Les collectivités premières utilisatrices du centre cyber de Bourgogne-Franche-Comté

En Bourgogne-Franche-Comté, les victimes de cyberattaques peuvent désormais appeler un numéro gratuit qui les met directement en relation avec l'un des trois analystes du centre régional de cybersécurité ou Csirt-BFC. Parmi les appelants, après un peu plus de huit mois d'activité, les trois quarts sont des collectivités publiques, selon les statistiques dévoilées le 21 juin 2023 à l’occasion d'une journée-bilan organisée par la région et l'Anssi à Dijon.

Deux Csirt pleinement opérationnels

Ce centre régional fait partie des 12 Csirt mis en place par les régions avec l'appui de l'Anssi dans le cadre du plan de relance. Aujourd'hui sept Csirt sont ouverts mais seulement deux sont totalement opérationnels : la Normandie et Bourgogne-Franche-Comté (BFC). "Une maturité qui nous permet d'être associés à l'exercice national sur la cybersécurité des Jeux olympiques mené cette semaine", s'est félicitée Marie-Guite Dufay, présidente de la région Bourgogne-Franche-Comté. Un exercice qui n'a pas été détaillé si ce n'est que le scénario prévoyait un déport de la réponse nationale, avec un Cert débordé par une cyberattaque de grande ampleur, vers deux Csirt régionaux dont le Csirt-BFC.

Quatre personnes à temps plein

Concrètement, ce centre est hébergé dans les locaux de l'agence régionale du numérique et de l'intelligence artificielle (Arnia). Après une phase d'incubation par l'Anssi, entre février et octobre 2022, il compte aujourd'hui quatre personnes à temps plein pour répondre aux questions des petites collectivités, associations et entreprises régionales. "Soit ils nous appellent directement, soit ils ont été orientés vers nous par les gendarmes avec qui nous collaborons", précise Sébastien Morey, directeur du Csirt-BFC. Ses trois analystes aident les appelants à qualifier l'incident - beaucoup d'arnaques au faux RIB, des défacements de site web, des piratages de mail…-, à alerter les autorités (Cnil, police…) et à les orienter vers les bons prestataires. Pour les collectivités, des synergies sont créées avec l'offre cyber mutualisée de l'Arnia. Pour des tarifs très compétitifs elles peuvent en effet s’équiper d'un coffre-fort de mot de passe, d'une sauvegarde en ligne, ou d'un détecteur d'activité anormale sur un poste de travail.

Surveillance des sites internet locaux

Le Csirt-BFC a par ailleurs élaboré un recensement des prestataires de cybersécurité locale, aujourd’hui 28 entreprises locales dont 7 dotées du label Expert cyber de Cybermalveillance et une qualifiée Anssi. Le Csirt a également mis en place un tableau de bord sur les cybermenaces avec notamment un suivi en temps réel des sites internet des collectivités du territoire. En vert, le site est fonctionnel, en rouge il est en panne ou défectueux. L'outil a vocation à s'enrichir en fonctionnalités pour repérer, par exemple, des défauts de mise à jour de logiciels. Ouvert en octobre 2022, le centre connaît un nombre de sollicitations croissantes - un appel par jour en mai - et a dû traiter 36 "vrais incidents". Ses agents consacrent par ailleurs beaucoup de temps à la sensibilisation/formation des collectivités, des petites entreprises ou encore des gendarmes.

Libérer la parole

Une sensibilisation au long cours – à laquelle le CNFPT et Cybermalveillance viennent d’apporter leur pierre (voir encadré) - car à en croire les intervenants, le réflexe cyber n'est pas acquis. "On organise des réunions mais les patrons ne viennent pas", se plaint le représentant local du Medef qui plaide pour avoir "des patrons parlant aux patrons" afin que les messages passent plus facilement. Même son de cloche du côté des collectivités. "J'ai essayé de convaincre le maire d’une commune de 50 habitants de venir témoigner de sa mésaventure, il a décliné l’invitation", déplore le chargé de mission d'un EPCI bourguignon. Pourtant, être privé d’un an de budget d'investissement du fait d'une arnaque au faux RIB ayant coûté 16.000 euros à la commune aurait contribué à éradiquer l’idée selon laquelle les petites communes ne sont pas concernées… Et le fait de "libérer la parole" contribuerait à faire en sorte d’éviter les contaminations entre une victime de cyberattaque et ses partenaires.

18 mois pour trouver un modèle économique

Si l’écosystème local de la cybersécurité contribue à émerger sous l’influence du Csirt-BFC, les préoccupations de la région portent aujourd’hui sur la pérennité de l'outil. Car d’ici 18 mois, le financement d'amorçage de l’Anssi (1 million d’euros) s’arrêtera. "Or les problèmes cyber ne vont pas s’éteindre avec", peste Patrick Molinoz, le président de l'Arnia. Il ajoute qu'avec "la situation financière des collectivités, il ne faut pas trop compter sur le fait qu’elles prennent le relais de l'État". En outre, dans le même temps, la directive européenne NIS 2 (notre article du 16 mai 2023) va entrer en vigueur. Avec à la clef "7 à 15.000 nouvelles entités à réguler contre 500 opérateurs d’importance vitale auparavant", a déclaré Sébastien Rummelhardt, sous-directeur adjoint de la sous-direction opérations de l'Anssi. Un chiffre inférieur aux 20.000 entités évoquées par l'ancien directeur de l'agence Guillaume Poupard mais qui va impliquer de "passer du cousu main au prêt-à-porter".  L'appui des Csirt à cette "cybersécurité de masse" sera donc indispensable, sous réserve qu’ils aient les moyens d’assumer ce nouveau service public.