Commandant des Forces de défense du cyberespace : Nous sommes dans une phase de conflit, peut-être proche d'une phase de guerre

• La Russie et la Biélorussie sont actuellement la principale source de menaces dans le cyberespace, admet le général Karol Molenda dans une interview à CIS.
• Les forces de défense du cyberespace mènent non seulement des opérations défensives, mais également des opérations offensives.
• Karol Molenda explique également comment la Pologne construit un modèle de cybersécurité unique au sein de l'OTAN, fondé sur la coopération, l'échange d'informations et l'intégration avec le secteur privé.
• La cybersécurité sera l'un des principaux thèmes de la conférence d'automne « Industrie pour la Défense ». Des dirigeants de l'industrie, de la science et du gouvernement se réuniront à Katowice le 15 octobre pour discuter du renforcement de la résilience et du potentiel de défense de la Pologne face aux nouveaux défis géopolitiques et technologiques.

Dans le cadre de l'opération « Podlasie sûre », l'armée protège la frontière polono-biélorusse. Que défendent les Forces de défense du cyberespace ?

Les infrastructures TIC militaires et, indirectement, une grande quantité de données sensibles et précieuses pour la sécurité nationale. Les Forces de défense militaires (FDM) répondent à un engagement pris en 2016. À cette époque, l'Alliance nord-atlantique avait décidé que le cyberespace était également un domaine opérationnel où des opérations militaires pouvaient être menées. Cela a nécessité la création d'unités distinctes dédiées à la cybersécurité.

Les Forces de protection civile sont principalement responsables des opérations cybernétiques, qui luttent contre les attaques visant les systèmes et infrastructures informatiques. Nous sommes uniques par rapport aux autres branches des forces armées, car nous ne nous contentons pas de former, mais menons également des opérations ici et maintenant, en temps de paix .

Sommes-nous en guerre dans le cyberespace ? Le général explique.

On entend souvent les politiciens parler de « cyberguerre ». Mais à votre avis, la paix ?

En droit international, personne ne nous a déclaré la guerre. En tant que soldat, je parle donc de temps de paix. Cependant, à mon avis, dans le cyberespace, nous devrions plutôt parler d'états de compétition, de conflit et de guerre.

En ce qui concerne les CyberOps, je pense que nous sommes déjà dans la phase de conflit, peut-être proche de la phase de guerre.

Quand diriez-vous qu’il y a définitivement une guerre en cours ?

- Le seuil de la guerre n'est pas clairement défini. L'OTAN s'éloigne généralement de la définition d'une frontière rigide, car si un adversaire sait où elle se trouve, il opèrera toujours à la frontière et testera ce qui se passe lorsqu'il la franchit.

Si une attaque endommageait des infrastructures critiques, causant des blessés ou des morts, il serait difficile de dire que nous sommes toujours en conflit. Ce serait un argument suffisamment solide pour parler de guerre. Pour l'instant, nous repoussons les attaques.

Quelle est la part de défense et quelle est la part d'action offensive dans les opérations WOC ?

Nos principaux efforts visent à contrer les attaques, mais nous identifions également l'infrastructure et les activités de nos adversaires, en étudiant leurs tactiques, techniques et procédures contre nous ou nos partenaires. Parallèlement, nous développons des capacités offensives.

Signification?

Nous disposons de trois unités dédiées à la fourniture de compétences pour l'ensemble des opérations. Chaque unité dispose d'équipes prêtes à mener des opérations défensives et offensives actives. Elles possèdent les connaissances et les outils nécessaires pour obtenir des résultats dans l'espace numérique adverse si notre infrastructure était attaquée de telle manière que des facteurs politiques décideraient de ne pas se contenter de nous défendre.

Cependant, si quelqu'un envisage d'attaquer, il doit avant tout être capable de se défendre. Par exemple, au début de la guerre en Ukraine, les Russes ont été victimes de groupes comme Anonymous . Il s'est avéré que, malgré leur forte activité extérieure, ils manquaient de moyens pour se défendre contre les outils qu'ils utilisaient eux-mêmes.

Les cybercriminels opérant en Pologne sont financés par le GRU et le FSB

Qui représente la plus grande menace pour nous dans le cyberespace aujourd’hui ?

En matière de cyberopérations, notre plus grand défi est de contrer les groupes APT (menaces persistantes avancées) . Il s'agit de groupes parrainés par des États qui ont reçu des missions spécifiques pour impacter l'infrastructure d'un pays donné et y obtenir des résultats.

S’agit-il d’unités militaires ou de criminels financés par l’État ?

Les approches diffèrent selon les pays. Plusieurs rapports publics indiquent clairement que l'un de ces groupes opère au sein du GRU, le service de renseignement militaire russe . Les experts l'ont désigné sous le nom d'APT28. Le FSB détient l'APT29. Aujourd'hui, nous surveillons près de 20 groupes de ce type au sein de l'Agence de renseignement extérieur.

Les groupes APT bénéficient d'un feu vert et d'une protection. Si quelqu'un attaque au nom de la Fédération de Russie, la probabilité que celle-ci l'extrade après notre enquête est nulle. C'est pourquoi le FBI place les membres identifiés des groupes APT sur des listes de personnes recherchées ; ils risquent d'être appréhendés s'ils se rendent à l'étranger, par exemple .

Que signifient ces abréviations ?

Ces désignations sont attribuées par des experts en fonction du mode opératoire des groupes ou des outils qu'ils utilisent. L'attribution des responsabilités n'est pas aisée ; elle requiert des années d'expérience. Ces groupes attaquent généralement sous pavillon étranger , prennent le contrôle d'infrastructures étrangères et, seulement ensuite, mènent des opérations offensives en les utilisant.

Aujourd'hui, c'est sans aucun doute la Russie et la Biélorussie qui sont les plus actives. Presque chaque jour, des tentatives sont faites pour influencer l'infrastructure militaire de nos partenaires.

Quelles méthodes ces groupes utilisent-ils ?

Dans de nombreux cas, ces groupes utilisent des solutions faciles, généralement des outils d'ingénierie sociale, pour voler les identifiants de connexion. Les experts affirment désormais que les attaquants ne brisent pas la sécurité, mais se connectent au système. Bien sûr, si l'ingénierie sociale échoue et que l'adversaire est déterminé, il essaie alors des tactiques plus sophistiquées, y compris contre nos partenaires. Parce que les attaquants exploitent les maillons les plus faibles du système, nous devons veiller à améliorer la cybersécurité de tous nos réseaux.

Pourriez-vous me donner un exemple ?

Nous avons constaté cette tendance, par exemple, dans le cadre du soutien à l'Ukraine. Environ 90 % de l'aide militaire transite par notre pays, et nous collaborons avec nos partenaires des secteurs de la logistique et des transports . Nos adversaires l'ont remarqué et ont commencé à cibler les entités avec lesquelles nous partageons des informations. Ils pensent pouvoir extraire toutes les données importantes.

C'est pourquoi nous avons conclu plusieurs accords avec des partenaires en matière de soutien militaire. Il s'agit d'un modèle inédit : grâce à notre expérience, nous avons commencé à développer une perspective polonaise en matière de cybersécurité.

Que signifie la perspective polonaise sur la cybersécurité ?

En quoi cela consiste-t-il exactement ?

Les forces armées, et en particulier les cyberforces, ne devraient pas se concentrer uniquement sur leurs propres systèmes. Cette philosophie engendre un faux sentiment de sécurité : si nos infrastructures sont sécurisées, nous sommes prêts pour les opérations.

Parallèlement, l'armée doit également utiliser des infrastructures qui ne lui appartiennent pas : approvisionnement en carburant, énergie, transport , logistique. Ces secteurs ne sont pas suffisamment préparés pour contrer les groupes APT dotés de missions spécifiques et d'outils sophistiqués. Par conséquent, si nous obtenons des informations importantes pour la sécurité, nous les partageons également avec nos partenaires. Par exemple, si nous apprenons l'existence d'une vulnérabilité susceptible d'être exploitée pour attaquer une infrastructure, nous la signalons.

Nous sommes également en train de construire une toute nouvelle philosophie de partage de l’information au sein de l’OTAN.

Signification?

Pendant des années, le principe du « besoin de savoir » a prévalu. L'information était facilement accessible en de nombreux endroits, mais chacun la gardait pour lui. Cependant, nous nous efforçons de promouvoir la philosophie du « besoin de savoir » : si vous détenez des informations susceptibles d'être utiles à votre partenaire, partagez-les.

Permettez-moi de vous donner un exemple de collaboration avec des partenaires en Ukraine. S'ils détectent une attaque d'un groupe APT utilisant une infrastructure compromise, ils nous en informent. Cela nous permet de protéger nos appareils et de garantir que cette même infrastructure ne soit pas utilisée contre nous. Si tout le monde se protège contre une telle attaque, l'adversaire devra construire une nouvelle infrastructure, ce qui est long et coûteux.

Pensez-vous que l’avantage est désormais de notre côté ?

« Un défenseur est toujours dans une situation plus difficile. Je pense que nous avons clairement fait beaucoup de progrès ; nous connaissons bien mieux nos adversaires qu'il y a quelques années. »

Quand je regarde notre équipe, j'ai parfois l'impression que nous la connaissons mieux qu'elle ne se connaît elle-même. Nos analystes sont capables de détecter lorsqu'un adversaire construit une infrastructure susceptible d'être exploitée pour une attaque. Grâce à leurs recommandations, nous pouvons nous préparer en conséquence.

Bien sûr, cela ne change rien au fait qu'une attaque pourrait survenir demain, exploitant par exemple une vulnérabilité zero-day dont nous ignorions l'existence. Nous devons rester suffisamment vigilants pour nous assurer que même si un adversaire pénètre notre première couche de défense, nous pourrons l'arrêter. La vigilance est cruciale ; parfois, les responsables de la sécurité ignorent même qu'ils ont été attaqués ou qu'ils ont des extraterrestres à bord.

Quel est le but ultime de ces groupes ?

« Ils reçoivent des ordres précis et opèrent comme des unités militaires. Obtenir des informations est sans aucun doute l'un de leurs principaux objectifs, car celui qui les détient a un avantage. »

Cependant, dans de nombreux cas, l’adversaire peut construire ce que l’on appelle des têtes de pont, sa présence dans l’infrastructure, et plus tard même l’endommager ou la désactiver.

Nous adoptons une approche proactive : nos équipes analysent activement notre infrastructure à la recherche de vulnérabilités. Elles mènent également des activités d'ingénierie sociale contre nos utilisateurs. Nous revoyons nos procédures. Nous vérifions également si nos équipes de défense ont détecté ces activités actives. Parallèlement, nos équipes traquent les adversaires sur nos réseaux et ceux de nos partenaires.

Pouvez-vous donner un exemple d’une telle action ?

Dans le cadre de nos recherches en ligne, nous avons découvert un cas où un attaquant exploitait une fonctionnalité logicielle Microsoft pour recueillir des informations. Cette fonctionnalité était activée par défaut et invisible pour l'utilisateur. Suite à notre analyse, nous avons informé Microsoft , qui a confirmé nos conclusions et apprécié notre contribution.

Nous avons également développé des outils et des scripts permettant aux organisations de déterminer de manière autonome si elles ont été victimes de ce type d'attaque et comment s'en protéger. Nous avons rendu ces outils publics, et nos conclusions ont ensuite été citées dans des rapports internationaux sur les activités des services de renseignement étrangers.

De quoi un propriétaire de système devrait-il se préoccuper ? Quels sont les signes indiquant la présence d'un « alien » parmi nous ?

Ce qui m'inquiète le plus, c'est le silence. Si nous recevions quotidiennement des rapports indiquant qu'un adversaire tente d'affecter nos infrastructures, et que rien ne se passe pendant une semaine, ce serait notre plus grande préoccupation. La probabilité que l'adversaire ait abandonné est nulle ; son silence signifie donc qu'il a changé de mode opératoire et que nous ne voyons rien.

Pensez-vous qu’à l’avenir nous serons confrontés à la destruction d’infrastructures à partir de points d’appui capturés ?

« Je ne pense pas que ce soit un scénario impossible. Je pense qu'il est préférable de le garder à l'esprit, de réaliser constamment des tests d'intrusion et de sensibiliser le public. »

Le cyberespace est notoirement dangereux, notamment parce qu'il est en constante transformation humaine. Suivre les évolutions technologiques demande beaucoup d'efforts.

L’approche polonaise en matière de cybersécurité comme modèle pour l’OTAN

Le WOC collabore avec le secteur privé. Cyber LEGION en est un exemple. D'où est venue l'idée d'inviter des programmeurs civils à vous soutenir ?

Il existe en Pologne un groupe d'experts qui ont depuis longtemps exprimé leur volonté de nous aider, mais ils n'ont aucune intention de changer de poste ni de porter un uniforme permanent. Jusqu'à présent, nous les avons invités à collaborer, notamment dans le cadre de Locked Shields, notre plus grand exercice de cyberdéfense.

Cyber LEGION est une idée conçue pour gagner leur soutien, mais aussi pour leur donner le sens de leur mission. À ce jour, nous avons reçu plus d'un millier de candidatures, et la réponse a été incroyable. Parmi les volontaires figurent des experts de renommée internationale, notamment ceux qui ont ri en 2019 lorsque je leur ai dit que je les habillerais encore en uniforme.

Après les vacances d'été, nous commencerons les premières rencontres avec eux, pour l'instant nous devons traiter cet énorme nombre de candidatures.

Cela implique une collaboration avec des spécialistes spécifiques. Comment les WOC collaborent-elles autrement avec le secteur privé ?

Nous sommes l'une des rares institutions de l'OTAN à avoir développé des relations de confiance avec les universités et le secteur privé. Nous avons signé des accords avec tous les plus grands fournisseurs de technologies, les « Big Tech » . Contrairement à certains discours, ces accords ne portent pas sur le transfert de données, mais sur la garantie d'un contact direct entre nos experts et les ingénieurs de ces fournisseurs.

C'est crucial, surtout en situation de crise : lorsque nos spécialistes détectent une vulnérabilité, nous devons contacter rapidement les personnes concernées, et non le service commercial. Nous avons eu des cas où une vulnérabilité a été activement exploitée, et grâce à ces relations, le fournisseur a immédiatement commencé à travailler sur un correctif ou nous a fourni des recommandations pour une protection temporaire.

De plus, grâce à la confiance que nous avons bâtie, nous sommes désormais informés à l'avance des nouvelles vulnérabilités, avant même leur annonce officielle. Cela nous permet d'agir plus rapidement et plus efficacement. Cette collaboration bilatérale et experte est le fondement de la sécurité dans le monde d'aujourd'hui.

Vous avez souligné à plusieurs reprises lors de cette conversation que votre action était unique par rapport à l'OTAN. Après six ans, pensez-vous que le WOC DK soit unique ?

C'est vrai. Même ce sentiment confine à la certitude. En 2019, nous avons compris que pour développer de solides capacités en cybersécurité, nous devions former nous-mêmes les talents, et non les conquérir sur le marché. C'est pourquoi nous avons privilégié le développement à long terme, des cours d'informatique au lycée au programme CYBER.MIL, en passant par l'augmentation du nombre d'étudiants dans les universités militaires. Aujourd'hui, nous constatons des résultats tangibles : plus d'une centaine de nouveaux sous-lieutenants, diplômés de programmes liés à la cybersécurité, rejoignent les forces armées chaque année.

Parallèlement, nous savions que nous avions besoin d'un partenaire capable d'accélérer notre développement. C'est pourquoi nous avons collaboré avec les États-Unis, grâce à un accord avec le Commandement des États-Unis en Europe. Cela nous a permis de tirer parti de l'expérience acquise aux États-Unis depuis plus de dix ans.

Dans un premier temps, nous avons également dû rationaliser les structures nationales. Auparavant, différentes unités étaient responsables séparément de la sécurité et de la fonctionnalité des systèmes. Cela entraînait des frictions, des retards et des lacunes en matière de protection. Nous avons donc opté pour un modèle innovant, regroupant les compétences au sein d'une même structure. Cela permet une réactivité accrue, une analyse des risques plus efficace et un équilibre entre fonctionnalité et sécurité.

Est-ce différent au sein de l’OTAN ?

Dans de nombreux pays de l'OTAN, les responsabilités restent fragmentées, ce qui ralentit la circulation de l'information et constitue une menace réelle. Je connais des cas où des attaques ont réussi uniquement grâce à un manque de coordination. Nous avons privilégié l'intégration.

Nous soutenons également activement les partenaires externes, notamment les infrastructures critiques. Ce n'est pas encore la norme, mais nous constatons que de plus en plus de pays, dont le Royaume-Uni, l'Allemagne, les États-Unis et la France, reconnaissent l'importance de cette approche et partagent des points de vue similaires. Nous sommes pionniers dans ce domaine, mais nous ne sommes pas les seuls à emprunter cette voie.

L'intelligence artificielle et les drones transforment le champ de bataille. Comment le WOC réagit-il ?

Alors d’autres apprennent déjà de la Pologne ?

Nous exportons avec succès nos connaissances et notre expérience. Cependant, les autres ne sont pas les seuls à apprendre de nous ; nous le faisons aussi et nous en avons envie.

Et donc, une fois de plus, nous avons eu une idée unique. Nous avons constaté que, lors de nombreuses conférences, tout le monde parlait de collaboration et de partage d'informations. Ce n'est que lorsque quelqu'un demandait : « D'accord, mais qu'avez-vous fait exactement dans ce cas ? » qu'il y avait un silence, car l'information était très sensible. C'est pourquoi nous organisons chaque année le sommet du CSIRT à Legionowo, un espace d'échange d'informations sur le secret de l'OTAN . Cependant, pour participer à la réunion, il y a une condition : il faut apporter sa propre étude de cas. Ce n'est qu'à cette condition qu'on peut écouter les autres. L'idée a été reprise par les Américains, ce qui confère à notre événement une réelle notoriété.

Nous tirons constamment des conclusions, ce qui explique l'évolution constante de notre structure. Le directeur des ressources humaines n'est probablement pas ravi que nous recevions constamment des propositions d'organisation et de recrutement, mais cela est dû à l'évolution rapide des technologies. En 2019, lorsque nous avons défini la structure des Forces de défense du cyberespace, nous n'étions pas aussi actifs dans le domaine de l'intelligence artificielle. Aujourd'hui, il est impossible d'imaginer ne pas mettre en œuvre cet élément. C'est pourquoi nous avons créé le Centre de mise en œuvre de l'intelligence artificielle pour intégrer cette technologie révolutionnaire à notre infrastructure.

Qu'est-ce que ça fait ?

L'intelligence artificielle peut véritablement aider les commandants en analysant de vastes ensembles de données provenant de capteurs et de systèmes, suggérant des décisions autrefois prises par l'état-major. Ceux qui sauront traiter ces données plus rapidement et les traduire en décisions opérationnelles bénéficieront d'un avantage. Nous souhaitons mettre en œuvre des solutions déjà disponibles sur le marché, mais nous disposons également d'une équipe d'ingénieurs maîtrisant ces technologies, capables d'entraîner des modèles à partir de données classifiées et de les implémenter dans nos systèmes.

Je suis convaincu que nos adversaires y travaillent aussi. Si ce n'était pas le cas, on pourrait imaginer un scénario où deux forces s'affronteraient : l'une utiliserait des algorithmes d'IA pour prendre des décisions, l'autre non. Il est facile d'imaginer laquelle aurait l'avantage.

Nous travaillons également sur des systèmes d’armes autonomes, des essaims de drones et l’analyse de données satellitaires – qui utilisent tous l’IA pour accroître l’efficacité et la résistance aux perturbations.

Le CISI recrute les meilleurs jeunes officiers – maîtres et ingénieurs – ayant déjà acquis une expérience dans des universités techniques militaires. Notre objectif est de constituer une équipe qui non seulement maîtrise la technologie, mais qui peut également la mettre en œuvre efficacement et en toute sécurité, en tenant compte des menaces telles que la contamination des données. Il s'agit d'un investissement dans des capacités qui seront cruciales sur le champ de bataille de demain.