Publicité en cours de chargement...
Des CSIRT en région : avec quels moyens RH ?
Le modèle qui est derrière cette annonce est facile à comprendre : quand une grande entreprise ou une administration subit une attaque cyber, l’Anssi dépêche sur place des équipes spécialisées dans la remédiation, comme on a pu le voir avec TV5 Monde, Saint-Gobain, le CHU de Rouen, etc. Le gros souci, c’est que ce modèle centralisé n’est pas viable : avec 400 et quelques agents, l’Anssi ne peut matériellement pas être présente sur tous les théâtres d’opération, surtout dans un contexte ou, rien que dans le monde de la santé, un établissement est attaqué chaque semaine. Dont acte.
La démultiplication des forces de terrain est donc logique, d’où l’annonce de l’Anssi, et on ne va pas bouder l’arrivée de moyens dans la cyber. Il reste tout de même quelques interrogations.
Tout d’abord, avec quelle mission ? Ces dernières semaines a déferlé une avalanche de faux messages de la Police nationale (mails envoyés depuis un compte Gmail bidon, mais très bien rédigés avec le logo de l’État et tout et tout) sommant le destinataire de payer une amende pour visionnage de contenus pédopornographiques : les RSSI des grosses structures filtrent les mails et passent du temps à mettre à jour les listes noires de leur antispam, mais qu’en est-il des toutes petites structures privées ou publiques qui n’ont pas de RSSI interne à disposition ? Le standard téléphonique de ces CSIRT va vite saturer sans relais de troisième niveau sur le terrain. Il va falloir être plus que prudent sur le catalogue de services…
Ensuite, quelle articulation sera mise en place avec les ressources existantes, publiques ou privées ? J’ai eu récemment une discussion assez étrange avec un assureur qui m’expliquait l’évolution des services de son offre cyber. Plutôt que d’assurer le risque cyber (les compagnies prennent trop de bouillon en ce moment), la société en question réoriente ses contrats pour proposer une assistance en cas d’attaque. Traduction dans le monde de l’assurance de votre maison contre l’incendie, on ne vous remboursera plus votre baraque si elle crame, on vous enverra par contre des pompiers avec un joli camion tout rouge pour éteindre les flammes (je suis le seul à trouver cela étrange ?). On va finir par avoir plus de gars pour nous aider à éteindre l’incendie que de compétences pour rendre le bâtiment conceptuellement résistant… J’ai dû rater un truc dans la logique générale, si quelqu’un peut m’expliquer, je suis preneur.
Ensuite, le communiqué fait référence à des sessions de formation de quatre mois pour une mise en œuvre opérationnelle des premiers CSIRT en 2022, en plus d’une enveloppe de 1 million d’euros pour les régions volontaires. On n’ose imaginer que l’Anssi puisse affirmer qu’en quatre mois il est possible de former un expert SSI – ce n’est certainement pas le cas. Ces quatre mois sont donc a priori destinés à former des personnels au fonctionnement d’un CSIRT, ce qui suppose de disposer déjà d’experts cyber, et pas le petit jeune qui a juste fait un stage de troisième sur le sujet. Quand on sait les tensions sur le marché de l’emploi dans le domaine, ça va être chaud chaud chaud de trouver des compétences de bon niveau sur tout le territoire, d’autant qu’il va y avoir des contraintes de grilles salariales (la Région pilote, donc on est sur des contrats encadrés par des statuts) qui vont être difficiles à tenir.
J’ai eu dernièrement une discussion très intéressante avec le directeur d’une école d’ingénieurs formant des experts cyber, et qui connaît parfaitement aussi bien les besoins sur le territoire (c’est son job) que l’état de la concurrence en matière de personnes formées chaque année (c’est aussi son job). Bon, je vous fais la version courte : si aucun nouveau besoin n’apparaît, si aucun expert cyber existant ne quitte le secteur ou le pays, ne se tue en voiture ou part à la retraite, si tous les experts cyber fraîchement diplômés prennent effectivement un job dans la cyber et en France (cela en fait des « si »), il faudra environ dix ans pour pourvoir tous les postes. Si vous ajoutez à cela la réserve cyber citoyenne et les 1 500 cyber-combattants récemment annoncés par l’Armée, va falloir développer dare-dare les programmes de clonage humain.
La situation n’est certes pas particulière à la France (tous les pays sont dans le même état), mais en même temps les problèmes des autres pays ne sont pas les nôtres : depuis plus de dix ans l’ensemble des experts du secteur alertent sur le manque criant de formation, sachant qu’il faut au bas mot cinq ans pour former un expert. Tous les projets à l’échelon national ou régional se heurteront, d’une manière ou d’une autre, au problème RH.
[1] https://www.ssi.gouv.fr/uploads/2022/01/anssi-communique_presse-csirt_regions.pdf
Avez-vous apprécié ce contenu ?
A lire également.

La cyber et les probabilités paresseuses
26 mai 2025 - 21:29,
Tribune
-Récemment, j’ai assisté à la conférence d’un entrepreneur qui propose des prestations de service relatives à des « calculs d’impact ». Oui, dit comme cela, c’est étrange, mais en fait pas autant qu’il y paraît : dans l’idée, si vous disposez d’un budget fixe, entre deux choix de projets cyber (par e...

Cybersécurité, simuler pour protéger : la force des formations immersives
19 mai 2025 - 23:41,
Tribune
-Dans un secteur aussi sensible que celui de la santé, la cybersécurité et la cyber résilience sont prioritaires. Les séquences immersives intégrées dans les formations à la cybersécurité jouent un rôle essentiel pour préparer les professionnels à faire face aux menaces. Ces approches pédagogiques re...

La cyber, les rillettes et les puces en 5 minutes
19 mai 2025 - 23:24,
Tribune
-C’est ce que je trouve bien dans la cyber : la discipline est au carrefour des possibles, et il ne faut pas bien longtemps pour tordre une nouvelle ou un article glanés çà ou là avant de les cyber-retourner, souvent avec la mauvaise foi qui me caractérise, j’en conviens. Exercice en live.

Cybersécurité hospitalière : le GHT Rhône Nord Beaujolais Dombes, premier lauréat du programme CaRE
09 mai 2025 - 16:39,
Actualité
- DSIHLe programme CaRE franchit une étape clé. Moins d’un an après le lancement de son premier appel à financement dédié à la sécurisation des annuaires techniques et de l’exposition sur Internet, la direction du programme annonce la validation du premier dossier ayant atteint l’ensemble des objectifs fi...