Le centre de cyberdéfense accrédité par l’Otan basé en Estonie, le NATO Cooperative Cyber Defence Centre of Excellence (CCDCOE) a organisé un large exercice de cyberguerre «à tir réel», du 19 au 22 avril. Dénommé «Locked Shields», l’exercice a pour but de renforcer les compétences des experts de l’Otan et nationaux dans la défense des systèmes d’information des Alliés et de leurs infrastructures critiques face aux cyberattaques en temps réel.
Selon nos informations, le Luxembourg a participé à l’exercice, représenté au sein d’une équipe du Benelux, notamment par Securitymadein.lu, l’agence nationale chargée de la cybersécurité de l’économie et des municipalités du pays. Dans l’édition 2021 de l’exercice, Securitymadein.lu avait rapporté avoir participé à un scénario où «les participants ont dû faire face à des perturbations majeures du système financier». Le communiqué de presse du CCDCOE annonçant l’exercice de l’année dernière notait en effet que «les cyberdépendances du secteur des services financiers [seraient] mises en évidence».
À l’instar de l’édition 2021 de Locked Shields, l’industrie financière a été à nouveau représentée cette année par le Financial Services Information Sharing and Analysis Center (FS-ISAC). Ce dernier, un consortium d’institutions financières établies dans près de 70 pays, forme une communauté mondiale de partage de cyber-renseignements axée sur les services financiers. Le FS-ISAC regroupe des acteurs représentant un total de 100 trillions de dollars d’actifs.
En amont de l’exercice Locked Shields de cette année, le FS-ISAC avait annoncé qu’il devrait diriger le scénario du secteur des services financiers. Contacté par Paperjam, Ray Irving, directeur général du FS-ISAC, explique la démarche: «Le FS-ISAC a réuni un groupe d’experts en planification de scénarios composé de cinq à dix institutions financières, comme Mastercard et Banco Santander.» Et l’intérêt des institutions financières de participer: «Les entreprises membres sont impliquées sur une base volontaire. Elles consacrent leur temps et leurs ressources à s’assurer que le secteur participe activement à des exercices tels que Locked Shields afin de construire et d’améliorer la résilience du secteur et, en fait, de l’économie mondiale.»
Une coopération public-privé
De la sorte, le FS-ISAC élabore les scénarios de Locked Shields qui touchent au secteur financier, «tant en ce qui concerne la conception des systèmes financiers virtualisés que l’utilisation des tactiques, techniques et procédures actuelles des acteurs de la menace». Ainsi, Ray Irving souligne que «les exercices transfrontaliers, intersectoriels et public-privé comme Locked Shields aident à développer la mémoire musculaire pour répondre aux attaques, ce qui augmente la cyber-résilience au niveau de l’entreprise, du secteur, du pays et à l’international». Et il ajoute: «Non seulement ils reflètent la complexité du monde réel, mais ils aident à établir les relations nécessaires à une réponse coordonnée en cas d’attaque réelle à grande échelle.»
Locked Shields constitue à l’heure actuelle le plus important et complexe exercice international de cyberdéfense «à tir réel» au monde. Il fait intervenir près de 2.000 participants provenant de 32 pays, avec plus de 5.000 systèmes virtualisés soumis à plus de 8.000 attaques. Au-delà de la sécurisation de leurs systèmes d’information, les participants sont en outre évalués sur leur capacité à signaler des incidents, prendre des décisions stratégiques et résoudre des problèmes de types forensiques ou liés au droit et aux médias. «Compte tenu des interdépendances de l’économie mondiale, il est essentiel de collaborer et de pratiquer la cyberdéfense et la réponse aux incidents dans tous les secteurs critiques, ainsi qu’entre les secteurs public et privé», commente le directeur général du FS-ISAC.
Il n’est pas surprenant de retrouver une prise en compte de l’industrie financière dans la doctrine de cyberdéfense de l’Otan. Comme rappelé par le communiqué de presse publié le 14 juin 2021 à la suite d’un sommet des membres de l’Otan à Bruxelles, les mesures de défense de l’organisation transatlantique comprend aussi bien des outils militaires que non militaires. Une notion qui se retrouve d’ailleurs dans les «Perspectives stratégiques du cyberespace à l’horizon de 2030» du CCDCOE. «Les instruments militaires et non militaires traditionnels de la puissance de l’État peuvent être utilisés pour décourager les cyberattaques, notamment les instruments diplomatiques/politiques, militaires/du renseignement, de l’information, économiques, financiers, de la sécurité et de la défense», note le document.
L’Ukraine, pays participant au CCDCOE
Se basant sur la résolution 58/199 de l’assemblée générale de l’Onu en 2003, qui inclut les services bancaires et financiers dans la liste des infrastructures critiques, l’engagement de cyberdéfense de l’Otan stipule que «les Alliés développent l’éventail le plus complet de capacités pour défendre leurs infrastructures et réseaux nationaux».
Dans ses perspectives d’ici 2030, le CCDCOE met en exergue les capacités de cyberattaque de la Chine, notamment en visant les systèmes financiers. «Les États-Unis ont décrit la Chine comme ciblant des organisations dans des secteurs allant de la santé à la fabrication, aux télécommunications et aux services financiers», indique le document. Ce dernier ajoute que «la Chine s’attaquera également aux actifs financiers vitaux par le biais de logiciels malveillants et de ransomwares basés sur l’intelligence artificielle».
Bien que la Chine soit fortement citée dans la vision stratégique du CCDCOE, c’est plutôt du côté russe que son regard se porte en ce moment. En effet, nous avons constaté que certaines chaînes Telegram, alimentées par une partie de la communauté du hacking russe, ont mentionné à plusieurs reprises le nom du CCDCOE dans les jours précédant Locked Shields. À la suite de la décision du CCDCOE, le 4 mars dernier, d’accueillir l’Ukraine parmi ses participants contributeurs, ces mêmes canaux ont diffusé une cartographie de l’environnement de personnels participants au CCDCOE. Une liste de CV des membres du personnel a également été diffusée. Contacté à ce sujet, le CCDCOE n’a pas donné suite. Au milieu de l’exercice Locked Shields et au moment de la rédaction de cet article, le site du CCDCOE se trouvait hors ligne, n’affichant qu’une version d’archive.