« CERT-FR » : différence entre les versions

Le CERT-FR (Computer Emergency Response Team – France) est le centre gouvernemental français de veille, d'alerte et de réponse aux incidents de cybersécurité, opéré par l'Agence nationale de la sécurité des systèmes d'information (ANSSI). Il constitue l'équipe nationale de réponse aux urgences informatiques pour les administrations publiques, les collectivités territoriales et les opérateurs d'importance vitale en France, et représente le point de contact officiel dans les réseaux internationaux de CSIRT (Computer Security Incident Response Teams).

Le CERT-FR est issu du CERTA (Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques), créé en 1999 au sein du Service central de la sécurité des systèmes d'information (SCSSI), lui-même rattaché au secrétariat général de la défense nationale (SGDN). Le CERTA comptait parmi les premiers centres gouvernementaux de réponse aux incidents d'Europe, fondé dans la lignée du CERT Coordination Center (CERT/CC) de l'université Carnegie Mellon, opérationnel aux États-Unis depuis 1988.

En 2009, le décret n° 2009-834 du 7 juillet 2009 crée l'ANSSI, qui centralise l'ensemble des missions de cybersécurité de l'État français. Le CERTA est intégré à cette nouvelle agence et continue d'opérer sous ce nom jusqu'en 2014.

En 2014, le CERTA est officiellement renommé CERT-FR, en cohérence avec la nomenclature internationale des équipes de réponse aux incidents de sécurité. Cette transition s'accompagne d'une clarification du périmètre opérationnel : le CERT-FR se concentre sur les systèmes d'information du secteur public et des entités réglementées, tandis que l'ANSSI développe ses capacités d'accompagnement des opérateurs d'importance vitale (OIV) désignés dans le cadre de la loi de programmation militaire (LPM) du 18 décembre 2013.

Le CERT-FR assure une veille permanente sur les vulnérabilités informatiques affectant les logiciels, systèmes d'exploitation, équipements réseau et services en ligne. Cette activité mobilise des flux d'informations provenant des éditeurs (bulletins de sécurité officiels), de chercheurs indépendants, des bases de données CVE (Common Vulnerabilities and Exposures) et NVD (National Vulnerability Database), ainsi que de partenaires gouvernementaux nationaux et internationaux.

La réponse aux incidents de sécurité informatique est la mission opérationnelle centrale du CERT-FR. Il reçoit les signalements d'incidents émanant :

• des administrations de l'État et de leurs services déconcentrés ;
• des collectivités territoriales ;
• des opérateurs d'importance vitale (OIV) ;
• des opérateurs de services essentiels (OSE) couverts par la directive NIS et la directive NIS2 ;
• de tout acteur public ou privé sollicitant une assistance technique.

Pour chaque incident traité, le CERT-FR fournit une analyse technique (étude des traces d'intrusion, rétro-ingénierie de logiciels malveillants), des recommandations de remédiation et, si nécessaire, une coordination avec d'autres équipes spécialisées ou autorités judiciaires compétentes.

Le CERT-FR diffuse plusieurs types de publications destinées aux équipes techniques et aux responsables de la sécurité des systèmes d'information (RSSI) :

Le CERT-FR coordonne son action avec les équipes CERT sectorielles françaises, notamment le CERT Santé (opéré par l'Agence du numérique en santé, ANS), le CERT-IST (dédié aux secteurs industrie, services et tertiaire) et le CERT Défense rattaché à la direction générale des armées. Cette architecture sectorielle assure une couverture cohérente de l'ensemble des secteurs critiques et facilite le partage d'informations sur les menaces communes.

Le CERT-FR est une entité opérationnelle interne à l'ANSSI, sans personnalité juridique distincte. L'ANSSI est un établissement public à caractère administratif placé sous l'autorité du Premier ministre via le secrétariat général de la défense et de la sécurité nationale (SGDSN). Au 1er janvier 2024, l'ANSSI comptait environ 600 agents ; le CERT-FR en constitue une composante opérationnelle centrale.

L'équipe regroupe des spécialistes en forensique numérique, en analyse de logiciels malveillants (malware analysis), en étude de vulnérabilités et en veille sur les menaces persistantes avancées (APT, Advanced Persistent Threats). Les signalements d'incidents et les demandes d'assistance sont transmis via le portail cert.ssi.gouv.fr, qui centralise également l'intégralité des publications.

L'organisation interne distingue plusieurs pôles fonctionnels : un pôle de veille chargé de la surveillance continue des menaces, un pôle de traitement des incidents qui assure la relation directe avec les entités victimes, et un pôle de communication technique responsable de la rédaction des publications.

Le CERT-FR est membre du Forum of Incident Response and Security Teams (FIRST), organisation internationale fondée en 1990 qui fédère plus de 600 équipes CERT et CSIRT dans plus de 100 pays. L'adhésion à FIRST ouvre l'accès à des canaux de communication sécurisés entre membres, à des outils de partage d'informations sur les menaces — notamment la plateforme MISP (Malware Information Sharing Platform) — et à des formations spécialisées en gestion d'incidents critiques.

Au niveau européen, le CERT-FR participe aux travaux de la Task Force – Collaboration of Security Incident Response Teams (TF-CSIRT), réseau européen fondé en 2000 sous l'égide du GÉANT (réseau académique et de recherche à l'échelle européenne). Dans ce cadre, le CERT-FR bénéficie de l'accréditation Trusted Introducer au niveau « Certified », le plus élevé de la classification Trusted Introducer, attestant de la maturité opérationnelle de l'équipe et de la conformité de ses procédures aux standards reconnus dans la communauté internationale des CERT.

Depuis la transposition de la directive NIS (ordonnance du 7 octobre 2018) et l'adoption de la directive NIS2 (novembre 2022), le CERT-FR participe au CSIRTs Network, réseau des équipes nationales de réponse aux incidents des États membres de l'Union européenne, coordonné par l'Agence de l'Union européenne pour la cybersécurité (ENISA). Ce réseau constitue le mécanisme central de coordination en cas d'incident de cyberattaque transfrontalière affectant plusieurs États membres simultanément.

La loi de programmation militaire du 18 décembre 2013 a instauré l'obligation, pour les opérateurs d'importance vitale (OIV), de déclarer les incidents de sécurité affectant leurs systèmes d'information d'importance vitale (SIIV) à l'ANSSI. Le CERT-FR est le réceptacle opérationnel de ces déclarations, garantissant un traitement confidentiel et une assistance technique structurée. Les douze secteurs d'activité d'importance vitale définis par arrêté incluent notamment l'énergie, les communications électroniques, les transports et la santé.

La directive NIS de 2016 a élargi le périmètre de supervision aux opérateurs de services essentiels (OSE) dans sept secteurs : énergie, transports, banque, marchés financiers, santé, eau potable et infrastructures numériques. La directive NIS2, dont la transposition en droit français était attendue avant le 17 octobre 2024, étend ce périmètre à de nouveaux secteurs — dont les administrations publiques, la gestion des déchets et l'industrie agroalimentaire — et introduit des délais de notification contraignants : alerte initiale sous 24 heures après détection, rapport intermédiaire sous 72 heures, rapport final dans un délai d'un mois.

Les recommandations du CERT-FR s'inscrivent dans la continuité du Référentiel Général de Sécurité (RGS) applicable aux systèmes d'information des administrations publiques, et sont cohérentes avec les normes ISO/IEC 27001 (management de la sécurité de l'information) et ISO/IEC 27035 (gestion des incidents de sécurité informatique). Ces référentiels partagés facilitent l'interopérabilité entre les procédures internes des organisations et les attentes du CERT-FR en matière de déclaration, de gestion et de remédiation des incidents.

Le CERT-FR publie des analyses et des retours d'expérience sur des campagnes d'attaque majeures :

• WannaCry (mai 2017) : dès le 12 mai 2017, le CERT-FR a émis l'alerte ALE-2017-002 portant sur l'exploitation de la vulnérabilité EternalBlue (CVE-2017-0144) dans le protocole SMBv1 de Microsoft Windows, vecteur utilisé par le ransomware WannaCry pour se propager à travers les réseaux locaux. L'avis recommandait l'application immédiate du correctif MS17-010, disponible depuis mars 2017.
• NotPetya (juin 2017) : le CERT-FR a publié l'alerte ALE-2017-003 sur ce ransomware destructeur, qui avait touché plusieurs grandes entreprises françaises et ukrainiennes en exploitant le même vecteur EternalBlue combiné à des mécanismes de propagation latérale.
• Campagnes d'hameçonnage : le CERT-FR publie régulièrement des bulletins décrivant des campagnes de phishing ciblant les administrations, accompagnés des indicateurs de compromission associés (domaines frauduleux, hachages de pièces jointes malveillantes).
• Infrastructures de botnet : le CERT-FR contribue à des opérations coordonnées de démantèlement d'infrastructures malveillantes au niveau européen, en lien avec Europol, Eurojust et les partenaires du CSIRTs Network.

La production régulière du CERT-FR nourrit directement le travail quotidien de plusieurs professions de la cybersécurité :

• Le RSSI est l'interlocuteur désigné du CERT-FR au sein de chaque organisation ; il est responsable de la mise en œuvre des recommandations et de la remontée des incidents significatifs.
• Les analystes d'un SOC (Security Operations Center) intègrent les indicateurs de compromission publiés par le CERT-FR dans leurs règles de corrélation SIEM afin de détecter les campagnes connues.
• Les experts en réponse aux incidents s'appuient sur les rapports de menace et les IOC du CERT-FR pour qualifier les compromissions et guider les phases de confinement et d'éradication.
• Les spécialistes en forensique numérique utilisent les analyses de logiciels malveillants publiées pour compléter et accélérer leur travail d'investigation post-incident.
• Les équipes d'audit de cybersécurité et de red team consultent les bulletins d'avis pour concevoir des scénarios réalistes lors des tests d'intrusion.

L'ANSSI délivre par ailleurs des qualifications encadrées par voie réglementaire : les prestataires de réponse aux incidents de sécurité (PRIS) et les prestataires d'audit de la sécurité des systèmes d'information (PASSI). Ces qualifications s'appuient sur les normes ISO/IEC 27001 et ISO/IEC 27035 et garantissent aux organisations un niveau de compétence reconnu chez les prestataires auxquels elles font appel.

• ANSSI
• Cybersécurité
• Réponse aux incidents de sécurité
• Directive NIS2
• ISO/IEC 27035
• Forensique numérique
• Responsable de la sécurité des systèmes d'information