Cyberdéfense : quels sont les moyens déployés ? Les premiers exercices de cyberdéfense : "Il était facile de s'introduire dans les réseaux du Pentagone"
Face aux menaces croissantes (ou présentées comme telles dans le discours médiatique et officiel) dans le domaine cybernétique, entreprises, Etats, armées, se sont entraînés depuis de nombreuses années à faire face à des attaques d'envergure.
Bien souvent les tests sont menés à l'échelle internationale, et visent à tester les résistances des organisations existantes à des attaques. Nous avons listé ci-dessous quelques exercices renommés, à titre d'exemple.
Nom de l'exercice | Coordination et pays impliqués | Date | Contenu et conclusions |
---|---|---|---|
Source : "Cyberattaques et cyberdéfense" (Lavoisier) | |||
Eligible Receiver | Etats-Unis | 1997 | Objectif : mesurer la vulnérabilité des systèmes IT du gouvernement. Cet exercice a impliqué la NSA et le DoD américain. 35 agents de la NSA furent envoyés de par le monde avec pour mission d'essayer de lancer des attaques contre les systèmes l'information américains, en utilisant uniquement des outils acquis légalement et sur Internet. En moins de deux semaines les 35 agents avaient pris le contrôle de 911 systèmes et attaqué 41 000 des 100 000 machines du Pentagone [ADA 01]. L'exercice a démontré à quel point il était facile de s'introduire dans les réseaux du Pentagone et prendre la main sur des systèmes d'urgence par exemple. |
Blue Cascades | Etats-Unis | 2002 | Premier exercice en Amérique du Nord (Etats-Unis et Canada) impliquant secteur public et entreprises du privé (la Navy, FEMA, l'Office of Critical Infrastructure Protection canadien, Verizon, Boeing, etc.). Conclusion : les gouvernements sous-estiment leur dépendance aux technologies de l'information. |
Black Ice | Etats-Unis | Novembre 2002 | Exercice mené en préparation des Jeux Olympiques de l'Utah. Exercice sponsorisé par le département de l'Energie. Démontre comment une attaque terroriste serait amplifiée par des cyberattaques menées simultanément. |
Digital Pearl Harbor | Etats-Unis | 2002 | Organisé par le Naval War College. Conclusions : pour lancer une attaque décisive et d'envergure des pirates devraient consacrer 200 millions de dollars et disposer de 5 ans pour mener à bien l'offensive. Autant dire que c'est possible. Les conclusions avancent également qu'une telle attaque n'entraînerait pas de pertes humaines ou catastrophiques. Certains affirment néanmoins le contraire. |
Silent Horizon | Etats-Unis (CIA, NSA) | Mai 2005 | Evaluer la manière dont le gouvernement et les entreprises réagiraient à des attaques menées via l'internet : qui assumerait la prise en charge de la défense ? En théorie c'est le rôle de l'Etat, mais une part importante des infrastructures de défense sont la propriété d'entreprises privées des télécommunications, ce qui rend donc la tâche plus complexe |
Cyber Storm I (war game) | Etats-Unis | 6-10 février 2006 | Coordonné par le DHS, impliquant 115 agences gouvernementales et entreprises. L'exercice teste la manière dont les dirigeants répondraient, réagiraient à une cyberattaque aux implications nationales significatives. Afin de rendre l'exercice aussi proche possible de la réalité, nombre de personnes été tenues dans l'ignorance et pensaient être confrontées à un réel incident. |
Han Kuang | Taïwan | Avril 2007 | Exercice de 5 jours, simulant une attaque chinoise. Exercice sur plateforme informatisée de simulation. Il ne s'agit pas de tester des scénarios de cyberattaques, mais d'utiliser des plateformes informatisées qui permettent de simuler les scénarios d'attaques sur les côtes de Taïwan par l'armée chinoise, affrontements maritimes, aériens, tirs de missiles, etc. |
APCERT Drill 2007 | Asie Pacifique | Novembre 2007 | Le scénario était celui d'une cyberattaque visant à perturber les jeux olympiques de Pékin. |