print preview Retour Page d'accueil

L’année 2020 au sein du domaine Cybersécurité de l’armée

En 2020, quelque 250 cyberincidents ont nécessité une intervention dans les systèmes informatiques de l’armée. Aucun n’a été estimé critique. L’attention s’est portée en permanence sur les échanges avec les partenaires, l’amélioration des processus internes et l'information du personnel sur les questions de sécurité informatique. Voici certains des cas traités l’an dernier.

22.03.2021 | Communication Défense

Les exercices pratiqués dans le cyberespace permettent d’acquérir une expérience précieuse. © VBS/DDPS, Anna Muser

Le domaine Cybersécurité de l’armée classe les incidents en quatre catégories selon leur importance du point de vue du risque encouru : faible, moyenne, majeure ou critique. En 2020, 40 incidents jugés de faible importance ont été enregistrés. Quelques envois massifs de messages (spams) ou courriels utilisant des techniques de hameçonnage (phishing) ont ainsi nécessité quelques manipulations sortant de l’ordinaire. Environ 44 610 messages de ce genre ont été adressés à des membres du personnel de la Défense. La méthode employée n’étant souvent pas très ingénieuse, il était inutile de procéder à des traitements plus approfondis. Dans quelques cas, l’expéditeur avait cependant l’intention d’installer un logiciel malveillant (malware) sur l’ordinateur du destinataire.

Campagnes de sensibilisation

Le personnel étant la première cible de telles actions de spam ou de phishing, la Base d’aide au commandement en a fait un de ses thèmes d’information principaux depuis 2014. Chaque année, dans le cadre d’une campagne de sensibilisation, elle envoie au personnel des courriels anonymes au contenu attrayant. Ces attaques simulées sont l’occasion de proposer des éléments de formation. Ces campagnes permettent aussi de situer les points à améliorer, et de définir ainsi la ligne à suivre l’année d’après. Le Groupement Défense n’est d’ailleurs pas à cours d’idées pour offrir des approches didactiques passionnantes. Pour exemple, certains utilisateurs ont été les victimes factices d’actions de piratage ou ont pris part à un jeu immersif maison de type «Adventure Room» qui visait à montrer de manière tangible comment fonctionne la sécurité intégrale.

Attaques personnalisées

Les adresses @vtg ne sont cependant pas les seules cibles des malfaiteurs, le personnel du DDPS présent sur les plateformes publiques peut aussi être visé. Au printemps 2020, par exemple, une telle attaque a partiellement réussi. Elle a touché un collaborateur inscrit sur LinkedIn à qui un inconnu avait envoyé une offre d’emploi. En ouvrant le document Word, le collaborateur a déclenché une macro qui a installé un malware sur l’ordinateur de la Confédération. Un peu plus tard, ignorant toujours que le document était infecté, le collaborateur l’a téléchargé sur son téléphone portable professionnel. L’assaillant a ensuite essayé de faire usage de la faille mais les mécanismes de protection des systèmes informatiques l’en ont empêché. D’autres services ont également constaté et annoncé ce genre d’attaques. Vu que les appareils de l’utilisateur ont été infectés, l’incident a été considéré d’importance majeure. Au total, huit incidents majeurs ont été enregistrés en 2020 et environ 200 entraient dans la catégorie d’importance moyenne. Si le maliciel s’était propagé vers d’autres appareils de la Confédération ou qu’une fuite de données sensibles avait dû être constatée, l’événement aurait été considéré comme critique. En 2020, il n’y a pas eu de tels incidents.

Analyse du téléphone portable

Dans l’affaire LinkedIn, l’analyse précise du téléphone a livré de précieuses informations concernant la manière de procéder. En 2020, l’équipe milCERT (Military Computer Emergency Response Team) a examiné une quinzaine de téléphones mobiles d’employés de la Confédération. Une analyse forensique est réalisée lorsqu’un autre appareil de l’utilisateur est infecté ou lorsque ce dernier constate un fonctionnement suspect. Au total, près de 90 personnes ont annoncé en 2020 un soupçon d’infection par un maliciel, tous types d’appareils confondus.

Cheval de Troie

Une autre attaque d’importance majeure a pu être déjouée fin 2020. Des données informatiques d’un environnement en laboratoire ont été corrompues par un cheval de Troie. L’accès aux données a été bloqué, ces dernières ayant été cryptées. L’environnement dans lequel cela s’est produit n’était pas relié au système productif de l’armée. Il l’était en revanche à un autre environnement test, mais qui n’a pas été endommagé. Les auteurs ont utilisé une faille pour s’introduire. L’enquête a permis de la déceler et d’y remédier.

Capteurs supplémentaires

Les expériences faites en 2020 ont montré l’importance des capteurs. De nouvelles mesures ont été introduites à ce niveau et le dispositif de protection a été élargi et renforcé. Si la technologie des capteurs est essentielle, la communication avec les autres services l’est tout autant. Des échanges fréquents ont ainsi lieu entre le domaine Cybersécurité et la Centrale d’enregistrement et d’analyse pour la sûreté de l’information (MELANI) au Centre national pour la cybersécurité.

Le partage des informations est un facteur primordial en la matière. Mettre son expérience au profit d’autres institutions et entreprises permet aussi d’obtenir de précieux renseignements sur la façon dont elles ont traité certains cas les concernant et de renforcer ainsi sa propre sécurité. Ensemble, il est possible d’agir contre les cyberattaques.

Cyber-Radar
Les incidents enregistrés sont régulièrement reportés sur le cyberradar. (Tableau : Cyber Fusion Center)