Kecvn : Publication via Quaero Hub

2026-06-12T21:37:09Z

Publication via Quaero Hub

← Version précédente		Version du 12 juin 2026 à 17:37
Ligne 121 :		Ligne 121 :
	* [[Forensique numérique]]		* [[Forensique numérique]]
	* [[Responsable de la sécurité des systèmes d'information]]		* [[Responsable de la sécurité des systèmes d'information]]

			[[Catégorie:Cybersécurité]]

Kecvn : Publication via Quaero Hub

2026-06-10T13:02:04Z

Publication via Quaero Hub

Nouvelle page

Le '''CERT-FR''' (''Computer Emergency Response Team – France'') est le centre gouvernemental français de veille, d'alerte et de réponse aux incidents de [[Cybersécurité|cybersécurité]], opéré par l'[[ANSSI|Agence nationale de la sécurité des systèmes d'information]] (ANSSI). Il constitue l'équipe nationale de réponse aux urgences informatiques pour les administrations publiques, les collectivités territoriales et les opérateurs d'importance vitale en France, et représente le point de contact officiel dans les réseaux internationaux de [[CSIRT|CSIRT]] (''Computer Security Incident Response Teams'').

== Historique ==

=== Le CERTA, prédécesseur du CERT-FR (1999-2014) ===

Le CERT-FR est issu du '''CERTA''' (''Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques''), créé en 1999 au sein du Service central de la sécurité des systèmes d'information (SCSSI), lui-même rattaché au secrétariat général de la défense nationale (SGDN). Le CERTA comptait parmi les premiers centres gouvernementaux de réponse aux incidents d'Europe, fondé dans la lignée du CERT Coordination Center (CERT/CC) de l'université Carnegie Mellon, opérationnel aux États-Unis depuis 1988.

En 2009, le décret n° 2009-834 du 7 juillet 2009 crée l'[[ANSSI]], qui centralise l'ensemble des missions de cybersécurité de l'État français. Le CERTA est intégré à cette nouvelle agence et continue d'opérer sous ce nom jusqu'en 2014.

=== Renommage en CERT-FR (2014) ===

En 2014, le CERTA est officiellement renommé CERT-FR, en cohérence avec la nomenclature internationale des équipes de réponse aux incidents de sécurité. Cette transition s'accompagne d'une clarification du périmètre opérationnel : le CERT-FR se concentre sur les systèmes d'information du secteur public et des entités réglementées, tandis que l'[[ANSSI]] développe ses capacités d'accompagnement des opérateurs d'importance vitale (OIV) désignés dans le cadre de la loi de programmation militaire (LPM) du 18 décembre 2013.

== Missions ==

=== Veille sur les vulnérabilités ===

Le CERT-FR assure une veille permanente sur les [[Vulnérabilité informatique|vulnérabilités informatiques]] affectant les logiciels, systèmes d'exploitation, équipements réseau et services en ligne. Cette activité mobilise des flux d'informations provenant des éditeurs (bulletins de sécurité officiels), de chercheurs indépendants, des bases de données CVE (''Common Vulnerabilities and Exposures'') et NVD (''National Vulnerability Database''), ainsi que de partenaires gouvernementaux nationaux et internationaux.

=== Traitement des incidents ===

La [[Réponse aux incidents de sécurité|réponse aux incidents de sécurité informatique]] est la mission opérationnelle centrale du CERT-FR. Il reçoit les signalements d'incidents émanant :
* des administrations de l'État et de leurs services déconcentrés ;
* des collectivités territoriales ;
* des opérateurs d'importance vitale (OIV) ;
* des opérateurs de services essentiels (OSE) couverts par la [[Directive NIS|directive NIS]] et la [[Directive NIS2|directive NIS2]] ;
* de tout acteur public ou privé sollicitant une assistance technique.

Pour chaque incident traité, le CERT-FR fournit une analyse technique (étude des traces d'intrusion, rétro-ingénierie de logiciels malveillants), des recommandations de remédiation et, si nécessaire, une coordination avec d'autres équipes spécialisées ou autorités judiciaires compétentes.

=== Publications ===

Le CERT-FR diffuse plusieurs types de publications destinées aux équipes techniques et aux [[Responsable de la sécurité des systèmes d'information|responsables de la sécurité des systèmes d'information]] (RSSI) :

{| class="wikitable"
|-
! Type !! Identifiant !! Contenu !! Périodicité
|-
| Avis de sécurité || AVI-AAAA-NNNN || Description d'une [[Vulnérabilité informatique|vulnérabilité]], score CVSS, correctifs recommandés || Variable, selon les divulgations des éditeurs
|-
| Alerte || ALE-AAAA-NNNN || Notification urgente d'une vulnérabilité activement exploitée ou d'une menace imminente || Ponctuelle
|-
| Bulletin d'actualité || BUL-AAAA-NNNN || Récapitulatif hebdomadaire des avis publiés dans la semaine || Hebdomadaire
|-
| Bulletin de sécurité Microsoft || BSI-AAAA-NNNN || Synthèse mensuelle des correctifs déployés lors du Patch Tuesday || Mensuelle
|-
| Rapport de menace || — || Analyse détaillée de campagnes d'attaque ou de modes opératoires adverses (TTPs) || Ponctuelle
|-
| [[Indicateur de compromission|Indicateurs de compromission]] (IOC) || — || Hachages de fichiers, adresses IP, noms de domaine liés à des campagnes identifiées || Ponctuelle
|}

=== Coordination des CERT sectoriels ===

Le CERT-FR coordonne son action avec les équipes CERT sectorielles françaises, notamment le CERT Santé (opéré par l'Agence du numérique en santé, ANS), le CERT-IST (dédié aux secteurs industrie, services et tertiaire) et le CERT Défense rattaché à la direction générale des armées. Cette architecture sectorielle assure une couverture cohérente de l'ensemble des secteurs critiques et facilite le partage d'informations sur les menaces communes.

== Organisation ==

Le CERT-FR est une entité opérationnelle interne à l'[[ANSSI]], sans personnalité juridique distincte. L'ANSSI est un établissement public à caractère administratif placé sous l'autorité du Premier ministre via le secrétariat général de la défense et de la sécurité nationale (SGDSN). Au 1er janvier 2024, l'ANSSI comptait environ 600 agents ; le CERT-FR en constitue une composante opérationnelle centrale.

L'équipe regroupe des spécialistes en [[Forensique numérique|forensique numérique]], en analyse de logiciels malveillants (''malware analysis''), en étude de [[Vulnérabilité informatique|vulnérabilités]] et en veille sur les menaces persistantes avancées (APT, ''Advanced Persistent Threats''). Les signalements d'incidents et les demandes d'assistance sont transmis via le portail cert.ssi.gouv.fr, qui centralise également l'intégralité des publications.

L'organisation interne distingue plusieurs pôles fonctionnels : un pôle de veille chargé de la surveillance continue des menaces, un pôle de traitement des incidents qui assure la relation directe avec les entités victimes, et un pôle de communication technique responsable de la rédaction des publications.

== Accréditations et appartenance aux réseaux internationaux ==

=== FIRST ===

Le CERT-FR est membre du [[FIRST|Forum of Incident Response and Security Teams]] (FIRST), organisation internationale fondée en 1990 qui fédère plus de 600 équipes CERT et [[CSIRT|CSIRT]] dans plus de 100 pays. L'adhésion à FIRST ouvre l'accès à des canaux de communication sécurisés entre membres, à des outils de partage d'informations sur les menaces — notamment la plateforme MISP (''Malware Information Sharing Platform'') — et à des formations spécialisées en gestion d'incidents critiques.

=== TF-CSIRT et Trusted Introducer ===

Au niveau européen, le CERT-FR participe aux travaux de la [[TF-CSIRT|Task Force – Collaboration of Security Incident Response Teams]] (TF-CSIRT), réseau européen fondé en 2000 sous l'égide du GÉANT (réseau académique et de recherche à l'échelle européenne). Dans ce cadre, le CERT-FR bénéficie de l'accréditation [[Trusted Introducer]] au niveau « Certified », le plus élevé de la classification Trusted Introducer, attestant de la maturité opérationnelle de l'équipe et de la conformité de ses procédures aux standards reconnus dans la communauté internationale des CERT.

=== CSIRTs Network européen ===

Depuis la transposition de la [[Directive NIS|directive NIS]] (ordonnance du 7 octobre 2018) et l'adoption de la [[Directive NIS2|directive NIS2]] (novembre 2022), le CERT-FR participe au CSIRTs Network, réseau des équipes nationales de réponse aux incidents des États membres de l'Union européenne, coordonné par l'Agence de l'Union européenne pour la cybersécurité (ENISA). Ce réseau constitue le mécanisme central de coordination en cas d'incident de [[Cyberattaque|cyberattaque]] transfrontalière affectant plusieurs États membres simultanément.

== Articulation avec le cadre réglementaire français ==

=== LPM et obligation de signalement des OIV ===

La loi de programmation militaire du 18 décembre 2013 a instauré l'obligation, pour les opérateurs d'importance vitale (OIV), de déclarer les incidents de sécurité affectant leurs systèmes d'information d'importance vitale (SIIV) à l'[[ANSSI]]. Le CERT-FR est le réceptacle opérationnel de ces déclarations, garantissant un traitement confidentiel et une assistance technique structurée. Les douze secteurs d'activité d'importance vitale définis par arrêté incluent notamment l'énergie, les communications électroniques, les transports et la santé.

=== Directive NIS et NIS2 ===

La [[Directive NIS|directive NIS]] de 2016 a élargi le périmètre de supervision aux opérateurs de services essentiels (OSE) dans sept secteurs : énergie, transports, banque, marchés financiers, santé, eau potable et infrastructures numériques. La [[Directive NIS2|directive NIS2]], dont la transposition en droit français était attendue avant le 17 octobre 2024, étend ce périmètre à de nouveaux secteurs — dont les administrations publiques, la gestion des déchets et l'industrie agroalimentaire — et introduit des délais de notification contraignants : alerte initiale sous 24 heures après détection, rapport intermédiaire sous 72 heures, rapport final dans un délai d'un mois.

=== RGS, ISO/IEC 27001 et ISO/IEC 27035 ===

Les recommandations du CERT-FR s'inscrivent dans la continuité du [[RGS (Référentiel Général de Sécurité)|Référentiel Général de Sécurité]] (RGS) applicable aux systèmes d'information des administrations publiques, et sont cohérentes avec les normes [[ISO/IEC 27001]] (management de la sécurité de l'information) et [[ISO/IEC 27035]] (gestion des incidents de sécurité informatique). Ces référentiels partagés facilitent l'interopérabilité entre les procédures internes des organisations et les attentes du CERT-FR en matière de déclaration, de gestion et de remédiation des incidents.

== Exemples d'incidents traités publiquement ==

Le CERT-FR publie des analyses et des retours d'expérience sur des campagnes d'attaque majeures :

* '''[[WannaCry]]''' (mai 2017) : dès le 12 mai 2017, le CERT-FR a émis l'alerte ALE-2017-002 portant sur l'exploitation de la vulnérabilité EternalBlue (CVE-2017-0144) dans le protocole SMBv1 de Microsoft Windows, vecteur utilisé par le [[Ransomware|ransomware]] WannaCry pour se propager à travers les réseaux locaux. L'avis recommandait l'application immédiate du correctif MS17-010, disponible depuis mars 2017.
* '''NotPetya''' (juin 2017) : le CERT-FR a publié l'alerte ALE-2017-003 sur ce [[Ransomware|ransomware]] destructeur, qui avait touché plusieurs grandes entreprises françaises et ukrainiennes en exploitant le même vecteur EternalBlue combiné à des mécanismes de propagation latérale.
* '''Campagnes d'[[Hameçonnage|hameçonnage]]''' : le CERT-FR publie régulièrement des bulletins décrivant des campagnes de phishing ciblant les administrations, accompagnés des [[Indicateur de compromission|indicateurs de compromission]] associés (domaines frauduleux, hachages de pièces jointes malveillantes).
* '''Infrastructures de [[Botnet|botnet]]''' : le CERT-FR contribue à des opérations coordonnées de démantèlement d'infrastructures malveillantes au niveau européen, en lien avec Europol, Eurojust et les partenaires du CSIRTs Network.

== Métiers et formations associés ==

La production régulière du CERT-FR nourrit directement le travail quotidien de plusieurs professions de la [[Cybersécurité|cybersécurité]] :

* Le [[Responsable de la sécurité des systèmes d'information|RSSI]] est l'interlocuteur désigné du CERT-FR au sein de chaque organisation ; il est responsable de la mise en œuvre des recommandations et de la remontée des incidents significatifs.
* Les analystes d'un [[SOC (Security Operations Center)|SOC]] (''Security Operations Center'') intègrent les [[Indicateur de compromission|indicateurs de compromission]] publiés par le CERT-FR dans leurs règles de corrélation [[SIEM (informatique)|SIEM]] afin de détecter les campagnes connues.
* Les experts en [[Réponse aux incidents de sécurité|réponse aux incidents]] s'appuient sur les rapports de menace et les IOC du CERT-FR pour qualifier les compromissions et guider les phases de confinement et d'éradication.
* Les spécialistes en [[Forensique numérique|forensique numérique]] utilisent les analyses de logiciels malveillants publiées pour compléter et accélérer leur travail d'investigation post-incident.
* Les équipes d'[[Audit de cybersécurité|audit de cybersécurité]] et de [[Red team|red team]] consultent les bulletins d'avis pour concevoir des scénarios réalistes lors des [[Test d'intrusion|tests d'intrusion]].

L'[[ANSSI]] délivre par ailleurs des qualifications encadrées par voie réglementaire : les prestataires de réponse aux incidents de sécurité (PRIS) et les prestataires d'audit de la sécurité des systèmes d'information (PASSI). Ces qualifications s'appuient sur les normes [[ISO/IEC 27001]] et [[ISO/IEC 27035]] et garantissent aux organisations un niveau de compétence reconnu chez les prestataires auxquels elles font appel.

== Voir aussi ==

* [[ANSSI]]
* [[Cybersécurité]]
* [[Réponse aux incidents de sécurité]]
* [[Directive NIS2]]
* [[ISO/IEC 27035]]
* [[Forensique numérique]]
* [[Responsable de la sécurité des systèmes d'information]]

CERT-FR - Historique des versions

Kecvn : Publication via Quaero Hub

Kecvn : Publication via Quaero Hub

Kecvn : Publication via Quaero Hub

Kecvn : Publication via Quaero Hub