Vers des « cyber SAMU » dans les régions : l’exemple normand
Après le 15, voici venus les ambulanciers du risque Cyber. Face à l’explosion du nombre d’attaques, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) invite les Régions à créer des centres de premier secours pour répondre dans l’urgence aux institutions et entreprises victimes de hackers malveillants. La Normandie répond présente.
Phishing, ransomware, piratage... Plus un jour ne passe sans qu’une entreprise ou une collectivité ne fasse état d’une cyberattaque, comme récemment la marque Lise Charmel dans la région lyonnaise qui a failli ne pas s’en relever. Les statistiques donnent le tournis. De plus en plus sophistiquées, les campagnes dites de « hameçonnage » ont bondi de plus de 700% dans le monde au cours des dernières années. En France, les signalements de rançongiciels ont été multiplié par quatre en 2020, mettant à genoux ici une mairie, là un hôpital, ailleurs une grosse PME.
Face à la montée des menaces et à la vulnérabilité croissante des organisations fragilisées par le télétravail, l’ANSSI (Agence nationale de la sécurité des systèmes d’information) voudrait voir émerger au sein des Régions des équipes d’urgentistes capables d’administrer les premiers secours aux victimes, souvent démunies, des cybercriminels. Dans le cadre de France Relance, elle a obtenu des fonds pour accompagner les Conseils régionaux dans la mise en place de ce qui s’apparente à des « cyber SAMU ». Dans le jargon : des CSIRT (Computer Security Incident Response Team).
Dans le ventre mou de la cybersécurité
Message reçu par la Région Normandie dont les élus viennent de voter la création d’un CSIRT « au plus tard au second semestre de 2022 ». Comme ses équivalents, le dit centre n’adressera ni les grands comptes outillés pour faire face à une attaque, ni les particuliers et les TPE pour qui existe la plateforme cybermalveillance.fr. En revanche, il proposera un service d’assistance gratuit aux structures de taille intermédiaire (PME, ETI, collectivités de plus de 5.000 habitants, établissements publics, grosses associations). Lesquelles sont souvent considérées comme le ventre mou de la cybersécurité parce que trop petites pour disposer
Vers des « cyber SAMU » dans les régions : l’exemple normand
d’un service informatique mais suffisamment grandes pour intéresser les pirates.
Les missions de ces ambulanciers du Net ? Centraliser les demandes, enregistrer les victimes de cyberattaques, leur apporter une aide de premier niveau (conseils, mise en oeuvre de solutions immédiates) et les rediriger vers le prestataire ad hoc. Normand, de préférence. Pour Fabrice Clerc, PDG de 6cure, société caennaise spécialisée dans la sécurité des systèmes d’information, l’offre viendra combler un vide.
« L’analogie avec le SAMU est bonne. En étant dans les pages jaunes, nous le constatons tous les jours. Les victimes ne savent pas vers qui se tourner en cas d’urgence informatique : un bon généraliste ou un spécialiste ?, observe-t-il. Il manque un guichet unique, ce qui est précisément la vocation d’un CSIRT ».
Du curatif et du préventif
Le rôle du futur centre ne se bornera pas à administrer les « premiers soins ». « Il aura également une vocation préventive en surveillant l’état de la menace et en assurant une veille sur les nouvelles attaques, les logiciels malveillants ou les dernières vulnérabilités » précise Alexandre Wahl, patron de l’Agence de développement économique de la Normandie (ADN). La Région espère aussi, à la faveur de ce nouvel outil, « faire monter en compétences » les spécialistes régionaux de la cybersécurité, peu nombreux à être référencés par l’ANSSI. Ce pourquoi elle envisage, à terme, de créer son propre label, un peu moins corseté que celui de l’Agence inaccessible aux plus petits joueurs. Objectif : séparer le bon grain de l’ivraie. Autrement dit, valoriser les intervenants compétents de préférence aux experts auto-proclamés.
Sur le plan pratique, le CSIRT sera piloté par un conseil d’orientation et placé dans l’orbite de l’ADN dont il deviendra un département. Ce cyber SAMU devrait pouvoir compter, dans un premier temps, sur une petite équipe multi-spécialisée qui interviendra en semaine, aux heures ouvrables. A ce stade, rien n’est prévu pendant les week-end et les nuits : périodes pourtant prisées des hackers qui aiment à évoluer sous les radars. Un maillon faible pour Fabrice Clerc : « Si le centre veut vraiment être efficace, il ne pourra pas faire l’économie du H24 », prévient-il. A méditer.