FAQ


France Relance
Volet cybersécurité
FAQ ANSSI
(21/04/2021)

Qu’est-ce que France Relance ?

Le 3 septembre 2020, le Gouvernement a lancé le plan France Relance. Ce plan doté de 100 milliards d’euros a pour objectif de redresser durablement l’économie française et de créer de nouveaux emplois.

Le but du plan France Relance est de transformer l’économie en investissant prioritairement dans les domaines les plus porteurs.

Qu’est-ce que le volet cybersécurité de France Relance ?

Renforcer la souveraineté numérique de la France, tant par une plus grande maîtrise des technologies numériques stratégiques que par le soutien au développement des entreprises est une priorité de France Relance.

Le Gouvernement consacre ainsi 1,7 milliard d’euros d’investissements pour la transformation numérique de l’État et des territoires. Le pilotage du volet cybersécurité, s’élevant à 136 millions d’euros sur la période 2021-2022, a été confié à l’Agence nationale de la sécurité des systèmes d’information (ANSSI).

L’ANSSI saisit cette opportunité pour élever significativement et durablement le niveau de cybersécurité de l’État, des collectivités territoriales, établissements de santé et des organisations au service des citoyens (social, santé, formation, audiovisuel, sécurité) tout en dynamisant l’écosystème industriel français.

Pour concevoir les offres de service, l’ANSSI a consulté depuis plusieurs mois partenaires étatiques et associations de collectivités pour que ces services répondent aux enjeux des bénéficiaires.

Le détail de ces offres est disponible sur https://www.ssi.gouv.fr/FranceRelance

En quoi consiste-t-il ? Que compte faire l’ANSSI avec cette enveloppe de 136 millions d’euros ?

Il consiste à :
  • augmenter la cybersécurité de la sphère publique et des organismes au service des citoyens (social, santé, formation, audiovisuel, sécurité) via le financement à leur profit de :
    • prestations de cybersécurité
    • produits de cybersécurité
    • formations et sensibilisations
  • développer et déployer plus largement les capacités de cyberdéfense de l’Etat, via la création de centres régionaux de réponse à des incidents cyber pour accompagner les acteurs de taille intermédiaire.
  • Le volet cybersécurité de France Relance n’a pas vocation à :
    • financer la R&D des industriels ;
    • se substituer aux obligations des ministères en matière de financement de la sécurité et de mise en conformité.

L’ANSSI conçoit deux offres de service :

  • un dispositif de sécurisation visant à cofinancer des projets et des Parcours de cybersécurité de systèmes d’information existants ;
  • un programme d’incubation à la création de CSIRT régionaux.

La démarche de l’ANSSI est d’élever significativement et durablement le niveau de cybersécurité des bénéficiaires en leur donnant l’impulsion financière nécessaire en vue d’un investissement durable.

Le volet cybersécurité de France Relance financera-t-il le développement de nouveaux services numériques ?

Le volet cybersécurité de France Relance n’a pas vocation à soutenir financièrement le développement de nouveaux services numériques. Les services de l’État et les collectivités territoriales souhaitant développer un nouveau projet de transformation numérique sont invités à contacter le ministère de la Transformation et de la Fonction publiques.

Comment sera répartie l’enveloppe budgétaire ?

Le budget de 136 millions d’euros sera réparti au profit de différentes priorités :
  • 60 M€ au profit des collectivités territoriales, via des parcours de cybersécurité, le co-financement de projets et le soutien à la création des CSIRT régionaux ;
  • 25 M€ au profit du secteur de la santé pour la sécurisation des établissements de santé, du ministère et des organismes qui en dépendent
  • 30 M€ au profit des ministères et organismes qui en dépendent, hors secteur de la santé, notamment via le co-financement de projets de sécurisation des réseaux de l’État ;
  • 21M€ pour le développement et le déploiement mutualisé des capacités nationales de cybersécurité.

Qui pourra en bénéficier ? Certaines organisations seront-elles privilégiées ?

Le volet cybersécurité de France Relance bénéficie au plus grand nombre d’acteurs publics volontaires.

Il privilégie l’État, les collectivités territoriales et leurs regroupements, les établissements de santé, ainsi que les organismes au service des citoyens, en particulier dans le domaine social (caisses de sécurité sociale), de la formation et de l’information (formation professionnelle, enseignement à distance, audiovisuel public).

Comment en bénéficier ?

Rendez-vous sur https://www.ssi.gouv.fr/FranceRelance, choisissez une offre de service et suivez les modalités de candidature.

Sous quelle échéance ?

Le détail des offres a été officiellement présentée le 18 février. L’ANSSI vous invite à consulter la rubrique : https://www.ssi.gouv.fr/FranceRelance

Qui mettra en œuvre ce plan d’action ?

En charge du pilotage du volet cybersécurité de France Relance, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) pilote le déploiement et la mise en œuvre des offres de service qu’elle a conceptualisées.
  • La gestion des appels à projets sera assurée par l’ANSSI.
  • Les Parcours de cybersécurité sont supervisés par l’ANSSI.
    Deux types de prestataires sont ensuite à la manœuvre, pour chaque bénéficiaire :
    • Un prestataire en charge de la maîtrise d’ouvrage qui réalise un diagnostic et concoit le plan d’action. Il accompagne les bénéficiaires durant toute la démarche.
    • Des prestataires en charge de la maîtrise d’œuvre qui prend le relais pour réaliser le plan d’action.
  • Le programme d’incubation de CSIRT régionaux sera réalisé par l’ANSSI.

Les actions mises en œuvre seront-elles pérennes ?

Le volet cybersécurité de France Relance a été conçu pour donner l’impulsion nécessaire à l’investissement durable des bénéficiaires. Les fonds permettront le rattrapage des dettes techniques et la mise à niveau des bénéficiaires volontaires. Sur le temps long, ces bénéficiaires devront prendre en charge leur sécurité.

Quelle que soit l’offre, un co-financement par le bénéficiaire est systématiquement demandé. A l’issue des parcours, ou après un projet, il est essentiel que chacun pérennise son investissement dans la cybersécurité, a minima à hauteur de 5 % de son budget informatique.

Dispositif de sécurisation

Qu’est-ce que le dispositif de sécurisation proposé par l’ANSSI ?

Le dispositif de sécurisation est une offre de service qui vise à augmenter significativement et durablement le niveau de sécurité des systèmes d’information de l’État, des collectivités territoriales et des organismes au service des citoyens (social, santé, formation, audiovisuel, sécurité).

Les ministères et certaines collectivités territoriales volontaires peuvent candidater à des appels à projets de sécurisation de systèmes d’information existants afin qu’ils soient cofinancés par le plan France Relance.

Les collectivités territoriales et les organismes au service des citoyens souhaitant sécuriser leur système d’information peuvent bénéficier de Parcours de cybersécurité pérennes adaptés à leurs besoins.

Qui peut bénéficier du dispositif de sécurisation ?

Ministères, collectivités territoriales (communes, communautés de communes et intercommunalités, métropoles) et organismes au service des citoyens (social, santé, formation, audiovisuel, sécurité) peuvent, sur la base du volontariat, candidater au dispositif de sécurisation.

Quels types de système d’information seront concernés par ce dispositif ?

Tout système d’information existant hormis les systèmes industriels ou d’objets connectés, et leurs éventuels systèmes d’administration associés.

Les services de l’État et les collectivités territoriales souhaitant développer un nouveau projet de transformation numérique sont invités à contacter le ministère de la Transformation et de la Fonction publiques. L’Agence nationale de la sécurité des systèmes d’information, en tant qu’autorité nationale de cybersécurité et cyberdéfense, suivra le volet cybersécurité de ces projets.

Quelle somme est allouée à ce dispositif ? Quelles sont les modalités de financement ?

Sur les 136 millions d’euros alloués au volet cybersécurité de France Relance, 60 millions d’euros sont destinés à financer les actions au profit des collectivités territoriales, dont les CSIRT régionaux.
Parce que les actions menées se veulent pérennes et durables, elles doivent permettre aux bénéficiaires de maintenir le niveau de sécurité obtenu après le service rendu. C’est pourquoi, une pratique de cofinancement sera mise en place.

Comment candidater ?

Si vous souhaitez candidater, rendez-vous sur https://www.ssi.gouv.fr/FranceRelance. Les modalités y sont décrites.

Dispositif de sécurisation : Parcours de cybersécurité

Que sont les Parcours de cybersécurité ?

Les Parcours de cybersécurité sont l’une des deux offres de service proposées aux collectivités territoriales et aux organisations au service des citoyens par l’Agence nationale de la sécurité des systèmes d’information dans le cadre du plan France Relance. Son objectif ? Élever le niveau de sécurité de systèmes d’information de ses bénéficiaires via la mise en œuvre de parcours de sécurité adaptés aux enjeux et aux besoins des organisations. L’accompagnement des bénéficiaires est le maître-mot de cette offre de service.

Comment en faire la demande ?

Il vous suffit de vous rendre sur https://www.ssi.gouv.fr/FranceRelance et de suivre les instructions :

Étape 1 : DÉCOUVERTE DES OFFRES
Découvrez le dispositif de sécurisation et choisissez l’une des deux offres de service proposées par l’ANSSI : Appels à projets ou Parcours de cybersécurité.

Étape 2 : CANDIDATURE
Vous souhaitez bénéficier des Parcours de cybersécurité ? Rendez-vous sur https://www.ssi.gouv.fr/FranceRelance pour candidater.

Étape 3 : ÉLIGIBILITÉ
Répondez à un court questionnaire pour confirmer l’éligibilité de votre organisation.

Étape 4 : SÉLECTION
Votre candidature est retenue. Vous êtes alors mis en relation avec un prestataire de cybersécurité en charge de la maîtrise d’ouvrage qui vous accompagnera tout au long du projet. C’est le début de votre Parcours de cybersécurité.

Quels sont les critères d’éligibilité ?

Plusieurs critères doivent être remplis pour bénéficier de l’offre Parcours de cybersécurité.
  • Le bénéficiaire doit être une collectivité territoriale ou un organisme au service des citoyens (social, santé, formation, audiovisuel, sécurité).
  • Il doit disposer d’un système d’information existant (plusieurs machines connectées en réseau, un annuaire d’entreprise, des services numériques aux citoyens par exemple).
  • Le projet doit être soutenu par le décideur, détenteur de la responsabilité juridique et administrative, de l’organisation candidate.

Quelles sont les grandes étapes des Parcours de cybersécurité ?

  1. Choix du parcours à partir du pré-diagnostic
    L’évaluation de la maturité SSI du bénéficiaire permet de l’orienter vers un parcours adapté à ses enjeux et besoins
  2. Lancement avec le pack initial
    Un prestataire terrain, proposé par l’ANSSI, assure les actions de sensibilisation, de formation et d’audit auprès du bénéficiaire puis élabore, avec le bénéficiaire, un plan de sécurisation avec des mesures concrètes à mettre en œuvre.
  3. Approfondissement grâce aux packs relais
    La démarche est poursuivie par la mise en oeuvre des mesures préalablement identifiées et de nouveaux chantiers ciblés tenant compte des progrès de maturité SSI de la structure.
  4. Suivi itératif
    À chaque étape de mise en œuvre du plan de sécurisation, le prestataire accompagnateur vous guidera dans la validation des objectifs de votre parcours.

Quels types de parcours sont proposés ?

Plusieurs Parcours de cybersécurité ont été conçus pour répondre aux enjeux et aux besoins de chaque organisation :
  • Parcours fondation pour amorcer une démarche de sécurisation : adapté aux organisations disposant de ressources limitées (humaines, financières et techniques).
  • Parcours intermédiaire pour se préparer à agir : adapté aux organisations qui souhaitent recruter un référent en cybersécurité ou qui disposent en interne d’un référent junior à faire monter en compétence.
  • Parcours avancé pour prendre les devants : adapté aux organisations qui disposent en interne et à temps plein d’un spécialiste en cybersécurité (RSSI par exemple).
  • Parcours renforcé pour prendre une longueur d’avance : point de passage des organisations opérant un service de niveau comparable à celui d’un système d’information essentiel ou vital.

Chaque parcours est découpé en six niveaux adaptés aux enjeux et aux menaces de chaque organisation :

Niveau 1 : Mon organisation a une politique SSI
Niveau 2 : Je connais mon SI et ses vulnérabilités
Niveau 3 : Je maîtrise les accès à mon SI
Niveau 4 : J’ai sécurisé mes outils de travail
Niveau 5 : Mon réseau est protégé
Niveau 6 : Les enjeux SSI sont intégrés à ma politique d’administration

Exemple :

Dans le Parcours fondation, le niveau 1 « Mon organisation à une politique SSI » sera atteint quand :

  • l’équipe dirigeante sera sensibilisée aux risques cyber ;
  • les collaborateurs seront sensibilisés aux risques de hameçonnage ;
  • le bénéficiaire imposera ses propres clauses de cybersécurité à ses fournisseurs ;
  • le référent cyber du bénéficiaire aura suivi une formation en cybersécurité.

Le parcours de cybersécurité sera-t-il mis en œuvre malgré la situation sanitaire ?

Oui. Conçu pour se faire majoritairement à distance, il permettra le respect des consignes sanitaires.

Comment candidater ?

Les inscriptions sont ouvertes. Les organismes qui souhaitent candidater à cette offre peuvent se rendre sur https://www.ssi.gouv.fr/FranceRelance pour découvrir les modalités de candidature.

Peut-on avoir la liste des questions soumises lors du pré-diagnostic ?

Ce questionnaire, constitué d’une quarantaine de questions, nécessite un entretien d’environ 2 heures mené par un prestataire pour couvrir et interpréter leurs résultats.

Existe-t-il des supports pour appréhender les Parcours de cybersécurité ?

Oui. Une boite à outil a été créée pour rassembler l’ensemble des supports disponibles.
Retrouvez la boite à outils sur le site de l’ANSSI.

Les structures proposant des services à des adhérents de types collectivités, établissements de santé peuvent-elles leur faire bénéficier des Parcours de cybersécurité ?

L’ANSSI encourage pleinement les démarches de mutualisation qui offrent un effet de levier important.

Comment devenir prestataire terrain ?

Les parcours sont mis en œuvre par des prestataires de cybersécurité, appelés « prestataires terrain », choisis par les bénéficiaires pour travailler à leur profit.
C’est le bénéficiaire qui contractualise avec un ou plusieurs prestataire(s) terrain(s) afin de mettre en œuvre son Parcours de cybersécurité.
Il n’y a pas de mécanisme de candidature pour devenir prestataire terrain.
En savoir plus sur le rôle des prestataires terrain

Le co-financement se fait-il sur une base 50/50 ?

Chaque dossier est spécifique.
Néanmoins, au moins 30% du budget global de chaque projet doit être financé par son bénéficiaire.
Le financement maximum accordé par l’ANSSI est de 100 000 euros par bénéficiaire.

Ce co-financement est-il encadré par la réglementation classique des marchés publics ?

Oui, il est encadré par la réglementation classique des marchés publics. Le montage contractuel est à la main du bénéficiaire.

Les communes ne disposant pas de service informatique peuvent-elles bénéficier des Parcours de cybersécurité ?

Chaque commune doit se protéger face aux menaces cyber. En fonction de sa taille, de ses moyens et de l’organisation déjà mise en place face aux cybermenaces, des réponses différenciées sont proposées.
Il est recommandé d’identifier des leviers de mutualisation pour bénéficier d’actions mises en place auprès des mutualisants locaux (syndicats mixtes, centres de gestion, communautés de commune, intercommunalités…).

Les opérateurs d’importance vitale (OIV) opérant pour les collectivités peuvent-ils soumettre des projets pour le compte des collectivités territoriales ?

Oui. Ils peuvent soumettre des projets destinés à co-financer des actions de sécurisation de services au profit des citoyens.
Pour rappel : le plan France Relance n’est pas destiné à financer de la conformité réglementaire.

L’organisation a déjà eu un audit de sécurité en 2014 avec un plan d’actions qui en découle. Peut-elle bénéficier d’un parcours de cybersécurité renforcé ?

Le diagnostic initial permettra de définir le niveau de cybersécurité de l’organisation et donc d’identifier le parcours adapté. L’ensemble des actions déjà réalisées sera bien évidemment pris en compte lors du diagnostic.

Dispositif de sécurisation : les appels à projets

Que sont les appels à projets ?

Les appels à projets sont une offre de service proposée aux ministères et à certaines collectivités territoriales par l’Agence nationale de la sécurité des systèmes d’information dans le cadre de France Relance. Son objectif ? Cofinancer des projets de sécurisation de systèmes d’information dont le niveau de sécurité est avancé.

Pour qui ?

Les appels à projets sont destinés aux organisations dont le niveau de cybersécurité est suffisamment avancé pour être en dehors du cadre de l’offre Parcours de cybersécurité.
Les ministères et certaines collectivités territoriales sont la cible prioritaire de cette offre.

Étape 1 : DÉCOUVERTE DES OFFRES
Découvrez le dispositif de sécurisation et choisissez l’une des deux offres de service proposées par l’ANSSI : Appels à projets ou Parcours de cybersécurité.

Étape 2 : CANDIDATURE
Vous souhaitez répondre à un appel à projets :

  • Vous êtes un ministère ? Contactez le FSSI de votre ministère de tutelle.
  • Vous êtes une collectivité territoriale ? Inscrivez-vous sur France Relance : Appel à projets (Demande de subvention)
  • Vous êtes un établissement public ? Inscrivez-vous sur France Relance : Appel à projets (Demande de convention)

Étape 3 : ÉLIGIBILITÉ
Les projets doivent être proposés par la chaîne SSI de l’organisation et doivent s’intégrer dans un schéma global de sécurisation du système d’information.

Les justificatifs suivants devront être fournis :

  • Pour un projet en phase de cadrage : la stratégie d’homologation précisant les parties prenantes, le référentiel réglementaire auquel le projet devra répondre, les besoins fonctionnels, le type d’hébergement envisagé, les éventuelles sous-traitances, le calendrier prévisionnel et le budget envisagé.
  • Pour un projet en phase de lancement : en complément des éléments ci-dessus, l’analyse de risques, la description générale de l’architecture technique envisagée, le cas échéant, les CCAP, le CCTP et les rapports d’audit de sécurité.
  • Pour un projet relatif à un système d’information déjà en service : l’ensemble des pièces du dossier d’homologation (dont l’analyse de risques, les procédures d’exploitation de la sécurité, les rapports d’audit, le plan d’amélioration continu de la sécurité, l’avis de la commission d’homologation).

Étape 4 : SÉLECTION
Un comité de sélection, présidé par le directeur général de l’ANSSI, réunissant les représentants des porteurs de projet et des experts de l’ANSSI se réunira pour sélectionner les projets retenus.

Quels sont les critères d’éligibilité ?

  • Critère de sécurité : le projet doit permettre d’élever le niveau de cybersécurité du système d’information.
  • Critère de portée : la portée du projet sera appréciée (nombre d’agents ou de bénéficiaires concernés, caractère transposable ou transverse).
  • Critère de maturité : les contraintes calendaires portant sur le projet imposent de retenir des projets courts ou suffisamment avancés.
  • Critère de maîtrise budgétaire.

Quand candidater ? Calendrier ?

Deux campagnes annuelles sont prévues en 2021 et 2022.

2021

  • La première campagne a débuté en décembre 2020.
  • La seconde campagne débutera en juin 2021.

2022

  • Candidature en novembre 2021
  • Candidature en juin 2022

Votre candidature est retenue. Comment recevoir le financement ?

Si votre entité est sous tutelle d’un ministère, les fonds seront disponibles par délégation de gestion d’une UO sur le programme budgétaire adapté.
Pour les collectivités territoriales, les fonds seront alloués via des subventions dont les modalités restent à définir.

L’appel à projet permet-il de financer les actions liées à la loi de programmation militaire ?

Non. Ce n’est pas un critère à privilégier dans le cadre de la mise en œuvre du plan France Relance.

Création de CSIRT régionaux

Qu’est-ce qu’un CSIRT régional ?

Un CSIRT régional (Computer Security Incident Response Team) est un centre de réponse aux incidents cyber au profit des entités de taille intermédiaire (collectivités et structures du tissu économique local).
Ces équipes de réponse traitent les demandes d’assistance des acteurs de taille intermédiaire (ex : PME, ETI, collectivités territoriales de plus de 5000 habitants et associations de dimension nationale) et les mettent en relation avec des partenaires de proximité : prestataires et partenaires étatiques.

CERT vs CSIRT ?

« CERT » (Computer Emergency Response Team) et « CSIRT » sont des termes synonymes.
La différence ? « CERT » est une marque déposée par une université américaine.
L’ANSSI reprend donc le terme générique de CSIRT.

Quelles sont les missions d’un CSIRT ?

  • Centraliser les déclarations d’incidents cyber (tout dysfonctionnement d’un système d’information d’origine malveillante).
  • Qualifier les incidents et transmettre les premiers bons réflexes aux bénéficiaires.
  • Mettre en relation l’entité victime avec les organisations en charge de l’accompagner dans la résolution de l’incident :
    • prestataires de réponse à incident en charge d’analyser la situation et de restaurer le système d’information ;
    • services de police et de gendarmerie en charge du traitement judiciaire de l’incident.
  • Anticiper :
    • Veiller les vulnérabilités et les correctifs de sécurité publiés par les autorités et éditeurs de logiciels ;
    • analyser l’état de la menace cyber ciblant ses bénéficiaires ;
    • partager ses connaissances techniques sur l’état de la menace au sein des réseaux des CSIRT.
  • Sensibiliser et former les bénéficiaires :
    • partager les bonnes pratiques de cybersécurité ;
    • accompagner la formation des bénéficiaires.

Que propose l’ANSSI ?

L’ANSSI propose aux régions de créer un centre de réponse aux incidents cyber (CSIRT) via :

PHASE 1 : PROGRAMME D’INCUBATION
Créer un centre régional de réponse aux incidents cyber incubé par l’Agence nationale de la sécurité des systèmes d’information
Accompagnement méthodologique de l’ANSSI, via un programme d’incubation de quatre mois, et financier, via les fonds du plan de relance.
Objectif : faire que ces CSIRT territoriaux répondent de manière pertinente et efficace aux besoins identifiés, tout en s’intégrant pleinement à l’écosystème territorial et national.

PHASE 2 : MISE EN RÉSEAU
Intégrer, dès 2022, l’InterCERT-FR, réunissant de nombreux CSIRT français, et créer, en son sein, une communauté de CSIRT régionaux. Objectif ? Constituer son réseau et bénéficier de l’expertise de ses pairs.

Pourquoi créer un CSIRT à l’échelle régionale ?

L’ANSSI souhaite encourager l’émergence de CSIRT pour fournir localement un service de réponse à incident de premier niveau, complémentaire de celui proposé par les prestataires locaux.
Au plus proche des acteurs du territoire, ces CSIRT pourront les orienter et les conseiller face à la menace cyber.
  • Plusieurs structures ont été créées par l’État pour accompagner les organisations victimes de cyberattaques :
    • Les particuliers, TPE et collectivités de moins de 5 000 habitants et associations locales sont invités à déclarer leurs incidents sur la plateforme Cybermalveillance.gouv.fr pour être mis en relation automatiquement avec des prestataires de proximité.
    • Les acteurs étatiques, OIV/OSE, métropoles, départements et régions déclarent leurs incidents à l’ANSSI avant d’être accompagnés par les équipes de l’agence ;
    • Les acteurs de taille intermédiaire (PME, ETI, collectivités territoriales de plus de 5 000 habitants, intercommunalités et associations de dimension nationale) demeurent hors du cœur de cible du CERT-FR et de Cybermalveillance.gouv.fr mais attendent une réponse et un suivi personnalisés en cas d’incident.
  • La dématérialisation engagée par l’ensemble des acteurs et accélérée par la crise sanitaire participe à la profonde transformation numérique de la société. Mais elle s’accompagne aussi de l’essor des menaces cyber, désormais permanentes et capables de désorganiser de nombreuses structures privées comme publiques, petites comme grandes à l’échelle régionale. En 2020, l’ANSSI constate une augmentation importante des cyberattaques ciblant les collectivités et les établissements de taille intermédiaire.
  • Le maillage de CSIRT français sera l’un des piliers de la cyber-résilience nationale.

Pourquoi investir maintenant dans un CSIRT régional ?

L’offre de service en matière de réponse à incidents, ainsi que l’écosystème des CSIRT se développent et se structurent pour faire face à une menace croissante (cf. explosion des attaques par rançongiciel en 2020).
Cette offre de service proposée par l’ANSSI dans le cadre du plan France Relance est l’occasion pour les régions de proposer une réponse de proximité répondant à faible coût aux acteurs de taille intermédiaire (collectivités, associations, ETI) présents sur son territoire.

Pour être pérenne, un CSIRT doit pouvoir s’autofinancer à terme. Quel modèle économique ? Quels services proposer pour que la structure soit à l’équilibre ?

Les fonds du plan de relance visent à soutenir la création de ces CSIRT territoriaux et à accompagner leur fonctionnement durant les deux premières années d’existence.
Ces centres ont vocation à offrir un service pérenne à leurs bénéficiaires. Plusieurs solutions existent pour permettre à ces CSIRT d’atteindre l’équilibre financier : cotisation des membres, abonnements à des services de partage d’information sur la menace, formations adaptées, subventions nationales ou européennes, partenariats, etc. Chaque CSIRT construira son modèle économique.

Comment créer puis développer un CSIRT ?

L’ANSSI conçoit un programme d’incubation pour accompagner les entités volontaires dans la création et le développement de centres de réponse aux incidents cyber.

Ce programme, d’une durée de quatre mois, permettra aux bénéficiaires volontaires de :

  • rédiger la charte d’utilisation et de fonctionnement du CSIRT (RFC 2350) ;
  • concevoir une feuille de route de mise en œuvre (sur la base du référentiel SIM3).

À l’issue du programme d’incubation, les entités volontaires auront conçu une feuille de route concrète leur permettant de créer puis de développer un centre de réponse aux incidents cyber.

Via ce programme d’incubation, les volontaires bénéficieront de modules pédagogiques dispensés par des experts de l’ANSSI (qualification et tri des incidents, communication de crise cyber, le judiciaire, le recrutement, etc.)

Quel(s) service(s) doit-il proposer a minima ?

Le CSIRT doit répondre aux besoins prioritaires des bénéficiaires à savoir l’accompagnement personnalisé en cas de cyberattaque : délimiter et comprendre l’incident, préparer le dossier d’incident cyber à transmettre à un prestataire de réponse à incident.

Peut-on créer un CSIRT minimaliste et le faire croître a posteriori ?

Oui. Il est tout à fait possible de faire croître progressivement les missions d’un centre de réponse aux incidents cyber.
Étape 1 : Centraliser les déclarations d’incidents cyber.
Étape 2 : Accompagner les victimes de cyberattaque (traitement des incidents et des alertes et préparation d’un dossier d’incident à transmettre au prestataire).
Étape 3 : Coopérer avec les réseaux des CSIRT, les partenaires étatiques.
Étape 4 : Anticiper en faisant de la veille de vulnérabilités et de correctifs de sécurité et analyser l’état de la menace cyber.
Étape 5 : Sensibiliser et former les bénéficiaires.

Quelle est la taille minimale d’un CSIRT ? Quelles compétences minimales sont-elles attendues ?

À son lancement, un centre de réponse aux incidents cyber peut réunir trois à quatre analystes dont deux jeunes diplômés.

Où trouver les compétences en vue de recruter les équipes ?

En 2017, l’ANSSI a lancé le label SecNumedu destiné aux formations initiales en cybersécurité de l’enseignement supérieur.
Ce label apporte la garantie aux employeurs qu’une formation dans le domaine de la sécurité du numérique répond à une charte et des critères définis par l’ANSSI en collaboration avec les acteurs et professionnels du domaine.
En 2020, on compte plus de 60 formations initiales labellisées SecNumedu, réparties sur tout le territoire.

Quel sera l’accompagnement de l’ANSSI, à court, moyen et long terme ?

Court terme : accompagnement méthodologique (programme d’incubation) et financier de l’ANSSI via le plan France Relance.
Moyen terme : adhésion des CSIRT régionaux volontaires à l’InterCERT-FR et création, en son sein, d’une communauté de CSIRT régionaux
Long terme : coopération renforcée entre les CSIRT régionaux et l’ANSSI via le CERT-FR.

Qui pourra bénéficier de cette offre ? Quels seront les critères de sélection ?

Seules les régions, via les conseils régionaux, pourront bénéficier de cette offre.
Les critères de sélection sont :
  • portage du projet par le conseil régional ;
  • périmètre obligatoirement régional du CSIRT.

Le CSIRT doit-il être obligatoirement soutenu par le conseil régional ?

Oui. Pour bénéficier du volet cybersécurité du plan France Relance, le projet de création de CSIRT doit être porté par la région.
La région désignera le projet de son choix.

Quel sera le processus de candidature ?

Un courrier a été envoyé par l’ANSSI à tous les président(e)s des conseils régionaux. Ils peuvent manifester en retour leur intérêt pour ce dispositif. Chaque région sera ensuite suivie pour identifier un projet d’intérêt et accompagner la création de la structure.

Quel sera le calendrier de création d’un CSIRT ?

Fin avril 2021 : réception des candidatures des régions envoyées par l’ANSSI
3e trimestre 2021 : identifier le porteur du projet au sein de la région et créer la structure juridique
4e trimestre 2021 : intégrer la première session d’incubation de l’ANSSI
1er trimestre 2022 : mettre en place le CSIRT régional
2022-2025 : faire monter en puissance le CSIRT en développant ses missions

Quand se tiendra la session d’incubation ? Y aura-t-il plusieurs sessions ?

Un premier programme d’incubation se tiendra de septembre à décembre 2021.
L’agence pourra accompagner jusqu’à sept projets durant cette session. D’autres sessions seront organisées en 2022.

Quelle sera la somme consacrée à la création de CSIRT régionaux ? Quelle sera la somme attribuée aux régions pour la conception d’un CSIRT ?

Les projets retenus pourront être financés à hauteur d’un million d’euros.
Les modalités de subvention (circuit financier et calendrier) sont en cours de définition.

Combien d’entités volontaires par session ?

L’ANSSI envisage d’incuber sept projets de création de CSIRT en 2021.

Quels seront les types de prestataires référencés par les centres de réponse ?

Les prestataires de réponse à incidents labellisés par l’ANSSI et ceux labellisés ExpertCyber par Cybermalveillance.gouv.fr.

Un visa sera-t-il attribué aux CSIRT à l’issue du programme d’incubation ?

L’ANSSI ne délivrera pas de visa à l’issue du programme d’incubation. L’agence définit actuellement les modalités de promotion et de valorisation des projets incubés. Elles seront transmises aux intéressés.

Existe-t-il déjà des CSIRT régionaux ?

Dès octobre 2020, la région Sud Provence Alpes Côte d’Azur a inauguré, en présence de l’ANSSI, un premier centre de veille et d’alerte régional.
Ce projet a été lancé en cohérence avec la feuille de route cyber adoptée par le conseil régional. Conçu comme un prototype initial, le C2RC (Centre de ressources régional cyber), basé à Toulon, suit une logique de croissance progressive (services proposés, bénéficiaires, dimensionnement). Les équipes en charge du projet bénéficient du soutien de l’ANSSI pour progressivement préfigurer en 2021 ce que sera un CSIRT régional.