Article original datant du 23/06/21
Les exercices ‘Cyber Yankee’ de cette année ont simulé le scénario de plus en plus probable de cyberattaques paralysant d’énormes sections de l’infrastructure nationale.
Les gardes nationaux viennent de terminer un exercice d’entraînement de deux semaines au cours duquel ils ont réagi à une cyberattaque simulée qui a mis hors service des services publics essentiels à travers les États-Unis. Ces exercices sont devenus un événement annuel, mais cette année, ils ont pris encore plus d’importance après plusieurs ransomwares et cyberattaques majeurs qui ont paralysé une grande partie de l’infrastructure américaine ces derniers mois.
Les exercices faisaient partie du septième Cyber Yankee, un événement de formation qui rassemble des gardes nationaux de toute la région de la Nouvelle-Angleterre pour tester leurs réponses contre des cyberattaques simulées. Les exercices de cette année ont simulé une cyberattaque qui visait les services publics de la côte ouest avant de se propager vers l’est des États-Unis, en direction de la Nouvelle-Angleterre. En plus d’offrir une formation pratique sur la façon de répondre à des cyberattaques actives, l’exercice visait également à établir une collaboration en matière de cyberdéfense entre la Garde Nationale et ses partenaires du secteur privé, le FBI, l’agence de cybersécurité et de sécurité des infrastructures du ministère de la Sécurité intérieure, la Federal Energy Regulatory Commission (Commission fédérale de régulation de l’énergie) et l’U.S. Cyber Command (USCYBERCOM), entre autres.
« Nous le faisons dans le cadre d’un exercice afin que, lorsque cela se produit, nous ayons déjà établi ces relations, non seulement au sein de la Garde Nationale, mais aussi avec toutes nos infrastructures essentielles, nos partenaires fédéraux, locaux et étatiques », a déclaré le major Ryan Miler, responsable des cyberopérations pour la Garde Nationale de l’armée du Connecticut. « Nous avons établi ces lignes de communication et il est alors beaucoup plus facile de se réunir et de réagir. »
Le Cyber Yankee de cette année a vu la première utilisation dans le cadre de l’exercice annuel du nouveau système Cyber 9-Line développé par l’U.S. Cyber Command (USCYBERCOM). Cyber 9-Line offre aux unités cybernétiques de la Garde Nationale un modèle de questions qui leur permet de communiquer rapidement les détails d’une cyberattaque présumée à la chaîne de commandement de l’USCYBERCOM. Une fois que le CYBERCOM dispose des informations fournies par Cyber 9-Line, il peut diagnostiquer plus rapidement et plus efficacement l’attaque et fournir des informations à l’unité concernée, qui peut ensuite partager ces informations avec les autorités locales et les partenaires industriels concernés. « La ligne Cyber 9 n’en est qu’à ses débuts, mais après avoir mis en place ce programme il y a quelques mois, nous avons déjà constaté un impact », a déclaré le lieutenant-colonel Jeff Pacini de l’armée de l’air américaine, chef adjoint des opérations futures du CNMF, dans un communiqué de presse de l’USCYBERCOM l’année dernière. « En fin de compte, l’objectif est de se soutenir mutuellement. » Le questionnaire Cyber 9-Line est similaire à d’autres formats de neuf lignes utilisés par les forces armées américaines pour des demandes telles que l’évacuation médicale ou le soutien aérien rapproché.
Le lieutenant-colonel Cameron Sprague, directeur de l’information de la Garde Nationale aérienne du Connecticut et directeur adjoint de l’exercice Cyber Yankee de cette année, a déclaré que les cyberattaques simulées étaient conçues pour être aussi réalistes et complexes que possible afin de se préparer aux types d’incidents de plus en plus fréquents dans le pays :
« Il est très difficile de réaliser un exercice de ce type de manière efficace. De nombreux cyber-exercices comportent des activités qui ressemblent à un jeu de prise du drapeau, qui sont trop faciles et ne sont pas nécessairement applicables aux crises du monde réel. Il est vraiment difficile de fonctionner efficacement dans un environnement de réaction aux incidents. C’est ce que beaucoup d’équipes retiennent en premier lieu lorsqu’elles parcourent cet exercice : comment faire un plan de réponse aux incidents. C’est le point essentiel de cette formation.«
Les responsables de l’exercice ont déclaré que les équipes qui ont mené des attaques simulées ont permis à la Garde nationale d’avoir une meilleure idée de ce à quoi il faut s’attendre en cas de cyberattaques réelles et d’opérations de ransomware. Si vous savez comment vos ennemis mènent leurs attaques, vous pouvez être mieux préparé à vous défendre contre eux.
Lors des exercices Cyber Yankee de l’année dernière, plus de 200 gardes nationaux se sont réunis pour combattre diverses cybermenaces. Les gardes ont été répartis en quatre équipes bleues chargées de répondre à des cyberattaques simulées, une cellule rouge qui a mené ces attaques et une cellule blanche qui a « régulé et évalué les opérations de l’événement ».
Le colonel Woody Groton, de l’armée américaine, qui a dirigé le Cyber Yankee de l’année dernière, a déclaré en 2020 que l’exercice était conçu pour confronter les gardes aux mêmes types de cybermenaces auxquelles sont actuellement confrontées les entreprises et les infrastructures basées aux États-Unis :
La cybersécurité, en particulier dans le domaine des infrastructures critiques et des administrations d’État, est un problème majeur à l’heure actuelle. Vous pouvez le voir dans les nouvelles tous les jours. Les attaques par ransomware sont en augmentation ; perte de données, perte de propriété intellectuelle. Il est difficile de suivre l’adversaire. Ces dernières années, nous avons également constaté une augmentation significative des cyberattaques et des tentatives de cyberattaques contre l’industrie électrique et l’eau. En nous formant à l’avance sur ce sujet, nous sommes mieux préparés en cas d’incident réel.
Les cyberattaques contre les infrastructures civiles ont pris le pas sur les préoccupations de sécurité nationale ces dernières années, car elles sont devenues plus courantes et plus paralysantes. Une attaque par ransomware a provoqué la fermeture du plus grand pipeline de carburant des États-Unis en mai 2021, entraînant des pénuries de carburant dans certaines régions de la côte Est. Les responsables de Colonial Pipeline, basée en Géorgie, ont finalement payé près de 5 millions de dollars de rançon pour mettre fin à la cyberattaque, dont le FBI a pu par la suite récupérer environ 85 % sous forme de crypto-monnaie.
Une cyberattaque par ransomware similaire a suivi l’attaque de Colonial Pipeline en juin 2021, cette fois contre la plus grande entreprise de transformation de viande au monde. Les grandes entités du secteur privé ne sont toutefois pas les seules à être attaquées, puisque les attaques par ransomware contre les administrations et les institutions locales augmentent à un rythme alarmant dans tous les États-Unis. Par exemple, une unité de la Garde Nationale de Louisiane a déjoué une cyberattaque soupçonnée de provenir de Corée du Nord contre des bureaux gouvernementaux en 2020, et d’être peut-être liée aux élections dans cet État.
Si bon nombre de ces attaques ont été rapportées comme ayant été perpétrées par des organisations criminelles plutôt que par des acteurs étatiques, de nombreux doigts ont été pointés en direction du gouvernement russe. Certaines attaques ont même été présumées provenir directement des services de renseignement russes, comme la cyberattaque de 2020 contre la société de gestion des technologies de l’information SolarWinds, qui a entraîné des violations de serveurs appartenant à des entités gouvernementales américaines et à des entreprises privées. La Russie a nié toute implication dans cette attaque.
« Je peux vous assurer que nous soulevons cette question par le biais des plus hauts niveaux du gouvernement américain », a déclaré le porte-parole de la Maison Blanche, Jen Psaki, au lendemain de l’attaque par ransomware de la transformation de la viande en juin. « Le président croit assurément que le président Poutine a un rôle à jouer pour arrêter et prévenir ces attaques. »
Les cyberattaques et les complots de ransomware ont occupé le devant de la scène lors du récent sommet entre le président américain Joe Biden et le président russe Vladimir Poutine à Genève. M. Biden aurait remis à M. Poutine une liste de 16 secteurs d’infrastructures américaines critiques que la Maison-Blanche souhaite que la Russie accepte comme étant « hors limites » des cyberattaques, notamment les services publics de l’énergie et de l’eau. Poutine, quant à lui, a déclaré que la Russie n’avait rien à voir avec l’attaque du Colonial Pipeline et a affirmé que les États-Unis étaient responsables de la plupart des cyberattaques dans le monde.
La Maison Blanche a récemment annoncé qu’elle allait élever les attaques de ransomware au même rang de priorité que les attaques terroristes et qu’elle allait créer un nouveau groupe de travail pour permettre à diverses agences gouvernementales à plusieurs niveaux de coordonner le partage d’informations et les réponses aux cyberattaques. « Il s’agit d’un processus spécialisé visant à assurer le suivi de tous les cas de ransomware, quel que soit leur lieu d’origine dans le pays, afin de pouvoir établir des liens entre les acteurs et remonter la filière pour perturber toute la chaîne », a déclaré John Carlin, principal procureur général adjoint au ministère de la justice. L’administration Biden a signé un décret en mai 2021 visant à renforcer et à moderniser les défenses de cybersécurité dans l’ensemble du gouvernement fédéral, y compris la communauté du renseignement et le ministère de la défense.
Comme l’ont montré les événements récents, les cyberattaques n’ont pas besoin de désactiver des systèmes de défense antimissile ou des satellites pour infliger des dommages et provoquer des perturbations majeures. Les cyberattaques contre des entreprises privées telles que Colonial Pipeline peuvent faire tout autant de dégâts en interrompant les opérations d’approvisionnement en carburant, tandis qu’une attaque par ransomware contre une compagnie d’électricité commerciale pourrait sans aucun doute causer des dommages massifs en mettant hors service les systèmes de sécurité publique et de soutien de base dont la nation dépend quotidiennement. Nous pouvons nous attendre à ce que des exercices comme Cyber Yankee s’intensifient et deviennent plus complexes à mesure que la cybermenace continue de proliférer et que le gouvernement américain trouve de nouveaux moyens de l’atténuer et de s’en défendre.