Le service du renseignement militaire augmente de plus en plus sa stratégie « cyber »

Rencontre, au Quartier Evere, avec deux recrues et le lieutenant-colonel Filip Gillet.

Arthur est officier, Tom, civil sous contrat à durée indéterminée avec la Défense. Depuis quelques mois, ils sont affectés à la  » cellule d’analyse malware  » du département Cyber, une direction atypique du Service général du renseignement et de la sécurité (SGRS), dirigée par le lieutenant-colonel Filip Gillet.  » On cherche des gens très flexibles, très engagés. Des candidats qui ont le potentiel et les compétences techniques requises pour devenir expert technique dans notre domaine. Ils seront appuyés par un plan de formation motivant et de l’entraînement on-the-job, décrit ce dernier. Et tant pis s’ils se cachent toute la journée derrière leur écran et ne savent pas faire un briefing devant dix ou cent personnes pourvu qu’ils remplissent leur mission…  »

Geeks mais communicatifs, Arthur et Tom déroulent leur pedigree. Après l’Ecole royale militaire (division polytechnique, spécialisation dans les télécoms), Arthur, 29 ans, a choisi le domaine des Communications and Information Systems (CIS) de la Défense où il a été formé, entre autres, à la sécurisation des échanges téléphoniques et aux transmissions de données. Pendant cette période, il était déployé en Afghanistan et protégeait les CIS d’un bataillon. En 2015, il est repéré par le SGRS à la faveur d’un exercice Capture The Flag (NDLR : compétition en ligne) organisé par la Défense.  » A la cellule d’analyse malware, je dois chercher quels dommages a causé le logiciel malveillant, comment s’en protéger, d’où il vient, à quelle famille connue il appartient « , énumère le jeune officier.

Tom, 25 ans, ingénieur civil, option télécommunications, a d’abord travaillé au service informatique d’une banque avant de postuler à l’armée.  » Ce qu’on doit protéger ici a plus de valeur à mes yeux, et il y a ce challenge de travailler sur des installations critiques qu’on ne voit pas ailleurs.  » Après un entretien téléphonique, puis technique, après avoir obtenu son habilitation de sécurité, suivi une formation interne de quelques semaines, il était au poste.  » L’actualité internationale n’a pas joué dans mon choix, complète-t-il. La sécurité informatique m’intéressait déjà. J’y ai vu une opportunité pour m’y développer. De plus, l’armée est un très bon employeur.  »

Au bout de quelques années, les deux recrues vaudront de l’or sur le marché du travail. Même si Arthur est lié par une période légale de rendement, les deux analystes ne semblent pas pressés de quitter le Cyber Security Operations Center, son  » environnement exceptionnel  » et ses  » belles formations « .  » Un incident peut faire beaucoup de dégâts en quelques heures, il faut réagir vite, on a besoin de tout le monde, et même si on regrette que ça arrive, on est satisfait de notre travail, renchérit Arthur. L’année dernière, il a contribué à contenir une tentative d’extorsion de fonds. Un ordinateur a été envoyé à l’équipe digital forensics. Certains malwares sont si petits qu’ils occupent un volume comparable à une aiguille dans une botte de foin sur le disque dur des stations infectées…  »

Le SGRS distingue les incidents d’origine criminelle et les advanced persistent threats (menaces persistantes avancées) comme ces logiciels espions destinés à s’incruster dans un système pour en soutirer les informations.  » Après un incident, contextualise le lieutenant-colonel Gillet, il est essentiel de s’assurer à 100 % de la robustesse de notre informatique. Ensuite, il faut essayer d’attribuer le malware à un adversaire. Une cyberattaque ne s’arrête quasi jamais aux frontières. De temps en temps, on n’est pas capable de la tracer jusqu’au bout à l’aide de la technique uniquement. Mais, avec la cyberintelligence, et en utilisant d’autres sources de connaissance comme les tactiques et procédures utilisées, on peut arriver à l’attribuer avec un certain degré de probabilité.  » Les militaires ont appris à ne pas tomber dans le piège d’une heure qui donne une (fausse) idée du fuseau horaire dans lequel travaille l’adversaire ou de la langue qu’il emploie pour brouiller les pistes.  » C’est un jeu entre lui et nous « , sourit Arthur.

Le renseignement militaire est autorisé à procéder à des contre-attaques cyber sous le contrôle du comité R.  » En effet, nous avons le mandat pour développer non seulement des capacités défensives, mais également opérationnelles, confirme le patron Cyber. Les fauteurs de trouble appartiennent à cinq catégories : les Etats-nations et les groupes sponsorisés par ceux-ci comme certaines organisations de hackers russes, à l’heure actuelle, notre adversaire numéro un ; les criminels motivés par l’argent, de plus en plus actifs ; les (h)activistes comme Anonymous et Downsec, qui changent la page d’un site Web public ou piratent un site d’entreprise ; et, enfin, les terroristes qu’il est hyperimportant de suivre sur le Web.  » Le collectif s’impose dans ce domaine.  » Le SGRS partage un maximum de ses recherches avec la Sûreté de l’Etat, la police fédérale et le parquet fédéral. Nous mettons à leur disposition toute la panoplie de nos moyens de collecte.  »

La période électorale qui s’ouvre en Belgique va relancer la  » guerre de l’information  » dont est soupçonnée notamment la Russie.  » Les médias sociaux les plus populaires comme Facebook et Twitter sont investis par des bots ( NDLR : diminutif de robots) qu’il est très difficile de différencier d’une vraie personne. Il s’agit de logiciels automatiques ou semi-automatiques qui réagissent de manière orientée pour influencer l’opinion publique « , explique Arthur.

La montée en puissance cybernétique du SGRS est inscrite dans  » La vision stratégique pour la Défense  » (2016) du ministre Steven Vandeput (N-VA). La nouvelle direction Cyber a été placée au même niveau que les directions du Renseignement, de la Contre-ingérence et de la Sécurité.  » Le SGRS avait déjà une cellule Information Security pour protéger les réseaux informatiques classifiés, rappelle Filip Gillet. En 2013-2014, on a vu que la problématique devenait de plus en plus importante. La décision a été prise aussitôt de développer une capacité cyber et de procéder à des recrutements en interne et d’experts civils. Depuis trois ans, nous visons l’embauche de 10 à 20 personnes par an.  » Objectif assigné par l’autorité politique : atteindre les 199 unités en 2030.