Décideurs it

Le CSIRT Bourgogne Franche-Comté décline l’ANSSI au niveau régional

Par Bertrand Lemaire | Le | Gouvernance

Le CSIRT Bourgogne Franche-Comté fête son premier anniversaire. L’occasion pour son responsable, Sébastien Morey, de revenir sur son bilan.

Sébastien Morey est responsable du CSIRT-BFC et de l’ARNia Cybersécurité. - © d’après Edouard Barra
Sébastien Morey est responsable du CSIRT-BFC et de l’ARNia Cybersécurité. - © d’après Edouard Barra

Le 21 juin 2023, le CSIRT Bourgogne Franche-Comté (CSIRT-BFC) a organisé un colloque pour célébrer son premier anniversaire même si son lancement opérationnel a été effectif le 3 octobre 2022 après une constitution en février 2022 et cinq mois d’incubation au sein de l’ANSSI. Il a été le deuxième CSIRT régional (après celui de Normandie) à ouvrir. « Une fois notre période d’incubation au sein de l’ANSSI terminée, nous avons préféré attendre la fin de l’été et des recrutements complémentaires » se souvient Sébastien Morey, responsable du CSIRT-BFC. La Normandie, elle, n’avait pas attendu. A ce jour, sept CSIRT régionaux sont ouverts, ceux de la première promotion. A terme, chaque région aura son CSIRT, déclinaison locale de l’ANSSI.

Le CSIRT-BFC fait partie des services de l’ARNia (Agence Régionale du Numérique et de l’Intelligence Artificielle), créée elle aussi début 2022 à partir de l’ancien GIP e-Bourgogne-Franche-Comté. Ce groupement d’intérêt public regroupe l’État, la région, les départements de la région, des communes et communautés de communes, des établissements publics, des syndicats mixtes, etc. En tout, ce GIP compte 1900 adhérents. L’ARNia possède un pôle cybersécurité dont le CSIRT fait partie.

Définitions

CSIRT : Computer Security Incident Response Team

CERT : Computer Emergency Response Team

Ces deux acronymes sont synonymes et désignent un service en charge de la réponse à un incident sur un système informatique, notamment un incident lié à une cyber-attaque. Des missions complémentaires de veille sur les menaces et de sensibilisation lui sont généralement associées.

Une mission de service public

Qu’il s’agisse d’alerte/veille, de sensibilisation ou de réponse à incident, le CSIRT-BFC a avant tout une mission de service public gratuit pour les bénéficiaires. Ceux-ci peuvent être toutes les collectivités de la région, qu’elles soient ou non adhérentes au GIP, mais aussi les entreprises et les associations locales. A cette mission de service public s’ajoute une offre dite « à valeur ajoutée » payante construite à partir d’appels d’offres auprès de prestataires : outils de sauvegarde, services managés, etc. Au niveau national, l’ANSSI anime le CERT-FR destiné aux administrations d’État, aux OIV/OSE, aux régions… La plate-forme Cybermalveillance.gouv.fr propose, elle, pour tout le monde (plutôt le grand public) un service web. Les CERT régionaux comblent l’écart entre les deux.

Mais un tel CSIRT public ne concurrence-t-il pas des prestataires privés de manière déloyale ? Pour Sébastien Morey, la réponse est nette : « le SAMU ne concurrence pas les ambulances privées. Comme le SAMU, notre rôle est de permettre aux victimes d’avoir les bons réflexes et d’envoyer les prestataires nécessaires en réalisant un suivi. Plutôt que d’une concurrence, il faut plutôt voir dans les CSIRT un apporteur de business pour les acteurs locaux. » 28 prestataires régionaux ont été référencés à la date d’aujourd’hui avec une cartographie de leurs compétences et la signature d’une charte de bonnes relations impliquant quelques obligations de reporting au CSIRT. Si la mission de service public est gratuite, les interventions des partenaires sont, elles, bien sûr payantes. Le CSIRT assure certes un suivi, va éventuellement aider la victime à créer une cellule de crise mais guère plus. « Nous ne refaisons pas ce que d’autres font très bien » martèle Sébastien Morey.

Une intervention aussi en amont des incidents

Cette logique est aussi valable en amont des incidents, sur les actions de sensibilisation et de formation. Inutile de refaire les fiches et guides de l’ANSSI ou de Cybermalveillance.gouv.fr. Par contre, le CSIRT va intervenir sur des événements locaux comme des tables rondes. Il va également contribuer à la formation des gendarmes, y compris pour leurs actions de prévention. Les quatre agents affectés au CSIRT-BFC n’ont pas les mêmes capacités d’intervention que des brigades territoriales de gendarmerie. Le ComCyberGend du général Marc Boget va collaborer avec l’ANSSI, les pelotons régionaux avec les CSIRT régionaux.

Du 19 au 26 juin 2023, les CSIRT de Normandie et de Bourgogne Franche Comté vont participer à un exercice avec l’ANSSI pour simuler certains types de cyber-attaques en lien avec les JO 2024. En effet, l’Île-de-France n’est pas la seule région concernée par les Jeux Olympiques : certaines épreuves, des lieux de préparation ou d’hébergement, des fournisseurs essentiels (alimentation des athlètes…) sont en province. De la même façon, le CSIRT-BFC va mener des campagnes de prévention, par exemple en scannant les versions des logiciels utilisés sur une série de sites web et en prévenant les propriétaires en cas de failles connues. Mais une telle campagne n’a rien à voir avec des opérations menées par des cabinets spécialisés de recherche systématique de failles.

Des chiffres qui ne sont pas si petits

Depuis octobre 2022, le CSIRT-BFC est passé de 1 ou 2 appels par mois à environ un appel par jour pour un total de 81 dossiers ouverts. A ce jour, seuls des services publics ont fait appel à ses services. Pour Sébastien Morey, « un service public qui a un problème, cela se voit et se sait. Les entreprises privées ont tendance à vouloir cacher les incidents, ce qui est une erreur. Nous n’avons aucun pouvoir de sanction mais juste une capacité à aider. » De ce fait, le CSIRT ne peut pas donner d’indications complètes sur l’incidentologie locale en matière de cybersécurité. Trois types d’incidents sont cependant relevés fréquemment : le phishing, les faux sites marchands détournant les commandes et surtout les paiements (les clients n’étant de fait jamais livrés et considérant la vraie entreprise comme coupable) et la fraude bancaire (détournement de mail avec transmission d’un faux RIB pour obtenir un paiement). Certains incidents nécessitent des jours de travail (au niveau national, avec 600 agents, l’ANSSI ne traite que 1000 incidents et 2000 appels par an). A ces incidents s’ajoutent une trentaine d’actions de sensibilisation en 2022 et déjà une quarantaine en 2023.

En cas d’incident, le CSIRT va assurer un suivi, va accompagner, mais ne va en aucun cas porter plainte, effectuer une déclaration auprès de la CNIL, etc. Il n’a aucun pouvoir d’investigation ou de sanction. « La confidentialité de ce qui nous est rapporté est totale : nul en dehors des quatre agents du CSIRT ne connaîtra le contenu des appels, sauf de manière agrégée et statistique, ou l’identité des appelants » insiste Sébastien Morey. N’est-ce pas là contraire au fameux article 40 du Code de Procédure Pénale si une victime ne porte pas plainte ou n’effectue pas des déclarations obligatoires ? Sébastien Morey répond en souriant : « les agents du CSIRT sont tous des contractuels de droit privé, non-soumis à cette disposition. »