Entre géopolitique et informatique, quatre normaliens remportent le challenge stratégique Cyber 9/12

Bravo aux lauréats !

Créé le
7 février 2023
En plein préparatifs d’un référendum sur l’indépendance de la Nouvelle-Calédonie, les listes électorales sont piratées. Comment gérer cette crise alors qu’une catastrophe naturelle se profile, mettant en péril toutes les télécommunications de l’archipel ? C’est le défi - fictif – proposé aux compétiteurs de l’édition française du dernier Cyber 9/12 et relevé haut la main par Julien Malka, Ryan Lahfa, Gabriel Doriath Döhler, étudiants au département d’informatique et Jean-Marc Gailis, du département de géographie de l’ENS-PSL.
Retour d’expérience, avec les lauréats, sur une compétition mondiale et interdisciplinaire de cybersécurité, un domaine dont les enjeux sont plus que jamais d’actualité.
De gauche à droite :  Jean-Marc Gailis, Gabriel Doriath Döhler, Ryan Lahfa, Julien Malka © Julien Malka
De gauche à droite : Jean-Marc Gailis, Gabriel Doriath Döhler, Ryan Lahfa, Julien Malka © Julien Malka

En décembre dernier, vous remportiez l’édition française du challenge stratégique Cyber 9/12. Pouvez-vous nous en dire plus sur cette compétition ?

Julien Malka : Le challenge stratégique Cyber 9/12 est une compétition étudiante simulant une gestion de crise de niveau Conseil de Défense et de Sécurité Nationale (CDSN) dans le domaine de la cybersécurité. Il met au défi des équipes de 4 étudiants et étudiantes, issus de toutes les disciplines universitaires, de répondre à un scénario de crise cyber réaliste et évolutif. Lors de l’édition française, nous avons ainsi affronté des équipes de Sciences Po, de l’Institut Français de Géopolitique ou bien encore de l’École Spéciale Militaire de Saint-Cyr.

Jean-Marc Gailis : Pendant la compétition, le scénario évolue au fur et à mesure des informations que les participants et participantes reçoivent. Ils doivent alors analyser des informations dans des délais de plus en plus resserrés. Par exemple, en finale, le dossier à étudier est remis seulement 15 minutes avant le briefing.
Ces dossiers contiennent des documents fictifs éclairant indirectement le développement de la crise. Il peut s’agir de coupures de presse, de rapports confidentiels, de cartes…

Ryan Lahfa : Après analyse du dossier, les participants doivent briefer en anglais sur la crise et son contexte, ainsi que les risques majeurs. Ils font ensuite des propositions d’actions pour les décideurs, dans tous les domaines, en anticipant les possibles évolutions de la crise et ses effets à différentes échelles.

Gabriel Doriath Döhler : La cybersécurité est souvent réduite au cliché des hackers qui développent des solutions informatiques de sécurité offensives ou défensives. C’est en réalité un domaine qui comporte une dimension stratégique très importante, imposant de se détacher de l’informatique pure et de raisonner à haut niveau sur les interactions entre les systèmes d’information, leurs usages, et leur contexte politico-économique. Le challenge stratégique Cyber 9/12 est un bel exercice pour s’initier à ces rouages complexes !

 

À quel scénario de crise avez-vous dû faire face ?

Gabriel Doriath Döhler : Le scénario reposait sur une crise fictive autour du dernier référendum d’indépendance de la Nouvelle-Calédonie. Les dimensions de cybersécurité impliquaient un possible piratage des listes électorales ainsi que des incidents sur l’infrastructure d’une mine de nickel, avec de potentiels dégâts environnementaux et humains.
Plus on avançait dans la compétition et plus la situation se dégradait. Une catastrophe naturelle est ainsi survenue en phase de demi-finale, mettant en péril les télécommunications.
Ces événements étaient accompagnés de campagnes de désinformation sur les réseaux sociaux et d’actions économiques agressives.

 

Quelles réponses avez-vous déployées pour gérer cette crise ?

Gabriel Doriath Döhler : Nous avons cherché à atteindre un objectif stratégique simple : assurer la sincérité et l’intégrité du vote de la Nouvelle-Calédonie, en permettant la constitution et l’expression démocratique de l’opinion des citoyens.
Nous avons, par exemple, proposé des mitigations des risques de coupure des télécommunications, par des solutions satellitaires mais aussi avec des technologies pair-à-pair de messagerie pour la population, sur le modèle de ce qui avait été fait pendant les manifestations à Hong Kong en 2019 et 2020 : la population avait largement utilisé l’application Bridgefy, qui permet de communiquer par Bluetooth, sans passer par Internet.
En outre, face aux ingérences étrangères, nous avons mis en œuvre, en coordination avec nos alliés, des mesures diplomatiques pour prévenir et gérer toute escalade dans cette crise.

 

Comment avez-vous rejoint la compétition du Cyber 9/12 ?

Gabriel Doriath Döhler : La majorité de notre équipe avait participé au séminaire d’Hugo Zylberberg, notre coach, sur la géopolitique des cyberconflictualités au CIENS (Centre Interdisciplinaire d’Études sur le Nucléaire et la Stratégie) au sein du département de géographie de l’ENS. Il nous a proposé de participer au challenge stratégique Cyber 9/12, ce qui nous a semblé une opportunité unique de nous frotter à un exercice complexe et nouveau, alliant la technique au politique.

 

Le challenge stratégique Cyber 9/12 est une compétition multidisciplinaire complexe. Comment vous y êtes-vous préparés ?

Gabriel Doriath Döhler : Avant la compétition, nous nous sommes entraînés sur les scénarios des précédentes éditions, en échangeant avec nos coachs Hugo Zylberberg et Rémi Geraud-Stewart, pour renforcer notre “cyber” culture générale. Nous avons également étudié une bonne partie de la doctrine publique française sur les questions de cybersécurité et les affaires stratégiques, et suivi l’actualité internationale.
Le niveau de la compétition est élevé, les conseils de nos coachs ont été très précieux pour nous aider à nous adapter à sa dimension interdisciplinaire, entre cybersécurité et géopolitique. Mais le champ des possibles de la cybersécurité est immense, il nous reste encore énormément à découvrir !

« La cybersécurité est suffisamment vaste pour accueillir des profils de tous bords, scientifiques ou littéraires. Cette pluridisciplinarité est la clef pour changer la donne face à la complexité de nos organisations. » - Ryan Lahfa

 

Vous avez remporté cette édition du challenge, que représente cette victoire ?

Ryan Lahfa : La cybersécurité ne consiste pas uniquement à développer des logiciels d’attaque ou de défense, ou à mener des recherches théoriques sur de la cryptographie. Il s’agit d’un domaine pluridisciplinaire, qui mêle informatique et sciences sociales. Il est très facile de se reposer sur la technique informatique et de voir le monde selon cette lorgnette seulement, mais je crois que c’est une erreur.

Notre victoire est un encouragement à celles et ceux qui poursuivent une formation pluridisciplinaire à oser pénétrer des domaines qui semblent inaccessibles car considérés -  souvent à tort - comme « techniques ». Au fond, nous sommes simplement un groupe d’informaticiens enthousiastes, passionnés par le monde qui nous entoure.

Julien Malka : Cette victoire met en lumière ce qui fait de notre école une institution si atypique et ce qui fait sa force : son interdisciplinarité ! Des informaticiens qui s’essaient à la géopolitique, un géographe qui démontre son expertise dans les infrastructures numériques, cela n’est possible que par la liberté que permet notre diplôme.

Jean-Marc Gailis : J’ajouterais peut-être une dernière chose: ce que l’ENS nous permet, en expérimentant, en croisant les champs disciplinaires, en remettant en cause ce que nous savons tout en l’enrichissant, nous en voyons ici la pertinence. On peut être issu(e) d’une khâgne et s’intéresser au cyber, on peut avoir fait une classe prépa scientifique et débattre de la régulation du cyberespace…

« L’ENS est forte de son interdisciplinarité, de la richesse de sa communauté, à nous ensuite de nous en saisir ! » - Jean-Marc Gailis

 

Que vous a apporté cette compétition, à la fois d’un point de vue personnel et professionnel ?

Ryan Lahfa : J’ai participé à plusieurs concours techniques de cybersécurité ou d’informatique, mais souvent ils ne laissent pas de place à la créativité qu’une situation réelle peut revêtir, contrairement au challenge Cyber 9/12. J’en profite d’ailleurs pour remercier les organisateurs, car j’ai beaucoup appris pendant cette compétition. J’ai aussi eu des échanges très riches avec les équipes des autres écoles, sur des domaines pas forcément représentés à l’ENS.
Sur le plan professionnel, je comprends mieux les ambitions cyber de la France, et je suis ressorti de cette compétition plus que jamais motivé pour mettre mes compétences au service de nos institutions dans ce domaine.

Gabriel Doriath Döhler : En tant qu’informaticien, cette compétition était l’occasion de m’améliorer sur des sujets qui me sont peu familiers : élaborer un brief, se coordonner efficacement sur la structuration de plusieurs marches à suivre graduées, etc.
Le challenge m’a aussi permis de développer une vision plus large de la cybersécurité, plus ancrée dans le réel et pas seulement technico-informatique. Dans une logique pluridisciplinaire, nous avons essayé de nous transmettre nos connaissances dans nos domaines respectifs : informatique, mathématiques, géopolitique, droit… Participer à cette compétition nous a tous fait monter en compétence sur de nouveaux sujets. J’ai aussi beaucoup appris des discussions informelles avec nos coachs, Hugo Zylberberg et Rémi Geraud-Stewart ainsi qu’avec les juges et les membres de l’ANSSI.

Julien Malka : Ce concours a été pour moi l’occasion de découvrir le travail réalisé par le centre de recherche Géode, qui étudie les enjeux stratégiques et géopolitiques du numérique. Le numérique représente un espace de recherche incroyablement vaste et les sujets traités par Géode sont par essence très interdisciplinaires. Pouvoir converser avec ces chercheurs a été pour moi extrêmement enrichissant.

Jean-Marc Gailis : Mes cours m’ont apporté des connaissances en géopolitique et en cybersécurité, mais elles restaient jusqu’ici théoriques. Pendant la compétition, j’ai pu imaginer des solutions à une situation de crise concrète, croisant les échelles et les acteurs face à des problèmes se multipliant. Cette complexité m’a beaucoup plu et y répondre était très stimulant. Comme mes camarades et coéquipiers, j’ai beaucoup appris de nos coachs, Hugo Zylberbeg et Rémi Géraud-Stewart, mais aussi de l’équipe de Géode, et de nos jurys. Cette compétition m’a aussi permis de mieux appréhender les possibilités professionnelles de ce domaine pour un profil de géographe comme le mien.

En plus de participer au Cyber 9/12, vous avez organisé la NixCon, la conférence internationale de la distribution Linux NixOS, à Paris. Comment ces activités s'articulent-elles avec votre parcours à l’ENS ?

Ryan Lahfa : Ces activités nous permettent de préciser nos préférences et nos aspirations, ce qui, par exemple, peut faciliter la recherche d’un stage en adéquation avec nos envies.
Le département d’informatique de l’ENS permet ces ouvertures d’esprit, car les enseignements ne sont pas uniquement focalisés sur des facettes théoriques de l’informatique. De manière plus générale, l’École, la Direction Générale comme tous les services, les départements et la Direction des études, de la vie étudiante et des carrières (DEVEC) nous fournissent un soutien inespéré au quotidien.

Julien Malka : L’une des forces de l’ENS est la richesse de sa vie associative. L’offre de cours n’est qu’une partie des activités à disposition de la communauté normalienne pour apprendre et se professionnaliser. Dans mon cas, les activités associatives et la vie normalienne ont harmonieusement complété mes cours, en me permettant de mettre en œuvre de manière concrète ma formation.

Jean-Marc Gailis : Outre nos cours, les activités associatives jouent une place essentielle dans nos parcours à l’ENS et dans notre formation: c’est le lieu d’expérimentation de nos idées, de débats sur nombre de sujets. Le soutien que l’ENS apporte aux initiatives de la communauté normalienne est majeur, et nous avons toujours pu obtenir l’aide de l'École pour nos projets, que ce soit pour récupérer du matériel, organiser des événements, expérimenter… Cette aide va de pair avec une précieuse écoute.

 

Plusieurs cyberattaques visant les établissements de santé se sont récemment produites. De quoi ces attaques sont-elles le marqueur ?

Ryan Lahfa : Ces cyberattaques d’origine criminelle, aux motivations financières, sont une conséquence de la réduction des autres voies de rémunération des acteurs criminels, par l’action des différentes institutions de l’État et par l'amélioration des standards de sécurité de l’industrie. Par exemple, il est de plus en plus difficile pour les criminels de voler des comptes bancaires pour faire des virements non autorisés. Ils se tournent alors vers d’autres opportunités, moins complexes, pour acquérir des fonds frauduleusement.

Jean-Marc Gailis : Les hôpitaux sont une cible de choix : leurs systèmes d’information ne sont pas uniformes parce que nombre d’appareils différents y sont déployés, et aussi parce que les logiciels de protection utilisés n’ont parfois plus de mise à jour de sécurité… Des failles sont ainsi progressivement ouvertes, au fur et à mesure que de nouveaux systèmes sont installés. Les fuites de données et les piratages sont les symptômes de l’obsolescence des systèmes de sécurité. Tout cela a créé une dette technique en sécurité, rarement payée par l'hôpital.
Le faible niveau de culture du risque numérique et cyber mais aussi des finances dégradées ont malheureusement conduit les organisations hospitalières à repousser cet investissement.
Fort heureusement, la question de la remise à niveau de la sécurité des établissements de santé, notamment suite à ces attaques, commence à revenir au premier plan.

Ryan Lahfa : L’incapacité des hôpitaux à se défendre contre des rançongiciels, utilisés pour extorquer de l'argent, démontre la complexité et la vétusté des systèmes d’information, notamment à cause d’un manque historique d’investissements. Il y a aussi la question des vulnérabilités humaines, nourries par les vulnérabilités économiques. Des employés sont prêts à installer secrètement ces logiciels en échange d’un pourcentage de la rançon ; c’est rare mais cela existe.

 

En matière de cyberpolitique, quelles sont les principales menaces ?

Jean-Marc Gailis : À mon sens, la cybersécurité est le domaine qui montre le plus la nécessité d’une mise en commun des savoir-faire et connaissances numériques. Dans un contexte d’hybridation croissante des conflits et d’accroissement des tensions, le cyber permet, en cas de crise, de toucher la profondeur des adversaires, et, en amont, de faire de l’espionnage industriel à peu de frais. Et le cyber est aussi un domaine où les groupes criminels trouvent à s’épanouir, s’attaquant à des cibles rentables et vulnérables.

Ryan Lahfa : Une conception répandue de l’informatique comme “centre de coûts” pousse parfois les institutions à acheter des produits conçus en série, sans adaptation aux besoins spécifiques du client. Le défi est de dépasser la logique de simple conformité de la sécurité d’un système d’information, tout en évitant de créer un cadre régulateur qui empêcherait la circulation de l’information de menace. Car ce cadre aggraverait la situation pour la plupart des institutions qui n’ont pas les moyens d’acheter les services d’une entreprise spécialisée, ou d’avoir une équipe cyber en interne. Une mise en commun du numérique sur la cybersécurité permettrait aussi de créer un écosystème libre où l’information de menace pourrait être partagée efficacement entre alliés, permettant une élévation du niveau technique et de protection.

Jean-Marc Gailis : Il y a également un véritable enjeu humain, avec un besoin important de professionnels compétents et formés dans le domaine de la cyber sécurité, non seulement sur les aspects les plus techniques mais aussi dans la gestion des risques et crises cyber, l’acculturation des organisations à ces problématiques… des missions qui s’adressent aussi bien aux littéraires qu’aux scientifiques ! Il est donc majeur de former des profils transversaux, ayant la compréhension des aspects techniques, géopolitiques et organisationnels.

À propos du challenge Cyber 9/12

 

Il s’agit du seul concours mondial de cybersécurité pour les étudiants, conçu pour remédier à la pénurie de compétences dans le domaine numérique par la simulation de crise interactive et l’analyse des stratégies. La compétition est organisée par un think tank, l’Atlantic Council, en partenariat avec le centre de recherche Géode à l’Université Paris 8 pour l’édition française, et en collaboration avec l’Agence Nationale de la Sécurité des Systèmes d’Information, l’ANSSI. À la fois expérience d’apprentissage interactive et exercice de scénario compétitif, le Cyber 9/12 met au défi des équipes d’étudiants de toutes les disciplines universitaires de répondre à un scénario de crise cyber réaliste et évolutif. Les équipes analysent les menaces et élaborent des réponses pour gérer la crise, accompagnées de retours de la part de juges experts dans ce domaine à chaque étape.

Source : geode.science

 

 

► Les conseils de l’équipe à celles et ceux qui souhaiteraient tenter l’aventure du Cyber 9/12

 

Ryan Lahfa : Cette compétition est une excellente opportunité de faire vivre ce qui rend l’ENS unique : son interdisciplinarité. Il est donc essentiel d’avoir une équipe avec des membres issus de départements différents. Le challenge Cyber 9/12 ne requiert pas de compétences avancées en informatique, mais il faut tout de même avoir de solides connaissances de base, afin d’avoir une vue d’ensemble et de savoir chercher facilement l’information là où on en a besoin. Enfin, suivre le cours de géopolitique des cyberconflictualités est aussi une clef importante.

Jean-Marc Gailis : Pour bien réussir dans cette compétition, il faut avant tout savoir être curieux au-delà de son domaine propre d’expertise. Toute la difficulté est d’avoir une vision souple de cette crise : penser à la fois aux détails très concrets et aux effets de haut niveau. L’ENS est un lieu idéal pour se préparer à cette compétition - je dirais donc qu’il faut avant tout expérimenter, discuter et réfléchir sur ces questions de cybersécurité et de géopolitique, sans nécessairement de but précis.