Select your country

Belgium

China

Denmark

France

Germany

Global

Maghreb & West Africa

Netherlands

Norway

South Africa

Sweden

Switzerland

United Kingdom

Not finding what you are looking for, select your country from our regional selector:

Rechercher

  1. Orange Cyberdefense
  2. Ressources
  3. Actualités
  4. Orange Cyberdefense Allemagne présent au Cyber Phoenix 2025

Orange Cyberdefense Allemagne présent au Cyber Phoenix 2025

Orange Cyberdefense Allemagne présent à Cyber Phoenix 2025.

Partager

L'essentiel de votre hack'tu cybersécurité

  • Lors de Cyber Phoenix 2025, les équipes d'Orange Cyberdefense Allemagne ont perfectionné leurs compétences en analyse forensique, détection de commandes de contrôle (C2) et remédiations dans le cadre d'attaques simulées sur des environnements informatiques et industriels ;  

  • L'exercice valorise la collaboration internationale, afin de renforcer l'expertise humaine au contact des outils d'intelligence cyber (EDR, SIEM...) ; 
     
  • La présence de nos équipes permet de renforcer notre réactivité, notre compréhension des systèmes industriels et de développer des stratégies de défense collectives pour construire un monde numérique plus sûr.

Cyber Phoenix 2025 : l'analyse forensique à l'honneur

A l'occasion de Cyber Phoenix 2025, une série d'exercices organisée par la Bundeswehr, les équipes d'Orange CyberdefenseAllemagne ont pu acquérir et parfaire leurs connaissances en matière :

  • D'analyse forensique(1) au niveau des machines hôtes et du réseau ; 
  • De scénarios de détection et de correction des demandes de contrôle C2(2) sur des systèmes Linux et Windows ; 
  • De simulations d'attaques menées sur des environnements OT(3) et des systèmes SCADA(4)

Nos équipes ont pu participer à des ateliers pratiques ayant favorisé de précieux échanges avec de nombreux experts en cybersécurité, dont des militaires et des réservistes de différents pays.

Cela fait directement suite à notre participation au Locked Shields de l'OTAN. Notre présence lors d'événements aussi incontournables illustre notre engagement pour partager les connaissances les plus pointues en matière de sécurité, afin de bâtir collectivement un monde numérique plus sûr. 

  • Dans le domaine de l'analyse forensique (on parle également de « forensic » ou de « cyber forensique »), l'accent a été mis sur l'analyse des postes de travail et de serveurs Linux et Windows compromis. Entre autres, des copies de mémoire vive (ou « memory dumps ») ont été examinées afin d'identifier les processus en cours, les activités suspectes et la présence d'éventuels logiciels malveillants ; 
     
  • Au niveau du réseau, les équipes ont analysé des fichiers PCAP(5) volumineux afin de détecter des activités suspectes au sein du trafic réseau. L'accent a été mis sur l'identification des demandes de contrôle de type C2, via les ports et protocoles connus ou via des canaux dissimulés 
     
  • En complément, les logs et connexions du pare-feu ont été évalués afin d'obtenir une image complète des canaux d'attaque et des flux de données exfiltrés ; 
     
  • Pour l'analyse complète des terminaux et la réponse aux incidents, des outils EDR(6) ont également été utilisés afin de collecter et d'évaluer de manière centralisée les données provenant de différents systèmes ; 
     
  • Pour l'analyse forensique spécifique au secteur OT, des copies de systèmes SCADA compromis ont été examinées afin d'identifier et de documenter les approches utilisées pour en détourner le contrôle, les modifications non autorisées et leur impact potentiels sur les installations industrielles ; 
     
  • Toutes les informations obtenues ont été regroupées et corrélées au sein d'un outil SIEM(7). Cela a permis de reconstituer le déroulement chronologique de l'attaque, de mettre en relation les différents événements et de comprendre précisément la démarche et la logique des attaquants.

Un moment d'échanges privilégié pour renforcer notre résilience collective

Le coeur de l'exercice consistait à regrouper des informations issues de différentes plateformes et de contextualiser les indicateurs de compromission (IOC) obtenus en s'appuyant sur des outils et expertises de Cyber threat intelligence (on parle également de « CTI » ou d'intelligence de la menace). Les résultats obtenus ont ensuite nourri les échanges entre équipes internationales afin d'élucider ensemble l'incident simulé et de déployer des contre-mesures efficaces.

Cet exercice démontre une fois de plus à quel point l'échange de connaissances entre les pays est crucial dans le domaine de la cybersécurité. La collaboration des experts militaires, des réservistes, des autorités et des acteurs de la cybersécurité est inestimable pour développer ensemble des stratégies de défense résilientes et anticiper les cyberattaques émergentes. 

Les enseignements clés

Obtenir une corrélation précoce est un enjeu décisif : plus les données issues des analyses au niveau des ordinateurs hôtes, du réseau et des logs sont regroupées rapidement, plus le cheminement global d'une attaque devient clair.

  • S'appuyer sur des outils de détection et la cyber threat intelligence (CTI) favorise une expertise encore plus efficace : l'utilisation de plusieurs outils spécialisés fournit nettement plus d'informations et de données approfondies, ce qui favorise la réactivité et le déploiement de contre-mesures. Cependant, cela augmente également la complexité de l'évaluation. Le plein potentiel de ces outils ne peut être exploité qu'avec des connaissances approfondies doublée d'une solide connaissance des méthodes d'analyse ; 
     
  • La coopération d'experts internationaux permet d'identifier plus rapidement l'origine et le cheminement d'une cyberattaque : l'alliance d'expertises différentes favorise une analyse collective plus rapide et plus fine, avec des stratégies de défense et de remédiation plus efficaces ; 
     
  • S'appuyer sur l'intelligence de la menace (ou CTI) rend les résultats plus fiables : la combinaison des données d'investigation numérique avec l'intelligence de la menace augmente la pertinence et la performance des recommandations ; 
     
  • Participer à des simulations d'attaques réalistes permet de renforcer la réactivité des réponses en cas d'incident ou de cyberattaque : des rendez-vous tels que Cyber Phoenix ou Locked Shields permettent aux experts de s'entraîner en aiguisant leur prise de décision, dans des conditions d'urgence et de pression proches d'une situation réelle ; 
     
  • La cybercriminalité propre aux systèmes OT requiert une expertise particulière : les attaques menées contre les systèmes de contrôle industriels et les systèmes SCADA diffèrent souvent des cyberattaques plus classiques. L'analyse forensique de ces systèmes permet de détecter à un stade précoce les manipulations de la logique de contrôle, des paramètres de processus ou des voies de communication. Il est essentiel de comprendre ces particularités afin d'éviter les interruptions de service et de garantir l'intégrité des infrastructures critiques.

Sources et notes

(1)Analyse forensique : une technique d'investigation visant à recueillir, examiner et préserver des preuves numériques dans le but de comprendre et de répondre à des incidents de cybersécurité ou à des activités malveillantes ; 
(2)C2 (Command and Control) : une approche utilisée par des attaquants pour contrôler à distance des systèmes compromis, souvent via des malwares ou des bots ; 
(3)OT (Operational Technology) : technologies utilisées pour gérer et contrôler les équipements industriels, les infrastructures critiques et les systèmes de production, distinctes des systèmes informatiques classiques ; 
(4)SCADA (Supervisory Control and Data Acquisition) : système de contrôle industriel permettant la supervision, la commande et la collecte de données en temps réel dans des environnements industriels et infrastructurels ; 
(5)PCAP (Packet Capture) : fichier ou processus qui enregistre le trafic réseau capturé lors d'une session de communication, utilisé pour l'analyse de sécurité ou de performance ; 
(6)EDR (Endpoint Detection and Response) : solution de sécurité conçue pour détecter, analyser et répondre aux menaces sur les terminaux (ordinateurs, serveurs, etc.) en temps réel ; 
(7)SIEM (Security Information and Event Management) : plateforme qui collecte, analyse et corrèle les données de sécurité provenant de divers systèmes pour détecter et répondre aux incidents de sécurité.

Victime d’un incident ?

Vous faites face à une cyberattaque ?

Nos experts sont joignables 24h/24, 7j/7.

Contactez l'assistance