Chaque jour, l’État est la cible de nombreuses attaques informatiques :

• des attaques génériques, visant de façon indifférenciée des systèmes d’information raccordés à l’Internet ;
• des attaques spécifiques, dirigées précisément contre certains systèmes d’information de l’administration.

Ces attaques ont souvent pour objectif la compromission des réseaux et l’installation de programmes malveillants sur les systèmes qui les composent.

Les analyses réalisées par le COSSI ^[1] qui s’appuient sur un grand nombre de cas réels mettent en évidence :

• un savoir-faire croissant de la part des concepteurs de ces attaques ;
• une accélération de la production de codes malveillants exploitant les vulnérabilités découvertes sur les systèmes.

Prenant acte de cette évolution qui démontre une professionnalisation de la menace, le Livre blanc sur la défense et la sécurité nationale de 2008 a souhaité la création, au sein d’une agence nationale de la sécurité des systèmes d’information, d’un centre de détection de ces attaques informatiques. Ce centre est fonctionnel depuis septembre 2009.

En complément de missions plus préventives qui visent à améliorer et à maintenir dans la durée le niveau de sécurité des systèmes d’information, ce centre permet, par effet d’échelle, d’augmenter la réactivité de l’État dans :

• la détection en amont des tentatives d’attaques ;
• le traitement des incidents qui n’auraient pu être évités.

Le centre assure un service de veille 24 heures sur 24 et une prestation d’analyse portant sur les attaques identifiées, en complément du travail déjà réalisé par le CERTA ^[2].

Le centre de détection s’appuie sur une suite d’outils du marché, mais également sur des outils logiciels développés spécifiquement. Les conditions pratiques de mise en œuvre de ce service sont affinées en fonction des besoins spécifiques de chaque système et architecture.