Le Centre de cyberdéfense


24 sur 24, 7 jours sur 7, des hommes et des femmes se relaient pour protéger les citoyens et les intérêts vitaux de la Nation contre des attaques cyber.

Au cœur du Centre de cyberdéfense, découvrez les principales menaces cyber et les moyens que l’ANSSI déploie pour les contrer.

Qu’est-ce que le Centre de cyberdéfense ?

Composante du Centre opérationnel de la sécurité des systèmes d’information (COSSI) et fonctionnant 24h/24 7 jours sur 7, le Centre de cyberdéfense regroupe au sein d’une même infrastructure les différentes entités du COSSI consacrées à :

  • la veille sur les menaces cyber et l’alerte des autorités gouvernementales et des victimes ;
  • le pilotage des opérations de cyberdéfense de l’ANSSI ;
  • la gestion des relations opérationnelles du COSSI avec ses partenaires y compris les victimes d’attaques informatiques.

 

Le site du Centre de cyberdéfense

ANSSI

© ANSSI

Inauguré par le Premier ministre le 20 février 2014, le Centre de cyberdéfense de l’ANSSI est installé quai de Grenelle, Paris 15e. Une cinquantaine d’agents y sont affectés. Cet effectif peut être renforcé pour atteindre quatre-vingts personnes en cas de crise majeure. La co-localisation du Centre de cyberdéfense de l’ANSSI avec le Centre d’analyse de lutte informatique défensive (CALID) du ministère de la Défense permet d’assurer une coordination étroite entre les deux centres.

 

En quoi consiste la veille sur la cybermenace ?

Veiller 24 heures sur 24 et alerter sans délai les victimes potentielles, les autorités gouvernementales, voire les équipes techniques d’intervention en cas d’apparition de signes d’attaque informatique potentielle contre les intérêts de la Nation.

Cette veille sur les menaces consiste :

  • à détecter à l’échelle internationale l’apparition d’éventuels signes d’attaques dans les médias et sur Internet ou communiqués à l’ANSSI par ses partenaires nationaux et internationaux ; [Pour découvrir des profils et portraits de ces veilleurs, suivez ce lien}
  • à superviser, grâce à un outillage particulier, la sécurité de sites Internet et de réseaux gouvernementaux afin de détecter au plus tôt toute attaque ou tentative d’attaque qui pourrait les altérer/impacter. [Pour découvrir des profils et portraits de ces veilleurs superviseurs suivez ce lien]

 

Qu’est-ce qu’une opération de cyberdéfense ?

Une opération de cyberdéfense, c’est la coordination des différents moyens à disposition du COSSI qui visent à comprendre une attaque informatique d’envergure en vue de l’entraver (la bloquer durablement).
Une opération de cyberdéfense se décompose en plusieurs phases :

  • La détection. Elle est parfois le fruit du hasard, mais plus généralement de la surveillance des systèmes avec des outils de supervision, ou d’une information fournie par un tiers ;
  • La qualification. Il s’agit de confirmer l’attaque et de la comprendre :
      • Comment l’attaquant est entré ?
      • Quelles actions a-t-il conduites sur le réseau ?
      • Jusqu’où a-t-il pu aller ?
      • Quelles actions a-t-il pu réaliser ou peut-il encore réaliser ?
      • L’objectif est de dresser un bilan de l’étendue de la compromission.
      • A-t-il implanté des pièges ? A-t-il volé des données ? Comment les a-t-il sorties ?

    On cherche à comprendre l’attaque pour pouvoir la bloquer. Pour découvrir des profils et portraits d’analystes en investigation numérique, et d’analystes système reverse, suivez ce lien

  • La remédiation. Cette phase vise à bloquer l’attaquant et à durcir la sécurité du système d’information pour l’empêcher de revenir. C’est une « action coup de poing » pour à la fois « éjecter l’attaquant » du réseau qu’il a compromis et mettre en place une sécurité telle qu’il ne puisse pas revenir selon le même mode opératoire. Les actions et mesures nécessaires à mettre en œuvre pour y parvenir coûtent souvent d’autant plus cher que le niveau de sécurité initial des systèmes d’information de la victime est faible.

Depuis la phase de la qualification et jusqu’après la remédiation, la supervision par sonde de détection permet de surveiller l’évolution de l’attaquant et de s’assurer qu’il ne revienne pas par un autre biais.

Sur de telles attaques d’envergure, l’ANSSI est capable de conseiller ou d’apporter une expertise technique, mobilisant des compétences dont l’action est coordonnée par un responsable d’opération de cyberdéfense [Pour découvrir des profils et portraits de responsable d’opérations de cyberdéfense, suivez ce lien]. Il s’agit de compétences :

  • d’audit, pour réaliser une cartographie du réseau de la victime et notamment les chemins d’infiltration, de propagation, d’exfiltration et les principales carences de sécurité que l’attaquant pourrait utiliser [Pour découvrir des profils et portraits d'auditeurs, suivez ce lien]
  • d’investigation numérique, pour analyser les ordinateurs compromis afin d’appréhender l’activité que l’attaquant a pu y réaliser et les outils d’attaque qu’il a pu employer
    d’analyse de vulnérabilités, pour identifier les failles logicielles ou matérielles que l’attaquant a pu utiliser [Pour découvrir des profils et portraits d'analystes en investigation numérique, suivez ce lien]
  • de supervision, pour détecter et surveiller l’activité de l’attaquant [Pour découvrir des profils et portraits d'analyste en vulnérabilités et codes malveillants, suivez ce lien]
  • de reconstruction, pour déterminer le plan d’action des mesures techniques à mettre en œuvre pour stopper l’activité de l’attaquant et en empêcher la réimplantation