Toi, aussi, en ce moi de juillet, tu te demandes ce qui a été dit concernant le rôle et l’avenir des CSIRTs durant la séance du 15 juillet 2025 de la commission spéciale de l’Assemblée nationale chargée du projet de loi sur la résilience des infrastructures critiques et le renforcement de la cybersécurité ?
Messieurs les députés Philippe Latombe (Président) et Eric bothorel (Rapporteur général) et Madame la députée Anne Le Hénanff (Rapporteure) recevaient Vincent Strubel, Directeur Général de l’ANSSI – Agence nationale de la sécurité des systèmes d’information.
La vidéo complète est disponible sur l’excellente plateforme vidéo de l’Assemblée Nationale. Je vous ai fait un découpage / transcription thématique de 10 minutes sur le sujet des CSIRTs.
En voici la transcription (si tu es dans les transports en communs ou le TGV, sur la plage, ou qu’il est tôt ou tard 🙂 ) (seul le parlé fait foi)) :
Eric BOTHOREL (Rapporteur général) : « Dans la revue nationale stratégique 2025 qui vient d’être publiée, on trouve la proposition d’accompagnement, par des financements d’amorçage au profit des secteurs et acteurs les plus vulnérables et les plus critiques pour le fonctionnement de la nation. Les CSIRTs devront être pérennisés et renforcés : est-ce inscrit dans vos orientations budgétaires ? »
Vincent STRUBEL (DG ANSSI) : « Vous nous avez posé la question des financements (…) évidemment, tout cela va demander des financements, je ne m’avancerai pas sur ce plan-là, qui fait d’ailleurs l’objet, en ce moment même, d’un discours du Premier ministre, et je pense que c’est à lui qu’il appartient de donner ces orientations-là. Mais, de fait, il y a un souhait avéré, dans la revue stratégique, de pérenniser, par exemple, les CSIRTs, dans une logique de co-financement plutôt que de financement intégral, puisque finalement c’est ça qui semble se dessiner, comme juste point d’équilibre, mais à travers cette revue se confirme ce que je pense vous avoir dit ici, c’est-à-dire que ces CSIRTs sont devenus des relais précieux, des appuis, qui interviennent dans un champ connexe à celui de l’ANSSI, qui apportent une aide précieuse aux victimes, qui dans certains, et en gardant une liberté d’organisation et de positionnement, choisissent de s’intégrer dans d’autres dispositifs d’accompagnement qui sont ceux mis en œuvre par les régions dans le cadre du développement économique, et qui donc aujourd’hui sont des acteurs précieux, pas les seuls, mais des acteurs importants pour la mise en œuvre de ce passage à l’échelle que nous appelons tous de nos vœux. »
Anne LE HENANFF (Rapporteure) : « L’articulation des compétences entre les CSIRTs et le GIP ACYMA, cela renvoie à une question qui dépasse le strict cadre du projet de loi, mais qui se posera néanmoins après promulgation de la loi : qui fait quoi ? Jusqu’à ce jour, cela n’est pas clair de mon point de vue, d’autant que les CSIRTs et CERTs sont mentionnés dans le projet de loi, alors que leur avenir financier est incertain, c’est le moins qu’on puisse dire, mais que le GIP ACYMA, lui, ne l’est pas. Quelles garanties pouvez-vous nous apporter de ce point de vue ? »
Vincent STRUBEL : « J’en viens au dernier point, mais pas des moindres, l’équilibre entre les CSIRTs et le GIP ACYMA. Alors moi, là-encore vous n’êtes pas obligée de me croire sur parole, mais je répète à chaque fois qu’ils ne sont pas redondants mais, au contraire, très complémentaires. Le GIP ACYMA, que j’ai par ailleurs l’immense honneur de présider, ne fait pas lui-même de la réponse à incidents, il organise l’aiguillage. Le GIP ACYMA ne répond pas au téléphone, il serait bien incapable, compte-tenu des moyens dont il dispose, de le faire et il n’en a pas besoin. Aujourd’hui, le GIP ACYMA (dans sa mission de réponse aux actes de cybermalveillance) oriente vers des acteurs susceptibles d’aider les victimes. Depuis le début, ce sont des prestataires privés. Donc, il y a aujourd’hui dans le périmètre des acteurs qui sont référencés par le GIP ACYMA et qui sont ceux vers lequel les victimes sont orientées à travers la plateforme cybermalveillance.gouv.fr environ 1 200 prestataires privés référencés, dont 200 sont labellisés « Expert Cyber ». S’ajoute, depuis le 17 décembre 2024, un renvoi potentiel, selon les choix là encore de la victime, vers des forces de sécurité intérieure (Police ou Gendarmerie) au travers du 17 Cyber, donc le 17 Cyber a ajouté à la panoplie des répondants les forces de l’ordre, qui sont susceptibles d’instruire un pré-dépôt de plainte ou des choses comme ça. Par ailleurs, demain, et en vertu de travaux qui ont été lancés conjointement par le GIP et par l’ANSSI, qui sont financés par l’ANSSI, s’intègreront dans cette plateforme les CSIRTs, les CSIRTs territoriaux, qui sont aussi des acteurs de la réponse. Le métier d’un CSIRT c’est de traiter, avec sa victime, les incidents, de coordonner la réponse, potentiellement là-aussi de renvoyer vers des prestataires privés, mais aussi d’avoir un échange avec la victime que n’a pas, et que ne peut pas avoir le GIP ACYMA. Donc, l’architecture qui se dessine demain, c’est : un GIP ACYMA, opérant, dans sa mission de réponse aux actes de cybermalveillance, la plateforme 17 Cyber, qui va effacer progressivement cybermalveillance.gouv.fr, pour avoir une signalétique simple et orientant, à travers cette plateforme, les victimes vers, selon leur choix, et selon leurs besoins, des prestataires privés, des CSIRTs, quand il y en a un qui est adapté au cas de la victime, et les forces de l’ordre. Donc, finalement, c’est un guichet qui renvoie vers les bons répondants, je me risquerai à l’analogie avec le SAMU, quand vous appelez le SAMU, selon les cas, il vous envoie un véhicule pour vous évacuer, il vous oriente vers la médecine de ville, il vous oriente vers les urgences, mais en vous y rendant par vos propres moyens donc, finalement, avoir une plateforme de référence qui oriente vers les moyens de réponse adaptés, je pense que c’est la bonne approche, sans vouloir, là encore, avoir une réponse unique à des besoins qui sont très très variables selon la nature des victimes, selon la nature de l’attaque ou de l’acte de cybermalveillance qu’elles connaissent. Evidemment, mais je pense que j’enfonce des portes ouvertes, le métier du GIP ACYMA ne se résume pas à la seule prise en compte des actes de cybermalveillance, mais il a énormément de travail en prévention et le GIP fait, en la matière, un travail formidable de passage des messages de sensibilisation à grande échelle et là, je pense qu’il est seul à le faire à l’échelle nationale pour ce public cible qui sont essentiellement les particuliers ou les toutes petites structures et je pense qu’il a un rôle essentiel à jouer et qu’il continuera à jouer. Sur l’avenir et le financement des CSIRTs, là-encore, au-delà du fait que, ils ont fait leurs preuves aujourd’hui, qu’il y a une volonté affirmée de trouver un modèle de cofinancement dans la revue nationale stratégique, cela renvoie à des débats budgétaires sur lesquels je ne suis pas légitime à m’exprimer aujourd’hui. »
Philippe LATOMBE (Président) : « Sur les CSIRTs, on en a parlé, la question c’est : est-ce que vous avez une idée de ce que, en financement, ça peut représenter comme effort, parce que c’est, là-aussi, quelque chose que nous, nous pouvons regarder si jamais nous avons trouvé des ressources en face (…). Vous avez exprimé la volonté de les voir perdurer, mais la plupart des acteurs nous disent que, s’il n’y a pas les financements, ils vont mourir. Et la question, c’est plutôt : est-ce qu’on les autorise à ouvrir un modèle économique qui permet de faire du co-financement, et ça, comment est-ce que vous le voyez parce que vous l’avez pas vraiment abordé sur ce point-là. »
Vincent STRUBEL : « Enfin, sur la question épineuse du financement des CSIRTs. Combien ça coûte, alors je serai prudent là-dessus, mais les financements initiaux qui ont été accordés au titre du plan de relance, l’ANSSI a versé un million d’euros à chaque CSIRT pour couvrir son fonctionnement dans une période initiale de 3 ans. Est-ce que ça peut être transposé pour dire qu’un CSIRT ça coûte 330 333 € par an, je pense que la généralisation serait un peu hâtive et couperait beaucoup de subtilités, mais c’était le fonds d’amorçage qui a permis de couvrir leur fonctionnement pendant 3 ans, dont des années d’incubation et de montée en puissance, qui ne sont pas forcément toutes révélatrices du coût récurrent. La logique de co-financement, moi je pars du principe que c’est une bonne logique, et c’est un choix qui a été fait, dès le départ, de positionner ces CSIRTs [NdT : régionaux/territoriaux] auprès des régions, et de leur laisser la liberté d’appréciation, de leur laisser le choix de créer, ou pas, un CSIRT [NdT : régional/territorial], toutes ne l’ont pas fait, d’ailleurs, parce qu’il fallait que ça vienne d’une initiative locale, le cas échéant cette initiative locale faisait l’objet d’un soutien de la part de l’ANSSI, de la part de l’Etat, et je pense que c’est une bonne logique. Mais imposer un modèle unique et son financement intégral ne me semble pas la bonne approche, compte tenu du fait que le choix de positionner les CSIRTs [NdT : régionaux/territoriaux] auprès des régions était un choix de les intégrer potentiellement dans les logiques de soutien au développement économique portées par les régions, parce que c’est une logique très complémentaire de la logique sécuritaire régalienne portée par l’Etat central. Donc, finalement, c’était les positionner au croisement de ces deux chemins et donc, ça milite plutôt pour un cofinancement mais aussi une marge d’initiative locale. Vu de l’ANSSI, ce qui importe, c’est qu’un CSIRT respecte l’interface standard d’un CSIRT, c’est-à-dire il y a un certain nombre de choses qui sont normées, qui font l’objet de normes internationales, sur le traitement de l’information, sur la diffusion de l’information, sur le fait de protéger au bon niveau l’information sensible, bon ça, c’est ce qui nous importe, d’avoir un protocole standard qui nous permet de parler à ces CSIRTs comme à n’importe quel autre CSIRT, sectoriel, territorial, peu importe. Au-delà de ça, le fait qu’ils développent des activités annexes de conseil, d’accompagnement, des modèles de financement qui peuvent être variables, j’allais dire, tant mieux, c’est, là-aussi, se donner un degré de liberté pour apprécier et s’intégrer dans des logiques locales, certains de ces CSIRTs, par exemple, s’adossent aux Campus cyber territoriaux. C’est très bien dans ce cas-là, et ça peut faire partie du modèle de financement, mais je pense que ce serait aller trop loin que d’imposer à chaque région de créer son campus territorial, de le financer, et de faire contribuer ce campus territorial au financement d’un CSIRT. Donc je pense qu’il faut se laisser une marge de manœuvre en la matière, je pense que la logique de cofinancement est la bonne, là encore, pour s’assurer que ça s’inscrit, que ça a un sens au niveau local, sans pour autant laisser les régions porter, à elles seules, la charge de ces CSIRTs [NdT : régionaux/territoriaux], qui portent une mission d’intérêt général, mais partagée avec l’Etat central. Et il faut pas non plus trop se cadrer dans les logiques de financement envisageables, du moment qu’on respecte, évidemment, la neutralité du CSIRT vis-à-vis d’autres acteurs. »
Quelques compléments :
- Extraits choisis de la Revue nationale stratégique sur le sujet : Objectif stratégique (OS) n°4 (‘Une résilience cyber de premier rang). « En outre, le déploiement de centres de réponse aux incidents (CSIRT) au sein des ministères, dans les secteurs économiques et les territoires s’est concrétisé et se poursuit : l’InterCERT France, qui réunit la plupart des CSIRT français, s’est renforcé durant cette période ; un nouveau dispositif d’accompagnement grand public, le « 17Cyber » a été déployé pour les victimes de cyberattaques. » « Ce plan reposera sur la poursuite de programmes ciblés d’accompagnement à la cybersécurité. Dans la continuité des programmes engagés, la mise en œuvre de la directive NIS 2 doit être accompagnée par des financements d’amorçage au profit des secteurs et des acteurs les plus vulnérables et les plus critiques pour le fonctionnement de la Nation. Les CSIRT devront être pérennisés et renforcés. » et « Pour garantir sa capacité à détecter, prévenir et entraver les cyberattaques, le partage d’informations techniques sur les menaces sera augmenté. Il associera en particulier les OIV, les prestataires de cybersécurité et les opérateurs de télécommunications, en s’appuyant sur les réseaux de CSIRT. »
- Le budget de l’ANSSI a diminué de 3,5 M€ de crédits de paiement (CP) en 2025 par rapport à l’année précédente.
- Les structures juridiques et l’éventuel rattachement administratif des différents CSIRTs sont variables (le GIP ACYMA est… un GIP, certains CSIRTS sont adossés à des associations, des directions ministérielles, voire sous-traités, in fine, à des acteurs privés, etc…).
- Les missions des CSIRTs sont très variées, potentiellement évolutives et fixées dans leur RFC2350 : anticipation, prévention (sensibilisation, autres), identification et suivi des vulnérabilités, cela dépasse bien souvent le simple cadre – souvent seul retenu – de la réponse à incident.
- Peut-être surprenant, mais les objectifs de niveau de maturité des CSIRTS n’est pas vraiment évoqué, alors qu’il existe un cadre pour le déterminer (SIM3).
- Certains CSIRTs s’intègrent dans des structures d’accompagnement et de montée en maturité aux vocations beaucoup plus larges.
- Certains secteurs critiques sont couverts par des instructions interministérielles qui fixent les modalités de remontée des incidents cyber, leur coordination et les intervenants (notamment l’II230/SGDSN).
J’ai hâte de lire la Stratégie nationale de cybersécurité et le budget associé.
Espérons des mesures, notamment sectorielles, claires et efficaces au profit des bénéficiaires.
