Les collectivités premières utilisatrices du centre cyber de Bourgogne-Franche-Comté
Le Centre de réponse aux incidents cyber (Csirt) de Bourgogne-Franche-Comté a fait le bilan de ses premiers mois d'activité. Les petites collectivités en sont les premières utilisatrices, devant les entreprises. Son assise sur une structure de mutualisation informatique, à même d'outiller les communes, en renforce l'intérêt. Ce Csirt, comme ses douze homologues, recherche toutefois toujours son modèle économique.
En Bourgogne-Franche-Comté, les victimes de cyberattaques peuvent désormais appeler un numéro gratuit qui les met directement en relation avec l'un des trois analystes du centre régional de cybersécurité ou Csirt-BFC. Parmi les appelants, après un peu plus de huit mois d'activité, les trois quarts sont des collectivités publiques, selon les statistiques dévoilées le 21 juin 2023 à l’occasion d'une journée-bilan organisée par la région et l'Anssi à Dijon.
Deux Csirt pleinement opérationnels
Ce centre régional fait partie des 12 Csirt mis en place par les régions avec l'appui de l'Anssi dans le cadre du plan de relance. Aujourd'hui sept Csirt sont ouverts mais seulement deux sont totalement opérationnels : la Normandie et Bourgogne-Franche-Comté (BFC). "Une maturité qui nous permet d'être associés à l'exercice national sur la cybersécurité des Jeux olympiques mené cette semaine", s'est félicitée Marie-Guite Dufay, présidente de la région Bourgogne-Franche-Comté. Un exercice qui n'a pas été détaillé si ce n'est que le scénario prévoyait un déport de la réponse nationale, avec un Cert débordé par une cyberattaque de grande ampleur, vers deux Csirt régionaux dont le Csirt-BFC.
Quatre personnes à temps plein
Concrètement, ce centre est hébergé dans les locaux de l'agence régionale du numérique et de l'intelligence artificielle (Arnia). Après une phase d'incubation par l'Anssi, entre février et octobre 2022, il compte aujourd'hui quatre personnes à temps plein pour répondre aux questions des petites collectivités, associations et entreprises régionales. "Soit ils nous appellent directement, soit ils ont été orientés vers nous par les gendarmes avec qui nous collaborons", précise Sébastien Morey, directeur du Csirt-BFC. Ses trois analystes aident les appelants à qualifier l'incident - beaucoup d'arnaques au faux RIB, des défacements de site web, des piratages de mail…-, à alerter les autorités (Cnil, police…) et à les orienter vers les bons prestataires. Pour les collectivités, des synergies sont créées avec l'offre cyber mutualisée de l'Arnia. Pour des tarifs très compétitifs elles peuvent en effet s’équiper d'un coffre-fort de mot de passe, d'une sauvegarde en ligne, ou d'un détecteur d'activité anormale sur un poste de travail.
Surveillance des sites internet locaux
Le Csirt-BFC a par ailleurs élaboré un recensement des prestataires de cybersécurité locale, aujourd’hui 28 entreprises locales dont 7 dotées du label Expert cyber de Cybermalveillance et une qualifiée Anssi. Le Csirt a également mis en place un tableau de bord sur les cybermenaces avec notamment un suivi en temps réel des sites internet des collectivités du territoire. En vert, le site est fonctionnel, en rouge il est en panne ou défectueux. L'outil a vocation à s'enrichir en fonctionnalités pour repérer, par exemple, des défauts de mise à jour de logiciels. Ouvert en octobre 2022, le centre connaît un nombre de sollicitations croissantes - un appel par jour en mai - et a dû traiter 36 "vrais incidents". Ses agents consacrent par ailleurs beaucoup de temps à la sensibilisation/formation des collectivités, des petites entreprises ou encore des gendarmes.
Libérer la parole
Une sensibilisation au long cours – à laquelle le CNFPT et Cybermalveillance viennent d’apporter leur pierre (voir encadré) - car à en croire les intervenants, le réflexe cyber n'est pas acquis. "On organise des réunions mais les patrons ne viennent pas", se plaint le représentant local du Medef qui plaide pour avoir "des patrons parlant aux patrons" afin que les messages passent plus facilement. Même son de cloche du côté des collectivités. "J'ai essayé de convaincre le maire d’une commune de 50 habitants de venir témoigner de sa mésaventure, il a décliné l’invitation", déplore le chargé de mission d'un EPCI bourguignon. Pourtant, être privé d’un an de budget d'investissement du fait d'une arnaque au faux RIB ayant coûté 16.000 euros à la commune aurait contribué à éradiquer l’idée selon laquelle les petites communes ne sont pas concernées… Et le fait de "libérer la parole" contribuerait à faire en sorte d’éviter les contaminations entre une victime de cyberattaque et ses partenaires.
18 mois pour trouver un modèle économique
Si l’écosystème local de la cybersécurité contribue à émerger sous l’influence du Csirt-BFC, les préoccupations de la région portent aujourd’hui sur la pérennité de l'outil. Car d’ici 18 mois, le financement d'amorçage de l’Anssi (1 million d’euros) s’arrêtera. "Or les problèmes cyber ne vont pas s’éteindre avec", peste Patrick Molinoz, le président de l'Arnia. Il ajoute qu'avec "la situation financière des collectivités, il ne faut pas trop compter sur le fait qu’elles prennent le relais de l'État". En outre, dans le même temps, la directive européenne NIS 2 (notre article du 16 mai 2023) va entrer en vigueur. Avec à la clef "7 à 15.000 nouvelles entités à réguler contre 500 opérateurs d’importance vitale auparavant", a déclaré Sébastien Rummelhardt, sous-directeur adjoint de la sous-direction opérations de l'Anssi. Un chiffre inférieur aux 20.000 entités évoquées par l'ancien directeur de l'agence Guillaume Poupard mais qui va impliquer de "passer du cousu main au prêt-à-porter". L'appui des Csirt à cette "cybersécurité de masse" sera donc indispensable, sous réserve qu’ils aient les moyens d’assumer ce nouveau service public.
La diffusion d'une culture cyber se fait plus que jamais sentir dans les administrations. Ces dernières figurent en tête des structures les plus ciblées par les cyberattaques, les agents constituant souvent la porte d'entrée des délinquants. Pour aider les administrations à former leurs agents, le GIP Cybermalveillance a lancé une formation en ligne baptisée SensCyber. Conçu en partenariat avec le Centre national de la fonction publique territoriale (CNFPT) et le ministère de la Transformation et de la Fonction publiques, ce programme veut aider les cinq millions de fonctionnaires à mieux appréhender les risques et à se former aux bons réflexes. Ce module de formation en ligne d'1h30 est gratuit, précise le communiqué du GIP. La sensibilisation compte trois modules complémentaires : La formation du CNFPT : "E-sensibilisation à la cybermalveillance et à la cybersécurité" (code stage n°SX0SC) |