Le premier bilan des CSIRT régionaux est encourageant. Ces structures complètent l’action de l’Anssi auprès des collectivités et entreprises en région. Mais dans un contexte de restrictions budgétaires de l’état central, leur pérennité est loin d’être assurée.
À l’occasion du Forum InCyber, les représentants des CSIRT (Computer Security Incident Response Team) régionaux se sont réunis à Lille afin de publier leur premier rapport d’activité. Ces structures sont encore très récentes, avec moins de 12 mois d’activité pour certaines, mais ce premier point d’étape était important pour évaluer la portée réelle de leur action et son adéquation avec les besoins des acteurs publics et privés en région.
Les chiffres suggèrent que le besoin de structures locales en région est bien là : plus ces structures sont connues localement, plus les victimes y font appel. Mieux, ces CSIRT « de proximité » complètent l’action de l’Agence nationale de la sécurité des systèmes d’information (Anssi), qui vient en aide aux grosses organisations sous le feu d’une attaque informatique.
1 387 événements de sécurité traités par les 15 CSIRT en 2024
Les chiffres publiés dans ce premier rapport d’activité ont été collectés auprès de 15 CSIRT opérationnels, mais tous n’étaient pas actifs au 1er janvier 2024. Le bilan est donc partiel, mais permet de dégager quelques tendances sur l’activité cyber en région.
« Les menaces criminelles et activistes furent très actives en 2024, notamment avec l’action des groupes pro-russes », a résumé Guillaume Chérau, directeur de Breizh Cyber. « Collectivement, nous avons traité 1 387 événements, dont 729 signalements et 658 incidents, donc 658 affaires qui ont donné lieu à des échanges avec la victime ».
Parmi ces incidents, les CSIRT ont compté 136 attaques avec rançongiciel, le type d’incident le plus important, tandis que pour les signalements, il s’agit essentiellement de vulnérabilités non corrigées. « Nous sommes outillés pour détecter un certain nombre de vulnérabilités, donc nous avons la capacité de signaler à des propriétaires d’équipements que leur système d’information n’est pas à jour », avance M. Chérau.
Pour le responsable, ces statistiques sont complémentaires de celles de l’Anssi : « ce ne sont pas les mêmes victimes que celles traitées par l’Agence. Il y a un peu de recoupements, car nous sommes amenés à travailler sur les mêmes incidents de temps en temps, mais cela reste globalement à la marge, de l’ordre de 2 à 5 % du total ».
Signalements traités par les CSIRT en 2024.
Ce qui frappe dans les chiffres présentés par les CSIRT, c’est la grande disparité du nombre d’événements de sécurité d’un territoire à l’autre : « l’incidentologie reste liée à la taille des territoires. Tous ne sont pas égaux en termes de nombre d’habitants, de nombre d’entreprises, de poids économique. Il y a de grosses régions comme les Hauts de France, de super-régions comme l’Île-de-France et des régions plus petites, ce qui explique ces disparités ».
« On demande toujours plus au CSIRT au regard de la densification de la menace cyber, de l’évolution des contraintes réglementaires[...] ».
Marc SztulmanDélégué à l’IA et au numérique, Conseil Régional Occitanie, et président de Cyber’Occ
L’autre facteur important reste que certains CSIRT ont une plus grande ancienneté. La difficulté de ces structures est que les victimes doivent en connaître l’existence pour les appeler à l’aide. « Plus on est intégré dans l’écosystème local, plus les gens feront appel à nous pour chercher de l’aide », observe Guillaume Chérau.
Si la communauté des CSIRT se satisfait de ces premiers résultats, l’inquiétude est bien réelle quant à la pérennité financière de ces structures. Marc Sztulman, délégué à l’IA et au numérique au Conseil Régional Occitanie et président de Cyber’Occ explique : « la présidente de région, Carole Delga, a écrit récemment à François Bayrou pour s’inquiéter de la question du financement des CSIRT. Cette inquiétude s’accompagne d’un autre sujet : on demande toujours plus au CSIRT au regard de la densification de la menace cyber, de l’évolution des contraintes réglementaires avec l’adoption de la transposition de NIS 2 et de la mutation diplomatique du monde ».
Cartographie des CSIRT régionaux.
Si les CSIRT ont démontré leur pertinence, la question des moyens qui leur sont alloués reste prégnante chez tous les responsables de ces structures qui se sont exprimés lors de la réunion.
Vincent Strubel, directeur général de l’ANSSI, a cherché à répondre à ses interrogations, mais sans véritablement pouvoir apporter de garanties : « j’ai bien conscience que l’avenir est rempli de plein de points d’interrogation auxquels je n’ai pas forcément la réponse. Je les comprends, je les connais, je les entends et je les partage largement ».
Il s’est félicité du fait que l’idée ait engendré la création de 12 CSIRT territoriaux dans l’hexagone et deux CSIRT et un centre de ressources cyber dans les territoires ultramarins. Vincent Strubel estime que ce tissu fonctionne bien, soulignant que ces centres ont déjà traité le tiers des attaques traitées par l’Anssi au cours de l’année 2024 : « c’est beaucoup, car nous sommes en régime de croisière et nous sommes nombreux. On n’est pas dans le même champ d’incidentologie, mais lorsqu’on considère la taille de ces équipes, il y a une chose qui saute aux yeux, c’est qu’elles ne chôment pas et qu’elles sont utiles ».
Vincent Strubel ajoute que la raison d’être fondamentale d’un CSIRT est de travailler en réseau et que ce mode de travail est une réalité. Il a aussi pointé la complémentarité de l’action des CSIRT et de celle de l’Anssi : « les CSIRT sont des partenaires au quotidien. La pertinence de ce modèle est d’apporter une proximité, cet ancrage dans les territoires qui fait que ces CSIRT territoriaux sont des relais de confiance. Ils parlent en confiance avec les acteurs locaux, ce qu’une agence parisienne aura du mal à faire sans crispations supplémentaires. »
Le défi du changement d’échelle
Le rôle des CSIRT va néanmoins au-delà de la seule remédiation d’attaques. Ces structures ont un rôle important à jouer en matière d’acculturation à la Cyber dans les territoires ou encore pour aider les collectivités et les entreprises à se mettre en conformité avec la réglementation.
Incidents traités par les CSIRT régionaux en 2024.
Jérôme Tre-Hardy, conseiller régional de Bretagne et délégué au numérique et à la cybersécurité, estime ainsi que « ce que le CSIRT Breizh Cyber a pu démontrer, c’est qu’il s’agit d’une structure sur laquelle on peut s’appuyer pour diffuser la culture cyber dans notre territoire. Les résultats sont probants, notamment en aidant des collectivités ».
« On sait très bien que nous n’arriverons jamais à traiter nous-mêmes ce tissu d’acteurs locaux. Ils ont besoin de ce relais de confiance. »
Vincent StrubelDirecteur général, ANSSI
L’élu évoque aussi le gigantesque chantier de la conformité à NIS 2 qui se dessine pour les 3 années à venir : « l’Anssi est très impliquée, mais nous aurons besoin des efforts de tous pour adresser ce sujet. Cette dynamique commune qu’on a été capable de mettre en place est quelque chose de très, très important. Le sujet du financement est également un sujet important pour nous et je pense qu’on a fait la démonstration que nous sommes capables de prendre notre part de responsabilité ».
Pour Vincent Strubel, le grand défi qu’il faut relever collectivement, reste celui du changement d’échelle : « on sait très bien que nous n’arriverons jamais à traiter nous-mêmes ce tissu d’acteurs locaux. Ils ont besoin de ce relais de confiance. Ce que nous apportent aussi les CSIRT territoriaux, c’est aussi une capacité à contextualiser, à traduire une réalité locale que l’on voit forcément de plus loin, et qui nous aide à apprécier aussi plus finement les impacts des attaques, même quand on prend parfois (et c’est normal) un peu le relais sur le traitement d’un incident ».
En dépit des incertitudes budgétaires qui pèsent encore sur ces structures cyber-décentralisées, le directeur de l’Anssi a exprimé sa conviction profonde qu’il s’agit d’un modèle ayant toute sa pertinence.
Source images et rapport : Breizh Cyber en partenariat avec l’ensemble des CSIRT territoriaux. Publié sous licence ouverte/open Licence (Etalab-V2.0).