Du 5 au 9 février 2024, Cyber Humanum Est plonge une centaine d’étudiants nancéiens dans un conflit virtuel. L’occasion pour les entreprises partenaires de tester leurs systèmes de sécurité dans une situation de crise. Et de repérer de futurs talents.
Les yeux rivés sur son ordinateur, Guillaume, 22 ans, étudiant de dernière année à Polytech Nancy, paraît satisfait. « Aucune grosse crise n’est à signaler pour le moment. Mais on reste vigilant. » Depuis le 5 février 2024, il participe aux côtés d’une centaine d’étudiants de six établissements nancéiens à la quatrième édition de CyberHumanum Est, un exercice de cyberguerre organisé du 5 au 9 février par l’université de Lorraine, la base de défense de Nancy et le Commandement de la cyberdéfense (ComCyber).
Le scénario ? Une lutte d’influence entre deux pays fictifs, le Cryptanga et l’Anuméric, pour exploiter les ressources minières de l’île des Riverchelles dans l’archipel des Maldives. Pour pimenter cette guerre virtuelle, le groupe APT54 a été engagé par les habitants des Riverchelles, hostiles à cette cession de leurs ressources minières. Le tout, dans un contexte d’élection présidentielle. « L’objectif, c’est de coller le plus possible à la réalité », souligne le capitaine Jean-Philippe, directeur de l’exercice. « Les équipes doivent donc déjouer des attaques cyber et protéger les systèmes de sécurité de leurs ambassades, de leurs hôpitaux, ou même de leur réseau ferré, tout en attaquant le pays adverse. Parallèlement, une lutte d’influence se joue sur les réseaux sociaux. »
A lire aussi : Cybersécurité : l’urgence de réguler les vulnérabilités informatiques
Tester la sécurité des systèmes
Pour mettre en situation les étudiants, 200 équipements virtuels et réels ont été intégrés. Clavier Bluetooth, drones, fichiers cachés dans une république darkweb, serveurs ou encore maquettes de train : la liste est longue. Des systèmes d’opérateurs d’importance vitale (OIV) ont également été mis à disposition par des entreprises. Pour cette quatrième édition, l’industriel Siemens et le spécialiste de la cybersécurité Géoïde se sont associés pour proposer aux étudiants différentes maquettes de leurs systèmes de sécurité interne.
« La première mission des jeunes, c’est de durcir la sécurité de l’automate (une machine outil, NDLR) de Siemens en un temps limité. Pour cela, ils se servent de la formation dispensée par le groupe en amont de l’exercice. Ensuite, l’équipe doit protéger le dispositif des attaques de l’équipe adverse avec un firewall, à partir des infrastructures de Géoïde », détaille le capitaine Jean-Philippe. L’an dernier, le spécialiste des canalisations en fonte ductile, Saint-Gobain PAM, avait également réalisé une maquette de l’alimentation de ses hauts-fourneaux, potentielle cible d’une attaque.
L’intérêt pour ces entreprises est double : « Tester leurs systèmes de sécurité face aux attaques tout en identifiant les éventuelles failles des dispositifs », observe le colonel Eric Koessler, commandant de la base de défense de Nancy. Pour le moment, seuls Siemens, Saint-Gobain PAM et Géoïde proposent des maquettes de leurs systèmes. La majorité des partenaires industriels de l’exercice de cyberguerre, comme Orange, Thales ou Capgemini, apportent un soutien logistique et financier. « Mais tout ça est amené à évoluer », précise le capitaine Jean-Philippe. Un partenariat plus poussé avec Orange Cyber Défense est en gestation.
Dénicher d’éventuels collaborateurs
Au total, « le projet a nécessité plus d’un an de préparation et l’implication de 90 contributeurs venus du ministère des Armées, de pôles scientifiques et de grands groupes industriels », énumère le colonel Eric Koessler. Les étudiants s’y préparent depuis le mois d’octobre. Car pendant l’exercice, tous les coups sont permis. Laisser traîner un téléphone dans l’équipe adverse, hacker les serveurs du journal local pour diffuser des fausses informations, détourner la caméra d’une ambassade… De quoi tester les réflexes des futurs diplômés qui entreront sur le marché du travail dans quelques mois.
Car l’enjeu est de taille pour les groupes partenaires. Depuis l’an dernier, les entreprises sont confrontées à une pénurie de talents dans le secteur de la cybersécurité. « L’exercice de cyberguerre leur permet de repérer rapidement les futurs talents qui savent gérer une situation de crise », assure Nicolas Kromenacker, enseignant-chercheur à l’Université de Lorraine.
Un forum des métiers est organisé le 9 février avec la présence sur site de l’ensemble des partenaires. L’objectif ? Mettre en lien professionnels et futurs diplômés. Margaux, 22 ans, étudiante en dernière année aux Mines de Nancy, se rendra à l’événement. « J’envisage de faire carrière dans le privé. Pourquoi pas chez Orange mais j’ai déjà des pistes chez EDF », confie la membre de l’équipe attaque du Cryptanga. « Tout dépendra de ce qu’ils me proposent. » Les groupes devront donc se montrer convaincants pour recruter ces pépites.