Cybersécurité : quel rôle jouent vraiment les CSIRT régionaux ?
Les CSIRT en région (mis en place à partir de 2021) vont devoir trouver un sens à une mission déjà partagée, entre évangélisation, formation, mais aussi celle d’un véritable CERT. Un rôle pas toujours bien compris de l’écosystème cyber et surtout des premiers concernés, les victimes.
Le général Marc Watin-Augouard le reconnaît, lorsque l’Agence nationale de la sécurité des systèmes d’information (Anssi) est créée en 2009 : sa mission première est de protéger les institutions et grandes entreprises françaises contre le risque cyber. « Les petites entreprises et les collectivités territoriales ont été laissées pour plus tard… et ce plus tard est arrivé avec la crise du Covid. Celle-ci a montré la vulnérabilité de notre écosystème, et que les collectivités territoriales et les services locaux, les établissements publics et les PME étaient attaqués. Il y a eu une prise de conscience du besoin de descendre dans la granularité et aller plus loin ».
C’est alors qu’est émergée l’idée de relancer le programme des CSIRT (Computer Security Incident Response Team), qui a permis de développer et créer une douzaine de centres de cybersécurité dans les régions. Ils ont été lancés dans le cadre du plan France Relance 2021 et le tout dernier, le CSIRT CyberCorsica, s’apprête à devenir opérationnel.
Michel Benedittini, consultant stratégique en cybersécurité et cyberdéfense, ancien directeur général adjoint de l’Anssi, à l’origine de cette organisation précise : « dès les années 2000, nous avions réfléchi à une diffusion au plus près de tous ceux qui en auront besoin, les citoyens, les petites entreprises. Et le livre blanc de 2008 avait prévu des observatoires régionaux de la sécurité des systèmes d’information, armés par le ministère de l’Intérieur et chargés de faire le relais entre la population et l’Anssi. Avec le temps, on s’est aperçu que cela ne fonctionnait pas. Il y a eu alors la création de Cybermalveillance, puis les délégués territoriaux de l’Anssi, mais le travail est immense ».
L’agence voulait alors disposer de relais dans les territoires, d’une part pour évangéliser les collectivités et entreprises locales sur le danger cyber, mais aussi pour faire remonter aux instances parisiennes de l’Anssi et de Cybermalveillance tous les défauts des outils, sites et guides mis en place.
« Nous, l’Anssi, sommes 600, dont 280 pour la sous-direction Opérations, le CERT-FR. Nous ne pouvons pas être au chevet de toutes les victimes. »
Chloé ChabanolCheffe de division, sous-direction des opérations, Anssi
« Nous, l’Anssi, sommes 600, dont 280 pour la sous-direction Opérations, le CERT-FR. Nous ne pouvons pas être au chevet de toutes les victimes », résume Chloé Chabanol, cheffe de division à la sous-direction des opérations à l’Anssi. Elle revient sur la création de ces nouvelles structures : « à la création des CSIRT, l’objectif se résumait par une phase assez simple : “il faut que tout le monde en France ait accès à un CSIRT ou un CERT” ». C’est-à-dire une équipe, une structure capable de délivrer des services opérationnels.
Ces services sont de 5 natures : la sensibilisation, la formation d’une part, avec des services de prévention, notamment les alertes sur les vulnérabilités, des services d’audit pour permettre aux acteurs de monter en cybersécurité, des services de détection et de réponse à incident. L’objectif était d’agir pour tous les grands oubliés qui n’ont pas les moyens d’avoir une équipe cyber en propre.
Ces PME, les ETI, les collectivités territoriales devaient pouvoir s’adresser à une entité capable de les accompagner. Dans la convention, il est dit que tout le monde doit avoir accès à un service de réponse à incident qui soit gratuit et connu de tous. Ces conventions portent essentiellement sur une mission de réponse à incident de 1er niveau (non technique) via une plateforme téléphonique, afin de mettre en relation la victime avec un prestataire régional qui va assurer la réponse à incident de deuxième niveau.
Le CSIRT doit assurer un accompagnement à la judiciarisation et consolider les statistiques d’« incidentologie » à l’échelle régionale. La barre n’est donc pas placée très haut et, en fonction de la maturité des CSIRT et de l’écosystème cyber de leurs régions, ceux-ci développent un certain nombre d’autres initiatives, notamment en matière de prévention et de formation.
Une même convention, mais des lectures différentes
Aujourd’hui, pour un patron de PME ou d’ETI soumis au stress d’un incident de sécurité, le rôle des CSIRT régionaux vis-à-vis de Cybermalveillance et de l’Anssi est loin d’être clair. Sont-ils simplement de simples relais locaux de l’agence, des structures chargées de promouvoir la cybersécurité au plus près des entités en région et passer le relais aux ESN spécialisées en cas d’incident, ou de véritables CERT opérationnels prêts à intervenir sur le terrain en soutien des DSI ? Si chaque CSIRT a signé une même convention avec l’Anssi, chacun veut affirmer ses spécificités.
Pour Guillaume Chéreau, directeur du CSIRT Breizh Cyber, sa mission principale est d’accompagner les collectivités locales, les ETI et PME en cas de cyberattaque : « cette mission est définie dans une convention que nous avons tous signée avec l’Anssi avec 1 million d’euros pour chaque région. Les CSIRT sont très similaires entre les régions et il était mentionné que certains centres étaient plus tournés vers l’animation, d’autres sur la réponse à incident. Or de notre point de vue, ce n’est pas le cas : la réponse à incident est notre cœur de métier, mais c’est la partie émergée de l’iceberg ».
Le CSIRT Breizh Cyber est avant tout un CERT même s’il reconnaît une chose : le niveau de sécurité de nos PME et collectivités est insuffisant dans toutes les régions : « on est sur un pied d’égalité sur ce point, mais on diffère sur l’écosystème cyber local qui va accompagner les victimes. L’Île-de-France concentre un nombre d’entreprises spécialisées en cyber qui n’a pas d’égal dans les autres régions ». Une autre facette du travail de ces CSIRT est d’animer et structurer un écosystème cyber de ceux qui accompagneront les victimes. Néanmoins, « notre ADN, c’est accompagner les victimes, que ce soit des collectivités, des entreprises », revendique Guillaume Chéreau.
« Notre ADN, c’est accompagner les victimes, que ce soit des collectivités, des entreprises. »
Guillaume ChéreauDirecteur du CSIRT Breizh Cyber
Pour Damien Hassko, responsable du CSIRT Urgence Cyber région Sud, ce CSIRT répond à deux missions : d’une part cet accompagnement dans l’urgence avec une la réponse à incident pour n’importe quelle entité et, d’autre part, un travail de prévention et de sensibilisation sur le terrain. « Nous menons aussi un gros travail auprès des prestataires de services ; ceux qui ne font pas de réponse à incident, mais qui font de l’accompagnement, mettent en place des plans de continuité d’activité, la documentation et les solutions techniques ou organisationnelles. On fait beaucoup plus de prévention, car nous nous attachons à la résilience », explique-t-il.
Pour Irène Weiss, déléguée à la Cybersécurité de la région Grand Est, ces approches différentes constituent d’une certaine manière la richesse du modèle CSIRT : « la richesse des CSIRT, ce sont aussi ces approches différentes selon les régions et un fonctionnement qui peut varier d’une région à une autre. Notre rôle premier est de mettre en communication directe les opérateurs de la région Grand Est et la partie affectée pour évaluer la situation lorsqu’un incident survient ».
La région Grand Est est plutôt mature sur la question puisqu’elle s’est elle-même fait attaquer le 14 février 2020. Trois ans, jour pour jour, après cette attaque était inauguré ce centre d’appel d’urgence : « notre objectif est de fournir rapidement de premières recommandations et, si nécessaire, passer le relais auprès de prestataires spécialisés. Nous nous distinguons par notre accompagnement personnalisé dès le premier appel jusqu’à la prise en charge complète de l’incident, y compris lors des démarches administratives comme la déclaration auprès de la CNIL ou le dépôt de plainte. Nous avons noué un partenariat avec la gendarmerie et la police pour accompagner les victimes jusqu’au dépôt de plainte ».
Irène Weiss estime que le rôle du CSIRT est de coordonner les actions au niveau de la région, de mutualiser ces actions et de référencer tous les offreurs de solutions et faire monter en compétences tout l’écosystème cyber : « c’est grâce à ce centre d’appel d’urgence que l’on met en place un cercle vertueux. On a un manque de compétences cyber dans la région et on doit aider cet écosystème, ainsi que les associations et entreprises, à s’équiper. On doit faire en sorte de les mettre en lien avec des acteurs locaux pour faire monter en compétences cet écosystème ».
Pour la responsable, le plus grand défi des CSIRT régionaux reste leur manque de visibilité et la mise en place des Campus cyber régionaux devrait, espère-t-elle, mettre l’action des CSIRT en valeur : « notre région est très grande, compte plus de 5 000 collectivités, dont 92 % sont rurales. Le Campus Cyber Grand Est sera l’occasion d’un AMI (Appel à Manifestation d’Intérêt) pour porter des actions en local. Nous ne pouvons nous permettre d’avoir juste un pôle. Notre but sera de structurer l’écosystème avec un campus réparti sur différents pôles et ne pas fracturer l’écosystème régional ».
« Le succès dans la mise en place d’un nouveau CSIRT repose sur la capacité à connaître et fédérer le tissu économique des acteurs nationaux, celui des acteurs locaux et surtout les manques de la région. »
Christophe AppiettoResponsable du CSIRT Cyber Corsica
La Corse est un territoire sans doute moins avancé dans cette maturité cyber. Son CSIRT doit être pleinement opérationnel en mars 2024. Christophe Appietto, responsable du CSIRT Cyber Corsica souligne les caractéristiques de l’écosystème cyber de l’île de Beauté : « c’est un territoire où l’écosystème cyber est embryonnaire avec 2 acteurs seulement. D’autre part, les entreprises sont essentiellement des TPE, mais la menace cyber est bien présente, comme l’a démontré l’attaque sur Corsica Ferries en octobre 2023 ». Le coup de pouce financier de l’Anssi a été déterminant dans le lancement du projet, dont le coût de fonctionnement sera de l’ordre de 250 000 euros annuels.
« Le succès dans la mise en place d’un nouveau CSIRT repose sur la capacité à connaître et fédérer le tissu économique des acteurs nationaux, celui des acteurs locaux et surtout les manques de la région », estime Christophe Appietto qui rejoint Irène Weiss quant à la force de la souplesse du modèle. « Les CSIRT sont issus du même ADN puisque nous avons signé la même convention, nous avons les mêmes objectifs principaux, mais leur force est de prendre en compte les différences des régions en termes de tissus économiques. Avec 85 % de TPE, quelques PME et 2 ETI seulement, on n’affronte pas les mêmes problèmes que les autres régions, et c’est pour ça que nous avons adhéré à cette démarche ».
Le difficile recrutement d’experts
Comme ses confrères des autres régions françaises, le responsable s’est heurté à la difficulté de recruter des experts en cybersécurité. Il doit maintenant porter la bonne parole cyber auprès des entreprises du territoire : « nous n’avons que 2 offreurs cyber en Corse, donc nous allons les faire connaître aux personnes victimes d’incidents, mais au-delà de la sensibilisation, notre rôle est aussi de développer ce tissu économique local. Nous avons besoin d’entreprises spécialisées en cybersécurité et comme nous n’avons pas d’observatoire, on ne connaît que les quelques attaques qui ont été médiatisées. Nous n’avons pas la connaissance de toutes les attaques passées inaperçues et peu d’entreprises investissent pour se former, car elles n’ont pas cette vision. C’est aussi l’un des rôles du CSIRT ».
Christophe Appietto souligne le rôle de l’Anssi qui a permis de créer un réseau des CSIRT régionaux, l’InterCERT France : « on se connaît tous et on peut s’appeler quand on doit gérer des problématiques ou des questionnements communs, ou en cas d’incident cyber. On a créé un réseau qui est aussi une force au niveau national ».
Si l’on ne peut que se féliciter de voir les régions venir en aide aux collectivités locales, centres hospitaliers et entreprises confrontées à un incident cyber, quand l’Anssi ne peut intervenir directement, les interrogations restent grandes, aujourd’hui, sur l’efficacité réelle de ces structures. Combien d’entreprises assistées, combien d’actions menées sur le terrain ? L’Anssi ne communique pas les données relatives aux CSIRT qu’elle finance. Impossible de savoir si ce dispositif est un succès ou pas.
En outre, avec les nombreux projets de Campus cyber lancés ces derniers mois par les régions, le rôle des CSIRT va sans doute devoir être redéfini sous peine d’ajouter encore un peu plus à la complexité de cet empilement des dispositifs nationaux et régionaux sans doute préjudiciables à l’efficacité de l’ensemble.
Propos recueillis lors du petit déjeuner « Les CSIRTs régionaux à la croisée des chemins : réflexion sur les missions et les modèles économiques », organisé par InCyber le 18 janvier 2024.
