Signalements du CERT-FR


Cette page est destinée à expliciter les signalements effectués par l’ANSSI auprès des différentes entités françaises.
Un signalement peut concerner :

  • la présence d’une vulnérabilité sur un système de l’entité notifiée ;
  • des informations relatives à un incident de sécurité affectant l’entité notifiée.

Pour information, dans le cadre de l’article L2321-4 du Code de la défense, vous pouvez également contacter l’ANSSI pour qu’elle relaie une situation anormale auprès de l’entité concernée sans vous désigner.

Entités concernées

Toutes les entités françaises peuvent faire l’objet d’un signalement, quelle que soit leur nature (de l’administration centrale et l’OIV à la TPE).
Des entreprises étrangères ayant un rôle notable sur le territoire français peuvent également faire l’objet d’un tel signalement.
L’ANSSI filtre et priorise les signalements qu’elle effectue en fonction de l’importance de l’entité concernée, l’urgence associée au signalement, la précision des informations, la complexité des actions à entreprendre et la charge opérationnelle.

Informations transmises

L’ANSSI vous transmet l’ensemble des éléments dont elle dispose et est en mesure de communiquer. Elle est consciente que certains signalements sont parfois très limités en information.
L’ANSSI ne communiquera généralement pas l’origine de cette information.
A titre d’information, les sources possibles de signalement peuvent être :

  • un scan de recherche de vulnérabilité effectué par l’ANSSI ;
  • une remontée d’informations par un tiers (tel que prévu dans l’article L2321-4 du Code de la défense) ;
  • des éléments identifiés dans le cadre d’investigations menées lors d’une réponse à incident ;
  • des échanges entre CERT nationaux et internationaux.

Qualité des informations

Dans le cas d’un signalement de vulnérabilité, l’ANSSI s’efforce de vérifier si elle est présente sur le système (généralement exposé sur Internet) avant d’effectuer une notification. Les signalements sont donc basés sur des constats factuels et nécessitent une prise en compte sérieuse et rapide afin de limiter les risques de compromission.
Dans le cas des informations relatives aux incidents de sécurité, l’ANSSI évalue la vraisemblance de cet incident à partir de la nature des éléments reçus. Celui-ci peut être certain, vraisemblable ou incertain.

Faciliter la prise de contact

Pour les organisations pour lesquels l’ANSSI maintient déjà des échanges réguliers, elle utilisera en priorité les contacts préétablis.
Afin de faciliter la prise de contact, l’ANSSI vous recommande de spécifier les coordonnées courriel et/ou téléphoniques à utiliser parmi les méthodes suivantes :

  • utilisation d’une page web « .well-known/security.txt » sur votre site web (plus d’informations sur le site securitytxt.org) ;
  • ajout d’un contact dédié sur une page parmi « Nous contacter » ou « Mentions légales » ;
  • ajout d’un contact dans les enregistrements Whois.

L’ANSSI préconise l’utilisation d’adresses génériques qui resteront valides malgré la rotation des équipes, et répartiront les prises en charge des signalements malgré les absences des uns ou des autres.

Communication du signalement

Méthode de notification

Selon les contacts que l’ANSSI a pu obtenir, l’ANSSI vous contactera en priorité par courriel (depuis une adresse en @ssi.gouv.fr) puis par téléphone.
Dans les cas les plus complexes, l’ANSSI est également susceptible de vous contacter via message privé sur:

 

Vérification de l’identité de l’ANSSI

L’ANSSI tient à rappeler qu’elle est également sujette à l’usurpation d’identité. Il est donc important que vous vérifiiez que l’origine de la communication correspond bien à une des coordonnées mentionnées ci-dessus.
Dans le cas d’un signalement par téléphone, il est possible de vérifier l’identité en :

  • demandant la transmission d’un courriel ;
  • vérifiant l’identité de l’appelant et le numéro de ticket transmis en rappelant le CERT-FR (page contact).

 

Sécurité des communications

Les informations transmises dans le cadre d’un signalement peuvent être sensibles et doivent être manipulées avec précaution.
Celles-ci peuvent en effet indiquer à un attaquant que celui-ci a été repéré et l’amener à prendre des actions visant à effacer ses traces, modifier ses méthodes ou accélérer la destruction du système d’information.
Un marquage spécifique détaille les règles d’usage et de diffusion à appliquer sur les informations transmises (voir politique associée).
Dans les cas potentiellement sensibles, l’ANSSI privilégie les signalements par téléphone ou par courriel contenant une pièce jointe chiffrée avec ZED ou GPG. Si la page « .well-known/security.txt » précise une clef GPG, celle-ci sera privilégiée.

Actions attendues

Signalement d’une vulnérabilité

Dans la plupart des cas l’ANSSI souhaite un retour sur les actions de correction de la vulnérabilité. Elle pourra vérifier régulièrement si celle-ci est encore présente.
Il peut néanmoins arriver que l’ANSSI émette des signalements indiquant explicitement qu’aucun retour n’est attendu, pour lesquels un simple accusé réception suffit.

Signalement d’un incident

Dans le cas des signalements incertains, l’ANSSI souhaite un retour sur les vérifications effectuées et le résultat obtenu afin d’ajuster au mieux ces futurs signalements. Un retour au signalant peut également être effectué.
En cas d’incident avéré, nous vous préconisons de vous reporter à la page En cas d’incident.
Selon la nature de votre entité et de la menace, nous pourrons vous accompagner dans la réponse à incident, vous proposer des outils pour vous aider à mieux qualifier la compromission, ou vous préconiser de recourir à un tiers (voir page En Cas d’Incident).