Plateforme CSIRT

Soutenir le développement de l'écosystème français des équipes de réponse aux cyber attaques

Produit en partenariats terminés

Contexte

Les incidents de cybersécurité sont de plus en plus fréquents, et l’impact sur des acteurs publics comme privés est de plus en plus grave. Peuvent être cités comme exemples les ransomwares qui ont affecté la chaîne M6 en octobre 2019, l’attaque informatique qui a touché le centre hospitalier universitaire (CHU) de Rouen en novembre 2019 ou encore l’attaque des usines Fleury Michon en avril 2019.

Ainsi, des entreprises et des organisations publiques de toutes tailles et de tous moyens sont les cibles de cyber attaques avec des coûts directs et indirects pouvant s’élever à plusieurs millions d’euros. Il est estimé que les violations de sécurité en entreprise ont augmenté de 67% ces cinq dernières années à l’échelle mondiale.

Face à l’augmentation de ces risques de cyber attaques, les grandes entreprises se dotent des services d’équipes de réponse à incident dédiées ou de services commerciaux d’un prestataire spécialisé. On compte aujourd’hui en France près d’une centaine de ces équipes qui sont nommées CSIRT (Computer Security Incident Response Team) ou CERT (Computer Emergency Response Team).

De nombreuses organisations n’ont à ce jour pas de dispositif pour la réponse à incident de cybersécurité, et l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) observe une augmentation des projets de constitution d’équipes CSIRT. Cependant, les étapes à suivre ne sont pas toujours suffisamment claires et accessibles aux entreprises qui peinent à trouver un accompagnement au développement capacitaire nécessaire. Ainsi, de plus en plus d’équipes CSIRT en cours de constitution sollicitent un accompagnement de l’ANSSI sur le suivi de démarches précises et la formalisation de nombreuses procédures.

Impact recherché

L’accompagnement que l’ANSSI opère aujourd’hui « à la demande » pour les CSIRT en cours de création doit pouvoir passer à l’échelle et répondre au besoin du plus grand nombre, afin de faire face au besoin croissant de dimensionnement en capacité de réponse à incident pour les entreprises françaises.

Objectifs de l’investigation

L’investigation va permettre de distinguer les différents profils (entreprises, administrations, secteurs industriels, territoires, etc.) étant actuellement en cours de construction d’un CSIRT, ou susceptibles d’en effectuer la démarche dans les mois à venir, et d’identifier les problématiques communes, qu’elles soient d’ordre technique, organisationnel, juridique, financier, etc.

Premières hypothèses de solution

La création d’une plateforme numérique permettant d’assurer un bon niveau d’information, une montée en compétence maîtrisée ou des échanges avec l’écosystème serait bénéfique pour l’ensemble de l’écosystème cyber français. De premières pistes de solutions sont envisagées dans ce sens :

  • Une plateforme de formation
  • Une école/incubateur de CSIRT
  • Un réseau social de la communauté de réponse à incident
  • Une plateforme collaborative de ressources documentaires, d’outils
  • Une plateforme de partage d’indicateurs de compromission entre CSIRT
  • La création d’une qualification ANSSI pour les CSIRT internes

Bilan de l’investigation

Une vingtaine d’acteurs de la cybersécurité, avec des CSIRT ou des projets de CSIRT à différents niveaux de maturité, ont été rencontrés durant l’investigation. Des difficultés rencontrées lors de la montée en compétence des CSIRT en maturation ont été relevées. Cependant, aucun problème ne semble indiquer qu’un produit numérique offrira un impact significatif à l’échelle. De plus, la base d’utilisateurs très restreinte ne justifie pas l’investissement dans un produit numérique dédié à ce public.

La solution qui semble aujourd’hui la plus adaptée aux besoins de ce public est un incubateur pour les CSIRT en cours de maturation. Ce terme, apparu lors d’échanges pendant l’investigation, met en évidence que l’angle “accompagnement humain” opéré par la cellule CERT est en adéquation avec les besoins des CSIRT en maturation. Cependant, à court terme, un service numérique dédié appuyant l’activité de l’incubateur n’apportera pas de valeur significative à cet accompagnement humain.

À propos

Plateforme CSIRT est portée par Le laboratoire d'innovation de l'ANSSI.

Ce service numérique est sponsorisé par Agence nationale de la sécurité des systèmes d'information

Contacter l'équipe

Indicateurs de qualité
  • Sécurité : pas encore audité

En quelques dates

Investigation
1er octobre 2020

Partenariat terminé
1er février 2021

L'équipe