditaire, de l'autorité d'emploi contrôlée et pour information au COMCYBER.

Chaque activité et opérateur est responsable de mener à son niveau les contrôles nécessaires et d'adopter les mesures au niveau de menace auquel il est confronté.

Dans le cadre de la LID, le COMCYBER peut ordonner un contrôle ciblé sur tout ou partie du périmètre de la présente politique.

Acteurs concourants :

les acteurs de la chaîne défensive ;
les acteurs de la chaîne de protection/SSI ;
les opérateurs des systèmes et services au profit du ministère ;
les unités spécialisées (CALID, CASSI, CTLID, pôle SSI de la DGA, SOC-R de la DIRISI, GSTAD, 785 CGE, EM SSI, CADES et l'ANSSI).

Le COMCYBER peut solliciter ses partenaires nationaux tels que l'ANSSI, les industriels et les sous-traitants.

9. Neutraliser.

L'article L2321-2 du code de la défense précise que : « pour répondre à une attaque informatique qui vise les systèmes d'information affectant le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation, les services de l'État peuvent, dans les conditions fixées par le Premier ministre, procéder aux opérations techniques nécessaires à la caractérisation de l'attaque et à la neutralisation de ses effets en accédant aux systèmes d'information qui sont à l'origine de l'attaque. »

Dans le cadre de la LID, le COMCYBER peut orienter des opérations visant à neutraliser les effets d'une attaque dans le cadre de cet article 21.

Toutefois, dans la LID le procédé de neutralisation n'implique pas nécessairement un accès au système d'information à l'origine de l'attaque.

En revanche, la neutralisation permet, sur ordre du COMCYBER, d'appliquer des mesures techniques ou non techniques visant à :

saboter, dégrader ou détruire les moyens techniques de l'adversaire ;
interdire ou détourner les effets de l'attaque ;
atteindre la volonté de l'attaquant ou épuiser ses ressources.

Le COMCYBER peut solliciter les services de renseignement et les partenaires nationaux en coordination avec l'ANSSI, ou ses partenaires internationaux militaires pour compléter ses modes d'action visant à neutraliser les effets d'une cyberattaque.

La judiciarisation d'un incident peut concourir à la neutralisation de l'effet d'une attaque.

Acteurs concourants :

les acteurs de la chaîne défensive ;
les opérateurs des systèmes et services au profit du ministère ;
les unités spécialisées dont le CALID, pôle SSI de la DGA, l'ANSSI et les partenaires nationaux et internationaux ;
les services de renseignement.

10. Reconquérir.

Procédé consistant à reprendre un système sous contrôle d'un adversaire, et à rétablir l'intégrité d'un système.

Les mesures de remédiations proposées nécessitent d'être coordonnées avec le responsable de l'activité, l'opérateur du système et la chaîne défensive. La continuité et la reprise de l'activité relèvent du seul responsable d'activité.

Les mesures de remédiations se composent de deux catégories complémentaires :

les mesures d'assainissement qui visent à contenir, empêcher ou neutraliser une attaque grâce à la caractérisation de l'attaque, et de détecter une nouvelle tentative de compromission afin d'en limiter les effets ;
les mesures de durcissement du système d'information, visant à réduire les risques d'une nouvelle compromission une fois le système d'information assaini.

Les mesures de durcissement sont préparatoires aux mesures d'assainissement. Les mesures de durcissement doivent permettre en particulier :

d'empêcher tout accès de l'attaquant au système d'information pendant l'application des mesures d'assainissement. Cette exigence vise à empêcher l'attaquant de réagir (ex. : exfiltration massive d'informations, sabotage, etc.) pendant l'application des mesures d'assainissement ;
de réduire la surface d'attaque et d'adhérence d'un système en le rendant plus résilient.

Acteurs concourants :

les acteurs de la chaîne défensive ;
les acteurs de la chaîne de protection/SSI ;
les opérateurs des systèmes et services au profit du ministère ;
les unités spécialisées (CALID, SOC, CTLID, pôle SSI de la DGA, 807 CTRS) et les GIC.

Le COMCYBER peut solliciter ses partenaires nationaux tels que l'ANSSI, les partenaires internationaux, les industriels et les sous-traitants.

11. Cas particulier de la reconstruction.

La reconstruction est un procédé visant à rétablir un service, avec un système sain et sécurisé, dès lors qu'une attaque a atteint l'intégrité et/ou la disponibilité d'un système à un tel niveau qu'aucun autre procédé (défense, reconquête ou même neutralisation) ne permet d'en rétablir le service ou la confiance en celui-ci.

Une reconstruction élève forcement le niveau de sécurité et peut impliquer des évolutions majeures sur l'architecture du service, des évolutions fonctionnelles, voire une dégradation du service initial.

De par la nature même d'une reconstruction, l'autorité d'emploi et les opérateurs en sont responsables, en liaison avec le COMCYBER et l'autorité qualifiée SSI.

Le COMCYBER et la chaîne défensive concourent à la manœuvre de reconstruction afin :

de conseiller l'autorité d'emploi et les opérateurs sur les mesures à prendre pour éviter un nouvel incident ou une nouvelle crise ;
d'apporter une capacité d'investigation pour des éventuelles reprises de données ou de codes ;
de répondre aux besoins en ressources humaines pour la manœuvre de reconstruction, avec l'appui de la réserve de cyberdéfense ;
d'assurer la surveillance du périmètre reconstruit pour garantir le succès de la manœuvre vis-à-vis de l'attaquant.

La réouverture du service après une opération de reconstruction est soumise à un contrôle préalable par des unités spécialisées.

Annexe IV. Les sigles, acronymes et abréviations.

ANSSI	Agence nationale de sécurité des systèmes d'information.
ANSSI/COSSI	Centre opérationnel de la sécurité des systèmes d'information de l'ANSSI.
BDA	Battlefield Damage Assessment.
C4	Centre de coordination des crises cyber.
CAF	Commission d'adaptation de la formation.
CALID	Centre d'analyse en lutte informatique défensive.
CASSI	Centre d'audit de la sécurité des systèmes d'information.
CC	Cellule cyber.
CCO	Centre cyber des opérations.
CEMA	Chef d'état-major des armées.
CERT	Computer Emergency Response Team.
CIC	Cellule interministérielle de crise
CICDE	Centre interarmées de concepts, de doctrines et d'expérimentations.
COFN	Centre opérationnel des forces nucléaires.
COMANFOR	Commandant de la force.
COMCYBER	Commandement de la cyberdéfense.
CPCO	Centre de planification et de conduite des opérations.
COS	Commandement des opérations spéciales.
CRPOC	Centre de réserve et de préparation opérationnel de cyberdéfense.
CT LID	Centre technique de lutte informatique défensive.
DGA	Direction générale de l'armement.
DGA MI	Direction générale de l'armement/Maîtrise de l'information.
DGNUM	Direction générale du numérique et des systèmes d'information et de communication.
DGRIS	Direction générale des relations internationales et de la stratégie.
DGSE	Direction générale de la sécurité extérieure.
DIRISI	Direction interarmées des réseaux d'infrastructure et des systèmes d'information.
DIA	Doctrine interarmées.
DRH-MD	Direction des ressources humaines du ministère de la défense.
DRM	Direction du renseignement militaire.
DRSD	Direction du renseignement et de la sécurité de la défense.
EDPI	Equipe de programme intégrée.
EMA	États-majors des armées.
EMDS	États-majors, directions et services et les organismes qui leur sont rattachés de l'ensemble du ministère.
EPA	Établissement public à caractère administratif.
GIC	Groupe d'intervention cyber.
GSTAD	Groupe de sécurité contrôle des systèmes de traitement automatique de données.
HFCDS	Haut fonctionnaire correspondant de défense et de sécurité.
LID	Lutte informatique défensive.
OCYBER	Officier cyber.
OLID	Officier de lutte informatique défensive.
OPCON	Contrôle opérationnel.
OSSI	Officier de sécurité des systèmes d'information.
PASSI	Prestataires d'audit de la sécurité des systèmes d'information.
PDIS	Prestataires de détection d'incidents de sécurité.
PIA	Publication interarmées.
PPC	Posture permanente de cyberdéfense.
PPS	Posture permanente de sureté.
PRIS	Prestataires de réponse aux incidents de sécurité.
PSSI-M	Politique de sécurité des systèmes d'information du ministère des armées.
RETEX	Retour d'expérience.
RIC	Renseignement d'intérêt cyberdéfense.
RH	Ressources humaines.
ROE	Règles opérationnelles d'engagement.
SGDSN	Secrétariat général de la défense et de la sécurité nationale.
SI	Systèmes d'information.
SIC	Systèmes d'information et de communication.
SOC	Security Operation Center.
SOC-R	Centres opérationnels de cybersécurité régionaux de la DIRISI.
SSI	Sécurité des systèmes de d'information.
TACOM	Tactical Command.
TACON	Tactical Control.
TTPs	Tactiques, techniques et procédures.

Annexe V. Glossaire.

Cyberattaque	Ensemble coordonné d'actions menées dans le cyberespace qui visent des informations ou les systèmes qui les traitent, en portant atteinte à leur disponibilité, à leur intégrité ou à leur confidentialité. Une cyberattaque peut être ponctuelle ou s'inscrire dans la durée.
Cyberdéfense	Ensemble des moyens mis en place par un État pour défendre dans le cyberespace les systèmes d'information jugés d'importance vitale, qui contribuent à assurer la cybersécurité. Note : La cyberdéfense met notamment en œuvre la LID et la lutte informatique offensive.
Défendabilité d'un système	Capacité de faire évoluer et ajuster rapidement les mesures de protection, et la capacité de défendre un système par anticipation par détection puis réaction à une cyberattaque dans le tempo des opérations. Cette capacité est appelée défendabilité, elle s'évalue par des niveaux et s'appuie notamment sur l'homologation.
Lutte informatique défensive	Ensemble coordonné d'actions menées par un État, qui consistent à détecter, à analyser et à prévenir des cyberattaques, et à y réagir le cas échéant. La LID est donc l'ensemble des actions, techniques et non techniques, adaptées pour faire face à un niveau de menace ou à une attaque réelle, visant à préserver notre liberté d'action dans le cyberespace.

INSTRUCTION N° 101000/ARM/CAB relative à la politique de lutte informatique et défensive du ministère des armées.

1. Généralités.

1.1. Périmètre d'application.

1.2. Le cyberespace, opportunités et risques.

1.3. Le besoin de maîtriser le cyberespace.

1.4. Les six catégories de missions de la cyberdéfense française.

1.5. La lutte informatique défensive au sein du ministère.

1.6. Notion de défendabilité.

2. ORGANISATIONS ET RESPONSABILITÉS EN MATIÈRE DE LUTTE INFORMATIQUE DÉFENSIVE.

2.1. L'organisation interministérielle de la cyberdéfense.

2.2. L'organisation générale du ministère.

2.3. Les acteurs de la chaîne défensive du ministère des armées.

2.3.1. Le commandement de la cyberdéfense.

2.3.1.1. L'officier général commandant la cyberdéfense.

2.3.1.2. Le centre cyber des opérations.

2.3.1.3. Le centre d'analyse en lutte informatique défensive.

2.3.2. Les états-majors, directions, services et les organismes rattachés.

2.3.2.1. Les officiers cyber.

2.3.2.2. Les groupes d'intervention cyber.

2.3.2.3. Les Security Operation Centers.

2.3.2.3.1. Contenu

2.3.2.3.2. Contenu

3. MISE EN UVRE DE LA LUTTE INFORMATIQUE DÉFENSIVE.

3.1. La lutte informatique défensive.

3.2. Posture permanente de cyberdéfense.

3.3. Classement des attaques et réactions associées.

4. COHÉRENCE MINISTÉRIELLE DE LA CAPACITÉ DE LUTTE INFORMATIQUE DÉFENSIVE.

4.1. Introduction.

4.2. Élaboration des politiques, doctrines et organisations.

4.3. Ressources humaines.

4.4. Entraînement/Préparation opérationnelle.

4.5. Soutien.

4.6. Équipements.

Annexes

Annexe I. Les documents applicables.

Notes

Annexe II. ORGANISATION DE L'ANTICIPATION, DE LA DÉTECTION ET DE LA RÉACTION.

1. Anticipation.

1.1. Le centre d'analyse en lutte informatique défensive.

1.2. Les groupes d'intervention cyber.

1.3. Les Security Operation Centers.

2. Détection.

2.1. Le centre d'analyse en lutte informatique défensive.

2.2. Les Security Operation Centers.

3. Réaction.

3.1. Le centre d'analyse en lutte informatique défensive.

3.2. Les groupes d'intervention cyber.

3.3. Les Security Operation Centers.

Annexe III. Les procédés d'exécution.

1. Veiller.

2. Renseigner.

3. Reconnaître.

4. Surveiller.

5. Investiguer.

6. Défendre.

7. S'adapter.

8. Contrôler.

9. Neutraliser.

10. Reconquérir.

11. Cas particulier de la reconstruction.

Annexe IV. Les sigles, acronymes et abréviations.

Annexe V. Glossaire.

3. MISE EN UVRE DE LA LUTTE INFORMATIQUE DÉFENSIVE.