Qu’est-ce que le CERT-FR
Le CERT-FR est le CERT (Computer Emergency Response Team) ou CSIRT (Computer Security Incident Response Team) Gouvernemental et National Français et traite, sur le plan technique, les incidents de cybersécurité. Le CERT-FR est porté par la Sous-Direction Opérations de l’Agence nationale de la sécurité des systèmes d’information (ANSSI).
Les missions du CERT-FR
Les missions du CERT-FR sont les suivantes :
- Répondre aux demandes d’assistance suite aux incidents de sécurité sur les réseaux et les systèmes d’informations de ses bénéficiaires. Il traite ainsi la réception des demandes, l’analyse des symptômes des incidents, l’identification d’éventuelles corrélations avec d’autres incidents similaires et la définition de solutions de reprise après incident ;
- Traiter les alertes et réagir aux attaques informatiques. A ce titre, le CERT-FR réalise une analyse technique des attaques, participe aux échanges d’informations avec d’autres CERT et contribue à la réalisation d’études techniques spécifiques sur différents sujets de cybersécurité ;
- Détecter les attaques ciblant les systèmes d’information gouvernementaux. A ce titre, le CERT-FR opère un service permanent de supervision de la sécurité (SOC) au profit des services de l’Etat ;
- Détecter les vulnérabilités des systèmes, au travers notamment d’une veille technologique sur les produits majeurs du marché ;
- Contribuer à la prévention des attaques informatiques, en diffusant des informations sur les précautions à prendre pour réduire les risques d’incidents et minimiser leurs conséquences éventuelles ;
- Coordonner la prévention et la réponse à incidents avec les entités partenaires. La coordination des opérations permet ainsi de mobiliser, en fonction des besoins, les CERT nationaux et internationaux, les centres de compétences réseaux, les opérateurs et les fournisseurs d’accès à Internet.
Les bénéficiaires du CERT-FR
Les principaux bénéficiaires des actions menées par le CERT-FR sont :
- Les organismes publics : ministères, institutions, juridictions, autorités indépendantes, collectivités territoriales ;
- Les opérateurs d’importance vitale (OIV) : opérateurs publics ou privés qui exploitent des équipements et des installations indispensables au fonctionnement et à la survie de la nation française ;
- Les opérateurs de services essentiels (OSE) : opérateurs tributaires des réseaux ou systèmes d’information, qui fournissent un service essentiel dont l’interruption aurait un impact significatif sur le fonctionnement de l’économie ou de la société.
Même s’il fournit par le biais de son site Internet des informations accessibles à tous (liste des vulnérabilités, état de la menace informatique…), le CERT-FR n’a pas vocation à intervenir directement auprès des particuliers, des TPE et des PME.
L’accompagnement de ces publics est en effet pris en charge par le site gouvernemental cybermalveillance.gouv.fr.
Le Centre de Coordination des Crises Cyber (C4)
Lors de la publication de la revue stratégique de cyberdéfense du SGDSN en 2018, il a été recommandé de mettre en place un centre de coordination des crises cyber (C4). Cette organisation a pour objectif de mettre en commun des connaissances et des compétences en matière de cyberdéfense afin de renforcer les capacités d’anticipation et de réaction face à la menace cyber.
Le C4 est décliné en différents niveaux, dont le C4 TECHOPS qui est un organe permanent, à vocation technico-opérationnelle, permettant la coordination et la conduite des travaux opérationnels entre l’ANSSI, le COMCYBER, la DGA, la DGSI et la DGSE. Cette enceinte permet la qualification rapide et le traitement conjoint des incidents d’ampleur qui visent les intérêts français, dans le respect des prérogatives et des cadres légaux s’imposant à chacune des entités. Elle permet aussi le partage de connaissances sur les menaces stratégiques, avérées ou potentielles, à l’encontre des intérêts nationaux, et la mutualisation de certaines capacités.
Au niveau stratégique, le C4 STRAT a pour mission d’assurer l’échange d’analyses relatives aux agressions cyber, de faciliter la préparation de propositions de stratégies globales de réponse de l’État, qui sont soumises à validation du niveau politique, et de suivre leur mise en œuvre.
Les coopérations nationales et internationales
Afin de mener à bien ses activités opérationnelles, le CERT-FR est membre de plusieurs réseaux nationaux et internationaux de CERT :
- L’InterCERT France qui réunit un ensemble de CERT ayant des activités de réponse à incidents de sécurité informatique essentiellement sur le territoire français
- Le Réseau des CSIRT (EU CSIRTs Network) qui rassemble les équipes de réponse aux incidents de sécurité informatique des États membres de l’Union Européenne
- Forum of Incident Response and Security Teams (FIRST) qui regroupe au niveau international plus de 600 CSIRT publics et privés
- La Task Force on Computer Security Incident Response Teams (TF-CSIRT) qui favorise le partage d’expériences autour des travaux des équipes de réponse à incident. Les compétences du CERT-FR sont d’ailleurs reconnues depuis 2002 par la TF-CSIRT via le renouvellement régulier de son niveau d’accréditation (Trusted Introducer Level 2 / Accredited).
