D. LA NÉCESSITÉ DE CLARIFIER LE VOLET RÉGIONAL DE LA CYBERSÉCURITÉ ENTRE LES CSIRT RÉGIONAUX ET LE GIP ACYMA « CYBERMALVEILLANCE »

Le Plan de relance a prévu une enveloppe de 12 millions d'euros répartis entre 12 CSIRT régionaux (Computer security incident response team9(*)), à l'exception de la région Auvergne-Rhône-Alpes. Ces dispositifs, contractualisés en 2021 dans le cadre du Plan de relance, entrent progressivement en oeuvre après 2 années consacrées à la création des structures par les régions, l'embauche d'experts et la recherche de locaux sécurisés.

Plusieurs observations peuvent être faites à la lumière d'une visite effectuée au Campus cyber de Nouvelle Aquitaine dont le CSIRT venait d'entrer en service en avril 2023 :

- la création de ces centres, qui remplissent localement les missions régaliennes qui lui sont confiées par l'ANSSI, nécessite un portage politique important (au titre de la compétence des régions en matière de développement économique) alors même que la pérennité de leur financement n'est pas assurée. Ceci a pu expliquer le choix légitime d'une région de ne pas rejoindre le dispositif ;

- après la consommation des crédits du Plan de Relance (1 million d'euros de démarrage par région), le risque est grand de voir toute la charge reposer sur les conseils régionaux. Cela pose la question d'un transfert de compétences régaliennes à des collectivités territoriales.

Visite du centre de réponse aux incidents cyber (CRIC) de Nouvelle Aquitaine

Locaux du CRIC de Nouvelle Aquitaine

Coordination régionale et interministérielle de cybersécurité

Fonctionnement du CRIC de Nouvelle-Aquitaine

Créé en mai 2023, le centre de réponse aux incidents cyber (CRIC)10(*) de Nouvelle-Aquitaine s'articule entre l'ANSSI et le GIP ACYMA :

- ANSSI : rôle de pilotage national (autorité de cybersécurité), en charge de la réponse à incident sur le périmètre des OIV et Entités essentielles (NIS 2) ;

- CSIRT : en charge de la réponse à incident sur le périmètre des entités importantes, PME et collectivités de plus de 20 000 habitants, de l'accompagnement à la montée en compétence des prestataires, de l'animation territoriale sur le sujet cyber (développer la résilience des entreprises et collectivités) ;

- ACYMA : en charge du 17 cyber, de la réponse à incident sur le périmètre des particuliers, TPE et collectivités de moins de 20 000 habitants, de la labellisation des prestataires et de l'orientation des victimes (vers ANSSI / CSIRT / eux-m?me).

Depuis sa création, le CRIC a répondu à 28 attaques : 1/3 de rançongiciels, fraudes, violation de données et piratage de compte. Malgré la concentration des acteurs économiques en Gironde, les incidents sont à peu près répartis sur toute la région (tous secteurs et toutes tailles d'entreprises). Le centre lui-même a fait l'objet de 2 000 attaques contre lesquelles il dispose de protection.

Source : Campus Cyber Nouvelle-Aquitaine

Les élus régionaux rencontrés en Bretagne et Nouvelle Aquitaine se sont montré allant sur la création de leurs CSIRT respectifs mais appellent d'urgence à penser dès maintenant l'après Plan de relance notamment par le biais d'un plan État-Région.

Cette question ne s'éloigne pas du sujet de la LPM dans la mesure où l'objectif stratégique de la revue nationale stratégique est de constituer des synergies entre public et privé pour constituer un environnement sécurisé et faire face aux menaces. Dans une optique d'économie de guerre, le caractère régalien de la cyber sécurité nécessiterait une harmonisation de l'offre de services et des modalités d'appel en cas d'incident. L'ANSSI assume le caractère expérimental de la démarche dans sa phase de lancement, mais indique que l'association « Inter-CERT » pourrait constituer la tête de réseau des CSIRT régionaux et ultérieurement harmoniser les procédures (certains CSIRT communiquent largement leurs coordonnées tandis que d'autres confient le soin de la diffusion d'informations aux réseaux consulaires et organisations professionnelles).

Le développement d'une organisation régionale, sans compter les organisations sectorielles, prôné par l'ANSSI pour répondre aux attaques cyber ne fait pas consensus.

Ce dispositif n'apporte pas une réponse uniforme sur le territoire national en cas de conflit (cf. le cas de la région Auvergne-Rhône-Alpe qui ne participe pas au dispositif des CSIRT régionaux) et fait apparaître de nombreuses faiblesses à commencer par les interrogations sur sa pérennité.

Pour les rapporteurs, le principe du numéro d'appel universel tel que le « 17 cyber » serait à privilégier en cas d'attaque cyber.

Une option serait de concentrer les efforts budgétaires publics sur un seul acteur comme le GIP ACYMA (Groupement d'Intérêt Public Action contre la Cybermalveillance), qui a fait ses preuves et dont l'action est plébiscitée. Sa mission est déjà d'organiser les réponses aux victimes, hors du périmètre d'intervention de l'ANSSI (opérateurs d'importance vitale, opérateurs de services essentiels). Ainsi conforté, ACYMA pourrait coordonner les acteurs en région et adresser l'ensemble du territoire national.

Il apparaît urgent de revoir la stratégie en cours sur les CSIRT afin de mieux employer les deniers publics et d'opter pour une organisation rationnelle et pérenne, susceptible de répondre à tous les acteurs qui ne relèvent pas de l'ANSSI, à l'image de l'organisation du Centre de crise et de soutien (CDCS) du ministère de l'Europe et des affaires étrangères.

Une clarification des rôles s'impose, entre ANSSI, CSIRT régionaux ou sectoriels et GIP ACYMA, notamment dans la perspective de l'application de la directive NIS 2 et ne serait-ce que pour désigner un interlocuteur dans la région qui n'a pas souhaité rejoindre le dispositif du plan France Relance. Un équilibre doit être trouvé afin d'une part de ne pas freiner, ne serait-ce que partiellement, le déploiement des CSIRT décidé par la plupart des régions, d'autre part de conforter le rôle du GIP ACYMA. Aussi bien en Bretagne qu'en Nouvelle-Aquitaine, la territorialisation des CSIRT est un outil de montée en compétence les prestataires locaux mais aussi de protection du tissu économique et de formation dans le domaine cyber.

Constats :

- La mise en place des CSIRT régionaux s'est faite sur la base d'un volontariat des régions et selon un modèle assumé comme « expérimental » par l'ANSSI ;

- La pérennité du financement des CSIRT n'est pas assurée au-delà de l'amorçage du Plan de relance ;

- Les régions alertent sur le risque de devoir seule assumer la charge du dispositif alors qu'il s'agit d'une mission régalienne.

Recommandations :

- Rationnaliser l'organisation cyber vers un guichet unique « 17 cyber » pour orienter les victimes en cas d'attaque ou de conflit majeur ;

- Évaluer une organisation alternative aux CSIRT en concentrant les moyens publics sur le GIP ACYMA, tout en prévoyant une contractualisation État-Région pour les régions qui souhaitent pérenniser leurs centres de réponse ;

- Harmoniser, en coordination avec le GIP ACYMA, les modalités d'appel des CSIRT régionaux et les services de cybersécurité rendus.


* 9 Traduction privilégiée par vos rapporteurs : centre de réponse aux incidents cyber (CRIC)

* 10 Appellation du CSIRT de Nouvelle-Aquitaine.