Publicité en cours de chargement...

Publicité en cours de chargement...

Des CSIRT en région : avec quels moyens RH ?

01 fév. 2022 - 09:52,
Tribune - Cédric Cartau
Dans un communiqué du 11 janvier dernier[1], l’Anssi annonce avoir signé des conventions avec sept régions pour la création de CSIRT : Computer Security Incident Response Teams ou équipes de réponse à incident cyber.      

Le modèle qui est derrière cette annonce est facile à comprendre : quand une grande entreprise ou une administration subit une attaque cyber, l’Anssi dépêche sur place des équipes spécialisées dans la remédiation, comme on a pu le voir avec TV5 Monde, Saint-Gobain, le CHU de Rouen, etc. Le gros souci, c’est que ce modèle centralisé n’est pas viable : avec 400 et quelques agents, l’Anssi ne peut matériellement pas être présente sur tous les théâtres d’opération, surtout dans un contexte ou, rien que dans le monde de la santé, un établissement est attaqué chaque semaine. Dont acte.

La démultiplication des forces de terrain est donc logique, d’où l’annonce de l’Anssi, et on ne va pas bouder l’arrivée de moyens dans la cyber. Il reste tout de même quelques interrogations.

Tout d’abord, avec quelle mission ? Ces dernières semaines a déferlé une avalanche de faux messages de la Police nationale (mails envoyés depuis un compte Gmail bidon, mais très bien rédigés avec le logo de l’État et tout et tout) sommant le destinataire de payer une amende pour visionnage de contenus pédopornographiques : les RSSI des grosses structures filtrent les mails et passent du temps à mettre à jour les listes noires de leur antispam, mais qu’en est-il des toutes petites structures privées ou publiques qui n’ont pas de RSSI interne à disposition ? Le standard téléphonique de ces CSIRT va vite saturer sans relais de troisième niveau sur le terrain. Il va falloir être plus que prudent sur le catalogue de services…

Ensuite, quelle articulation sera mise en place avec les ressources existantes, publiques ou privées ? J’ai eu récemment une discussion assez étrange avec un assureur qui m’expliquait l’évolution des services de son offre cyber. Plutôt que d’assurer le risque cyber (les compagnies prennent trop de bouillon en ce moment), la société en question réoriente ses contrats pour proposer une assistance en cas d’attaque. Traduction dans le monde de l’assurance de votre maison contre l’incendie, on ne vous remboursera plus votre baraque si elle crame, on vous enverra par contre des pompiers avec un joli camion tout rouge pour éteindre les flammes (je suis le seul à trouver cela étrange ?). On va finir par avoir plus de gars pour nous aider à éteindre l’incendie que de compétences pour rendre le bâtiment conceptuellement résistant… J’ai dû rater un truc dans la logique générale, si quelqu’un peut m’expliquer, je suis preneur.

Ensuite, le communiqué fait référence à des sessions de formation de quatre mois pour une mise en œuvre opérationnelle des premiers CSIRT en 2022, en plus d’une enveloppe de 1 million d’euros pour les régions volontaires. On n’ose imaginer que l’Anssi puisse affirmer qu’en quatre mois il est possible de former un expert SSI – ce n’est certainement pas le cas. Ces quatre mois sont donc a priori destinés à former des personnels au fonctionnement d’un CSIRT, ce qui suppose de disposer déjà d’experts cyber, et pas le petit jeune qui a juste fait un stage de troisième sur le sujet. Quand on sait les tensions sur le marché de l’emploi dans le domaine, ça va être chaud chaud chaud de trouver des compétences de bon niveau sur tout le territoire, d’autant qu’il va y avoir des contraintes de grilles salariales (la Région pilote, donc on est sur des contrats encadrés par des statuts) qui vont être difficiles à tenir.

J’ai eu dernièrement une discussion très intéressante avec le directeur d’une école d’ingénieurs formant des experts cyber, et qui connaît parfaitement aussi bien les besoins sur le territoire (c’est son job) que l’état de la concurrence en matière de personnes formées chaque année (c’est aussi son job). Bon, je vous fais la version courte : si aucun nouveau besoin n’apparaît, si aucun expert cyber existant ne quitte le secteur ou le pays, ne se tue en voiture ou part à la retraite, si tous les experts cyber fraîchement diplômés prennent effectivement un job dans la cyber et en France (cela en fait des « si »), il faudra environ dix ans pour pourvoir tous les postes. Si vous ajoutez à cela la réserve cyber citoyenne et les 1 500 cyber-combattants récemment annoncés par l’Armée, va falloir développer dare-dare les programmes de clonage humain.

La situation n’est certes pas particulière à la France (tous les pays sont dans le même état), mais en même temps les problèmes des autres pays ne sont pas les nôtres : depuis plus de dix ans l’ensemble des experts du secteur alertent sur le manque criant de formation, sachant qu’il faut au bas mot cinq ans pour former un expert. Tous les projets à l’échelon national ou régional se heurteront, d’une manière ou d’une autre, au problème RH.


[1]   https://www.ssi.gouv.fr/uploads/2022/01/anssi-communique_presse-csirt_regions.pdf 

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Certification des établissements de santé : démarrage du 6ᵉ cycle au 1er septembre 2025

Certification des établissements de santé : démarrage du 6ᵉ cycle au 1er septembre 2025

05 sept. 2025 - 11:39,

Actualité

- DSIH

Depuis le 1er septembre 2025, la Haute Autorité de santé (HAS) a officiellement lancé le sixième cycle de certification (2025-2030) des établissements de santé. Ce dispositif, renouvelé tous les quatre ans, constitue un levier majeur d’évaluation de la qualité et de la sécurité des soins dans les st...

Illustration IA et santé : la FHF publie un livre blanc stratégique pour structurer l’innovation

IA et santé : la FHF publie un livre blanc stratégique pour structurer l’innovation

05 sept. 2025 - 11:15,

Actualité

- DSIH

Le 3 septembre 2025, la Fédération Hospitalière de France (FHF) a dévoilé son livre blanc « L’IA en santé : qui est le maître ? – Ambitions et perspectives ». Ce document analyse les usages actuels de l’intelligence artificielle dans les établissements publics et propose une feuille de route pour un...

PSSI et Care D2 : suite de la réflexion sur la question de la signature

01 sept. 2025 - 22:56,

Tribune

-
Cédric Cartau

Dans le prolongement du précédent article(1) , intéressons-nous maintenant à un sujet qui déclenche souvent pas mal de débats : qui doit signer la PSSI ? Et d’ailleurs, doit-elle être signée ?

Illustration L’IA au service des soignants et des patients à l’hôpital Foch

L’IA au service des soignants et des patients à l’hôpital Foch

01 sept. 2025 - 22:24,

Actualité

- Damien Dubois, DSIH

L’hôpital Foch continue sa transformation et intègre l’IA de manière concrète et progressive au sein de ses différents services, en partenariat avec des start-up et des acteurs clés du secteur.

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.