Le volet cybersécurité de France Relance – FAQ


Le volet Cybersécurité du plan France Relance

Qu’est-ce que France Relance ?

Le 3 septembre 2020, le Gouvernement a lancé le plan France Relance. Ce plan doté de 100 milliards d’euros a pour objectif de redresser durablement l’économie française et de créer de nouveaux emplois.
Le but du plan France Relance est de transformer l’économie en investissant prioritairement dans les domaines les plus porteurs. En savoir plus sur le plan de relance.

Qu’est-ce que le volet cybersécurité de France Relance ?

Le volet Cybersécurité vise à renforcer la souveraineté numérique de la France, tant par une plus grande maîtrise des technologies numériques stratégiques que par le soutien au développement des entreprises est une priorité de France Relance.
Le Gouvernement consacre ainsi 1,7 milliard d’euros d’investissements pour la transformation numérique de l’État et des territoires. Le pilotage du volet cybersécurité, s’élevant à 136 millions d’euros sur la période 2021-2022, a été confié à l’Agence nationale de la sécurité des systèmes d’information (ANSSI).
L’ANSSI saisit cette opportunité pour élever significativement et durablement le niveau de cybersécurité de l’État, des collectivités et des organisations au service des citoyens tout en permettant au tissu industriel français de cybersécurité de se structurer et de se développer de manière significative.

En quoi consiste le volet Cybersécurité de France Relance ?

Il consiste à :
  • augmenter la cybersécurité de la sphère publique et des organismes au service des citoyens (social, santé, formation, audiovisuel, sécurité) via le financement à leur profit de :
    • produits de sécurité ;
    • prestations de sécurité d’acteurs privés ;
    • formations.
  • renforcer les capacités de cyberdéfense des territoires, via la création de centres régionaux de réponse d’urgence à des incidents cyber pour accompagner les acteurs de taille intermédiaire.

Le volet cybersécurité de France Relance n’a pas vocation à :

  • financer la R&D des industriels ;
  • se substituer aux obligations des ministères en matière de financement de la sécurité et de mise en conformité.

Quelles sont les offres de service de l’ANSSI pour le volet Cybersécurité de France Relance ?

L’ANSSI conçoit deux offres de service :
  • un dispositif de sécurisation visant à cofinancer des projets et des Parcours cybersécurité de systèmes d’information existants ;
  • un programme d’incubation à la création de CSIRT régionaux.

La démarche de l’ANSSI est d’élever significativement et durablement le niveau de cybersécurité des bénéficiaires en leur donnant l’impulsion financière nécessaire en vue d’un investissement durable.

Le volet cybersécurité de France Relance financera-t-il le développement de nouveaux services numériques ?

Le volet cybersécurité de France Relance n’a pas vocation à soutenir financièrement le développement de nouveaux services numériques. Les services de l’État et les collectivités territoriales souhaitant développer un nouveau projet de transformation numérique sont invités à contacter le ministère de la Transformation et de la Fonction publiques.

Quelles organisations peuvent profiter du volet cybersécurité de France Relance ?

Le volet cybersécurité de France Relance bénéficie au plus grand nombre d’acteurs publics volontaires.
Il privilégie l’État, les collectivités territoriales et leurs regroupements, ainsi que les organismes au service des citoyens, en particulier dans le domaine social (caisses de sécurité sociale), de la santé (hôpitaux, agences de santé), de la formation et de l’information (formation professionnelle, enseignement à distance, audiovisuel public).
Il privilégie par ailleurs certains enjeux de souveraineté, notamment ceux liés à la protection du patrimoine scientifique et technique (universités, laboratoires de recherche).

Qui mettra en œuvre ce plan d’action ?

En charge du pilotage du volet cybersécurité de France Relance, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) pilotera le déploiement et la mise en œuvre des offres de service qu’elle a conceptualisées.
  • La gestion des appels à projets sera assurée par l’ANSSI.
  • Les Parcours cybersécurité seront supervisés par l’ANSSI.
    • Deux types de prestataires interviendront auprès de chaque bénéficiaire :
      • Un prestataire en charge de la maîtrise d’ouvrage qui réalisera un diagnostic et concevra le plan d’action. Il accompagnera les bénéficiaires durant toute la démarche.
      • Des prestataires en charge de la maîtrise d’œuvre qui prendront le relais pour réaliser le plan d’action.
  • Le programme d’incubation de CSIRT régionaux sera réalisé par l’ANSSI.

Les actions mises en œuvre seront-elles pérennes ?

Le volet cybersécurité de France Relance a été conçu pour donner l’impulsion nécessaire à l’investissement durable des bénéficiaires. Les fonds permettront le rattrapage des dettes techniques et la mise à niveau des bénéficiaires volontaires. Sur le temps long, ces bénéficiaires devront prendre en charge leur sécurité.

Le Dispositif de sécurisation

Qu’est-ce que le dispositif de sécurisation proposé par l’ANSSI ?

Le dispositif de sécurisation est une offre de service qui vise à augmenter significativement et durablement le niveau de sécurité des systèmes d’information de l’État, des collectivités territoriales et des organismes au service des citoyens (social, santé, formation, audiovisuel, sécurité).
  1. Les collectivités territoriales et les organismes au service des citoyens souhaitant sécuriser leur système d’information peuvent bénéficier de parcours cybersécurité pérennes adaptés à leurs besoins et leurs niveaux de maturité.
  2. Les ministères et certaines collectivités territoriales volontaires peuvent candidater à des appels à projets de sécurisation de systèmes d’information existants afin qu’ils soient cofinancés par le plan France Relance.

Qui peut bénéficier du dispositif de sécurisation ?

Ministères, collectivités territoriales et organismes au service des citoyens (social, santé, formation, audiovisuel, sécurité) peuvent, sur la base du volontariat, candidater au dispositif de sécurisation.

Quels types de système d’information sont concernés par le dispositif de sécurisation ?

Tout système d’information existant hormis les systèmes industriels ou d’objets connectés, et leurs éventuels systèmes d’administration associés, peuvent être concernés par ce dispositif.

Les services de l’État et les collectivités territoriales souhaitant développer un nouveau projet de transformation numérique sont invités à contacter le ministère de la Transformation et de la Fonction publiques. L’Agence nationale de la sécurité des systèmes d’information, en tant qu’autorité nationale de cybersécurité et cyberdéfense, suivra le volet cybersécurité de ces projets.

Quelle somme est allouée au dispositif de sécurisation ?

Sur les 136 millions d’euros alloués au volet cybersécurité de France Relance, 60 millions d’euros sont destinés à financer les actions au profit des collectivités territoriales, dont les CSIRT régionaux.
Parce que les actions menées se veulent pérennes et durables, elles doivent permettre aux bénéficiaires de maintenir le niveau de sécurité obtenu après le service rendu. C’est pourquoi, une pratique de cofinancement sera mise en place.

Le Dispositif de sécurisation : Parcours de cybersécurité

Que sont les Parcours cybersécurité ?

Les Parcours cybersécurité sont l’une des deux offres de service proposées aux collectivités territoriales et aux organisations au service des citoyens par l’Agence nationale de la sécurité des systèmes d’information dans le cadre du plan France Relance. Son objectif est d’élever le niveau de sécurité de systèmes d’information de ses bénéficiaires via la mise en œuvre de parcours de sécurité adaptés aux enjeux et aux besoins des organisations. L’accompagnement des bénéficiaires est le maître-mot de cette offre de service.

Comment suivre un parcours de cybersécurité ?

L’offre des Parcours cybersécurité est actuellement en cours d’expérimentation. A l’issue de cette période de 3 mois, elle sera ouverte aux bénéficiaires pour sa phase de généralisation. L’ANSSI indiquera ici les modalités d’accès à l’attention des candidats de ce parcours.

Quelles sont les grandes étapes des Parcours cybersécurité ?

PRÉ-DIAGNOSTIC

Répondez à un questionnaire et obtenez une estimation de votre cyberscore permettant d’ identifier le parcours adapté à vos enjeux et à vos besoins.

ACCOMPAGNEMENT

Rencontrez le prestataire en charge de la maîtrise d’ouvrage (appelé prestataire accompagnateur), pour :

  • qu’il présente et explique la démarche à vos décideurs et à vos acheteurs
  • qu’il mène un diagnostic précis des systèmes d’information concernés, qu’il ajuste votre cyberscore et qu’il définisse un plan d’action plan de sécurisation cohérent et pragmatique en fonction de vos enjeux et des menaces qui pèsent sur vos systèmes : votre cyberobjectif.

Il vous accompagnera tout au long du projet.

MISE EN ŒUVRE

Un ou plusieurs prestataires de maîtrise d’œuvre prennent le relais (prestataires terrains) pour mettre en œuvre les différentes actions identifiées. Vous pourrez commander les prestations nécessaires sur des catalogues accessibles (centrales d’achat), via des demandes de devis ou via la publication d’appels d’offre. Le prestataire accompagnateur vous conseillera sur les démarches.

SUIVI ITÉRATIF

À chaque étape de mise en œuvre du plan de sécurisation, le prestataire accompagnateur vous guidera dans la validation des objectifs de votre parcours.

Quels types de parcours de cybersécurité sont proposés ?

Plusieurs parcours cybersécurité ont été conçus pour répondre aux enjeux et aux besoins de chaque organisation :
  • Parcours fondation pour amorcer une démarche de sécurisation : adapté aux organisations disposant de ressources limitées (humaines, financières et techniques).
  • Parcours intermédiaire pour se préparer à agir : adapté aux organisations qui souhaitent recruter un référent en cybersécurité ou qui disposent en interne d’un référent junior à faire monter en compétence.
  • Parcours avancé pour prendre les devants : adapté aux organisations qui disposent en interne et à temps plein d’un spécialiste en cybersécurité (RSSI par exemple).
  • Parcours renforcé pour prendre une longueur d’avance : adapté aux organisations opérant un service de niveau comparable à celui d’un système d’information essentiel ou vital.

Chaque parcours s’articule autour de six thèmes adaptés, qui sont déclinés en fonction des enjeux et aux menaces de chaque organisation :

  • Thème 1 : Mon organisation a une politique SSI
  • Thème 2 : Je connais mon SI et ses vulnérabilités
  • Thème 3 : Je maîtrise les accès à mon SI
  • Thème 4 : J’ai sécurisé mes outils de travail
  • Thème 5 : Mon réseau est protégé
  • Thème 6 : Les enjeux SSI sont intégrés à ma politique d’administration

Le parcours cybersécurité sera-t-il mis en œuvre malgré la situation sanitaire ?

Oui. Conçu pour se faire majoritairement à distance, il permettra le respect des consignes sanitaires.

Dispositif de sécurisation : appels à projet

Que sont les appels à projets ?

Les appels à projets sont une offre de service proposée aux ministères et à certaines collectivités territoriales par l’Agence nationale de la sécurité des systèmes d’information dans le cadre de France Relance. Son objectif ? Cofinancer des projets de sécurisation de systèmes d’information dont le niveau de sécurité est avancé.

Qui peut bénéficier des appels à projet ?

Les appels à projets sont destinés aux organisations dont le niveau de maturité en matière de cybersécurité est suffisamment avancé pour sortir du cadre des parcours cybersécurité.
  1. CANDIDATURE
    Vous souhaitez répondre à un appel à projets ? Contactez votre référent ANSSI (le délégué territorial) ou le FSSI de votre ministère de tutelle, selon votre situation.
  2. ÉLIGIBILITÉ
    Les projets doivent être proposés par la chaîne SSI de l’organisation et doivent s’intégrer dans un schéma global de sécurisation du système d’information.

    Les justificatifs suivants devront être fournis :
    Pour un projet en phase de cadrage : la stratégie d’homologation précisant les parties prenantes, le référentiel réglementaire auquel le projet devra répondre, les besoins fonctionnels, le type d’hébergement envisagé, les éventuelles sous-traitances, le calendrier prévisionnel et le budget envisagé.
    Pour un projet en phase de lancement : en complément des éléments ci-dessus, l’analyse de risques, la description générale de l’architecture technique envisagée, le cas échéant, les CCAP, le CCTP et les rapports d’audit de sécurité.
    Pour un projet relatif à un système d’information déjà en service : l’ensemble des pièces du dossier d’homologation (dont l’analyse de risques, les procédures d’exploitation de la sécurité, les rapports d’audit, le plan d’amélioration continu de la sécurité, l’avis de la commission d’homologation).

  3. SÉLECTION
    Un comité de sélection, présidé par le directeur général de l’ANSSI, réunissant les représentants des porteurs de projet et des experts de l’ANSSI se réunira pour sélectionner les projets retenus.

Quels sont les critères d’éligibilité et de sélection pour un projet?

Un projet soumis devra répondre à plusieurs critères :
  • sécurité : le projet doit permettre d’élever le niveau de cybersécurité du système d’information.
  • Critère de portée : la portée du projet sera appréciée (nombre d’agents ou de bénéficiaires concernés, caractère transposable ou transverse).
  • maturité : les contraintes calendaires portant sur le projet imposent de retenir des projets courts ou suffisamment avancés.
  • maîtrise budgétaire.

Quand déposer une candidature pour soumettre un projet ?

Deux campagnes annuelles sont prévues en 2021 et 2022.

2021

  • La phase expérimentale a débuté en décembre 2020.
  • La seconde campagne débutera en juin 2021.

2022

  • Candidature en novembre 2021pour la première campagne
  • Candidature en juin 2022 pour la seconde campagne

Comment soumettre un projet ?

Vous souhaitez proposer un projet et bénéficier de cette offre ? Contactez votre référent ANSSI (le délégué territorial) ou le FSSI de votre ministère de tutelle, selon votre situation.

Votre candidature est retenue. Comment recevoir le financement ?

Si votre entité est sous tutelle d’un ministère, les fonds seront disponibles par délégation de gestion d’une UO sur le programme budgétaire adapté.
Pour les collectivités territoriales, les fonds seront alloués via des subventions dont les modalités restent à définir.

Création de CSIRT régionaux

Qu’est-ce qu’un CSIRT régional ?

Un CSIRT régional (Computer Security Incident Response Team) est un centre de réponse d’urgence aux incidents cyber au profit des entités de taille intermédiaire (collectivités et structures du tissu économique local).
Ces centres de réponse d’urgence traitent les demandes d’assistance des acteurs de taille intermédiaire (ex : PME, ETI, collectivités territoriales de plus de 5000 habitants et associations de dimension nationale) et les mettent en relation avec des partenaires de proximité : prestataires et partenaires étatiques.

CERT vs CSIRT ? Quelle différence ?

« CERT » (Computer Emergency Response Team) et « CSIRT » sont des termes synonymes.
La différence ? « CERT » est une marque déposée par une université américaine.
L’ANSSI reprend donc le terme générique de CSIRT.

Quelles sont les missions d’un CSIRT ?

Les missions d’un CSIRT visent à  :
  • Centraliser les déclarations d’incidents cyber (tout dysfonctionnement d’un système d’information d’origine malveillante).
  • Qualifier les incidents et transmettre les premiers bons réflexes aux bénéficiaires.
  • Mettre en relation l’entité victime avec les organisations en charge de l’accompagner dans la résolution de l’incident :
    • prestataires de réponse à incident en charge d’analyser la situation et de restaurer le système d’information ;
    • services de police et de gendarmerie en charge du traitement judiciaire de l’incident.
  • Anticiper :
    • Veiller les vulnérabilités et les correctifs de sécurité publiés par les autorités et éditeurs de logiciels ;
    • analyser l’état de la menace cyber ciblant ses bénéficiaires ;
    • partager ses connaissances techniques sur l’état de la menace au sein des réseaux des CSIRT.
  • Sensibiliser et former les bénéficiaires :
    • partager les bonnes pratiques de cybersécurité ;
    • accompagner la formation des bénéficiaires.

Comment créer un CSIRT régional ?

L’ANSSI conçoit un programme d’incubation pour accompagner les entités volontaires dans la création et le développement de centres de réponse d’urgence aux incidents cyber.

Ce programme, d’une durée de quatre mois, permettra aux bénéficiaires volontaires de :

  • rédiger la charte d’utilisation et de fonctionnement du CSIRT (RFC 2350) ;
  • concevoir une feuille de route de mise en œuvre (sur la base du référentiel SIM3).

À l’issue du programme d’incubation, les entités volontaires auront conçu une feuille de route concrète leur permettant de créer puis de développer un centre de réponse d’urgence aux incidents cyber.

Via ce programme d’incubation, les volontaires bénéficieront de modules pédagogiques dispensés par des experts de l’ANSSI (qualification et tri des incidents, communication de crise cyber, le judiciaire, le recrutement, etc.)

  1. PROGRAMME D’INCUBATION
    Une démarche pour créer un centre régional de réponse d’urgence aux incidents cyber incubé par l’Agence nationale de la sécurité des systèmes d’information.
    Ce programme d’incubation de quatre mois comprend un accompagnement méthodologique de l’ANSSI, ainsi qu’un soutien financier via les fonds du plan de relance.
    Objectif : faire que ces CSIRT territoriaux répondent de manière pertinente et efficace aux besoins identifiés, tout en s’intégrant pleinement à l’écosystème territorial et national.
  2. MISE EN RÉSEAU
    Ces nouveaux CSIRT pourront intégrer dès 2022 l’InterCERT-FR, qui réunit de nombreux CSIRT français, au sein d’une communauté de CSIRT régionaux.

Pourquoi créer un CSIRT à l’échelle régionale ?

La dématérialisation engagée par l’ensemble des acteurs et accélérée par la crise sanitaire participe à la profonde transformation numérique de la société. Mais elle s’accompagne aussi de l’essor des menaces cyber, désormais permanentes et capables de désorganiser de nombreuses structures privées comme publiques, petites comme grandes à l’échelle régionale. En 2020, l’ANSSI constate une augmentation importante des cyberattaques ciblant les collectivités et les établissements de taille intermédiaire.
La création de CSIRT régionaux permettra d’accompagner les entités de taille intermédiaire en cas de cyberattaque et donc de renforcer le dispositif national de réponse à incident.

Plusieurs structures ont été créées par l’État pour accompagner les organisations victimes de cyberattaques :

  • Les particuliers, TPE et collectivités de moins de 5 000 habitants et associations locales sont invités à déclarer leurs incidents sur la plateforme Cybermalveillance.gouv.fr pour être mis en relation automatiquement avec des prestataires de proximité.
  • Les acteurs étatiques, OIV/OSE, métropoles, départements et régions déclarent leurs incidents à l’ANSSI avant d’être accompagnés par les équipes de l’agence ;
  • Les acteurs de taille intermédiaire (PME, ETI, collectivités territoriales de plus de 5 000 habitants, intercommunalités et associations de dimension nationale) demeurent hors du cœur de cible du CERT-FR et de Cybermalveillance.gouv.fr mais attendent une réponse et un suivi personnalisés en cas d’incident.

Le maillage de CSIRT français sera l’un des piliers de la cyber-résilience nationale.

Pourquoi investir dans un CSIRT régional ?

L’offre de service en matière de réponse à incidents, ainsi que l’écosystème des CSIRT se développent et se structurent pour faire face à une menace croissante.
Cette offre de service proposée par l’ANSSI dans le cadre du plan France Relance est l’occasion pour les régions de proposer une réponse de proximité répondant à faible coût aux acteurs de taille intermédiaire (collectivités, associations, ETI) présents sur son territoire.

Pour être pérenne, un CSIRT doit pouvoir s’autofinancer à terme.
Les fonds du plan de relance visent à soutenir la création de ces CSIRT territoriaux et à accompagner leur fonctionnement durant les deux premières années d’existence.
Ces centres ont vocation à offrir un service pérenne à leurs bénéficiaires. Plusieurs solutions existent pour permettre à ces CSIRT d’atteindre l’équilibre financier : cotisation des membres, abonnements à des services de partage d’information sur la menace, formations adaptées, subventions nationales ou européennes, partenariats, etc. Chaque CSIRT construira son modèle économique.

Quel(s) service(s) doit-il proposer un CSIRT a minima?

Le CSIRT doit répondre aux besoins prioritaires des bénéficiaires à savoir l’accompagnement personnalisé en cas de cyberattaque : délimiter et comprendre l’incident, préparer le dossier d’incident cyber à transmettre à un prestataire de réponse à incident.

Peut-on créer un CSIRT minimaliste et le faire croître a posteriori ?

Oui. Il est tout à fait possible de faire croître progressivement les missions d’un centre de réponse d’urgence aux incidents cyber.
  • Étape 1 : Centraliser les déclarations d’incidents cyber.
  • Étape 2 : Accompagner les victimes de cyberattaque (traitement des incidents et des alertes et préparation d’un dossier d’incident à transmettre au prestataire).
  • Étape 3. Coopérer avec les réseaux des CSIRT, les partenaires étatiques.
  • Étape 4. Anticiper en faisant de la veille de vulnérabilités et de correctifs de sécurité et analyser l’état de la menace cyber.
  • Étape 5 : Sensibiliser et former les bénéficiaires.

Quelle est la taille minimale d’un CSIRT ? Quelles compétences minimales sont-elles attendues ?

À son lancement, un centre de réponse d’urgence aux incidents cyber peut réunir trois à quatre analystes dont deux jeunes diplômés.

Où trouver les compétences en vue de recruter les équipes ?

En 2017, l’ANSSI a lancé le label SecNumedu destiné aux formations initiales en cybersécurité de l’enseignement supérieur.
Ce label apporte la garantie aux employeurs qu’une formation dans le domaine de la sécurité du numérique répond à une charte et des critères définis par l’ANSSI en collaboration avec les acteurs et professionnels du domaine.
En 2020, on compte plus de 60 formations initiales labellisées SecNumedu, réparties sur tout le territoire.

Quel sera l’accompagnement de l’ANSSI, à court, moyen et long terme ?

Court terme : accompagnement méthodologique (programme d’incubation) et financier de l’ANSSI via le plan France Relance.
Moyen terme : adhésion des CSIRT régionaux volontaires à l’InterCERT-FR et création, en son sein, d’une communauté de CSIRT régionaux
Long terme : coopération renforcée entre les CSIRT régionaux et l’ANSSI via le CERT-FR.

Qui pourra bénéficier de cette offre ? Quels seront les critères de sélection ?

Seules les régions, via les conseils régionaux, pourront bénéficier de cette offre.
Les critères de sélection  :
  • le portage du projet par le conseil régional ;
  • le périmètre obligatoirement régional du CSIRT.

Le CSIRT doit-il être obligatoirement soutenu par le conseil régional ?

Oui. Pour bénéficier du volet cybersécurité du plan France Relance, le projet de création de CSIRT doit être porté par la région.
La région désignera le projet de son choix.

Quel est le processus de candidature ?

Un appel à manifestation d’intérêt par courrier sera envoyé par l’ANSSI à tous les présidents des conseils régionaux en février 2021. Ils pourront manifester en retour leur intérêt pour ce dispositif.

Quand se tiendra la session d’incubation ? Y aura-t-il plusieurs sessions ?

Un premier programme d’incubation se tiendra de septembre à décembre 2021.
L’agence pourra accompagner jusqu’à sept projets durant cette session. D’autres sessions seront organisées en 2022.

Quelle sera la somme consacrée à la création de CSIRT régionaux ? Quelle sera la somme attribuée aux régions pour la conception d’un CSIRT ?

Les projets retenus pourront être financés à hauteur d’un million d’euros.
Les modalités de subvention (circuit financier et calendrier) sont en cours de définition.

Combien d’entités volontaires par session  d’incubation ?

L’ANSSI envisage d’incuber sept projets de création de CSIRT en 2021.

Un visa sera-t-il attribué aux CSIRT à l’issue du programme d’incubation ?

L’ANSSI ne délivrera pas de visa à l’issue du programme d’incubation. L’agence définit actuellement les modalités de promotion et de valorisation des projets incubés. Elles seront transmises aux intéressés.

Existe-t-il déjà des CSIRT régionaux ?

Dès octobre 2020, la région Sud Provence Alpes Côte d’Azur a inauguré, en présence de l’ANSSI, un premier centre de veille et d’alerte régional.
Ce projet a été lancé en cohérence avec la feuille de route cyber adoptée par le conseil régional. Conçu comme un prototype initial, le C2RC (Centre de ressources régional cyber), basé à Toulon, suit une logique de croissance progressive (services proposés, bénéficiaires, dimensionnement). Les équipes en charge du projet bénéficient du soutien de l’ANSSI pour progressivement préfigurer en 2021 ce que sera un CSIRT régional.