L'Anssi dresse un premier bilan des centres de réponse à incident cyber régionaux
L'Agence nationale pour la sécurité des systèmes d'information (Anssi) a publié son rapport annuel 2024. On notera plus particulièrement le focus fait par l'agence sur la montée en puissance des 15 centres de réponse à incident cyber régionaux (CSIRT), objets d'un rapport distinct. Des informations qui interviennent alors que leur financement n'est pas garanti pour les années à venir.
© Rapport d'activité 2024 des CSIRT territoriaux et Adobe stock
Le rapport annuel de l'Anssi dresse un panorama de l'activité (chargée) de l'agence en 2024. Une bonne partie des informations, qu'il s'agisse de la sinistralité et du bilan des Jeux olympiques (voir notre article), des nouveaux services lancés (voir notre article) ou de son rôle dans la transposition de la directive NIS 2 (voir notre article) étaient cependant déjà connue. On relèvera en revanche pour la première fois un bilan de l'action des centres de réponse à incident cyber régionaux (CSIRT), objets d'un rapport distinct publié par plusieurs CSIRT.
15 CSIRT opérationels
Pour mémoire, les CSIRT sont nés d'un projet initié dans le cadre du plan France Relance en 2021, dans le but de renforcer les capacités de cybersécurité au niveau régional, en direction des acteurs non régulés, PME, TPE, petites collectivités et associations. Chaque conseil régional s'est vu attribuer – en dépit du fait de ne pas avoir de compétence formelle en cybersécurité – via l'Anssi un financement de 1 million d'euros sur trois ans pour mettre en place un CSIRT. En 2024, le dispositif comptait 12 CSIRT territoriaux opérationnels dans l'Hexagone, auxquels s'ajoutent trois centres dans les régions et territoires d'Outre-mer. Leur statut est très variable : service à part entière de la région, association, GIP, régie ou encore EPL. En métropole, Auvergne-Rhône-Alpes est la seule à ne pas avoir de CSIRT, la région s'appuyant sur un campus cyber.
Intégration à l'écosystème cyber
L'Anssi replace du reste les CSIRT dans l'écosystème cyber national, insistant sur leur "complémentarité" avec les autres acteurs dans un paysage souvent critiqué pour son manque de lisibilité, voire ses redondances. Au niveau régional, la coexistence des CSIRT et des campus cyber est ainsi défendue par la "répartition des rôles", même si dans certaines régions les deux entités ne font qu'une. Aux CSIRT, la sensibilisation et l'accompagnement des victimes (dont les petites collectivités), les campus faisant office de "hubs" pour faire le lien entre les acteurs cyber locaux et avec les filières économiques. Sur la veille cyber, les CSIRT travaillent par ailleurs avec le Cert national et les Cert sectoriels (santé, mer…), par des points réguliers et via la messagerie souveraine Tchap. Plusieurs partenariats ont aussi été signés avec Cybermalveillance et le 17cyber, dont celui entre les CSIRT Occitanie et Nouvelle-Aquitaine sur l'aide à la "judiciarisation" des victimes (voir notre article).
29% de collectivités dans les victimes
En 2024, les CSIRT territoriaux ont collectivement traité 1.387 événements de sécurité, comprenant 658 incidents et 729 signalements, moins graves. Parmi les incidents, 136 étaient des attaques par rançongiciel, menace qui prévaut devant la compromission de comptes, le typosquattage et l'usurpation d'identité. Les signalements les plus courants concernent l'hameçonnage et l'ingénierie sociale, les vulnérabilités non corrigées et le déni de service. 29% des incidents ont concerné des collectivités, avec des coûts très significatifs, "de l'ordre de 50.000 euros à 60.000 euros en coûts directs (prestations d'investigations et de remédiation) pour une collectivité de taille moyenne". Le rapport mentionne également des "coûts indirects" moins quantifiables comme l'interruption de la délivrance des titres d'identité, ou une dégradation des services de périscolaire.
Audit de 25.000 sites publics
Côté prévention, outre les quelque 500 événements auxquels ils ont participé, le rapport mentionne une campagne nationale de détection de failles de sécurités sur les sites web de collectivités. Plus de 25.000 noms de domaines d’entités publiques - communes, intercommunalités, conseils départementaux, centres de gestion et conseils régionaux – ont été scannés. Sur ce total, 186 entités publiques ont ainsi été identifiées comme présentant des vulnérabilités critiques. Les CSIRT ont aidé les collectivités à remédier à ces failles et un quart avaient été traités trois mois après leur découverte. Les CSIRT breton, normand et des Hauts-de-France ont par ailleurs mené des campagnes de sensibilisation à destination des petites communes et EPCI, souvent coordonnées avec les gendarmes.
Incertitudes financières
En 2025, en plus de leurs missions d'accompagnement des victimes, les CSIRT seront mobilisés sur la directive NIS2. Une fois la transposition finalisée (a priori au second semestre 2025), il faudra notamment faire en sorte que les quelques 15.000 entités concernées (dont 10% de collectivités) soient effectivement informées de leurs nouvelles obligations. La pérennité des CSIRT est cependant menacée par le contexte budgétaire. L'Anssi, qui avait demandé 35 millions d’euros et 60 emplois supplémentaires pour 2025, notamment au titre de NIS2, n’a obtenu que 27 millions d’euros et aucun poste en plus. Et alors que les financements France relance sont arrivés à terme, les régions renâclent à prendre la suite, comme en témoignait Constance Nebbula, l'élue ligérienne représentante de Région de France lors d'une audition au Sénat début février. Le sujet est ensuite revenu dans la discussion du projet de loi NIS2 au Sénat (voir notre article), mais a été renvoyé aux discussions budgétaires…
