En cas de cybercrise : à qui s’adresser ?

Alors que le cybermois à pour objectif de sensibiliser aux cybermenaces et aux bons réflexes pour s’en protéger, il est utile de se demander à qui s’adresser quand une cyberattaque survient. Lorsqu’une organisation est confrontée à une cyberattaque, elle peut s’adresser à plusieurs structures publiques selon la nature de l’incident et le niveau d’urgence : 17Cyber.gouv.fr / Cybermalveillance.gouv.fr pour les victimes non régulées (TPE, PME, collectivités, particuliers), les CSIRT régionaux, l’ANSSI pour les opérateurs régulés, la Gendarmerie nationale et la Police nationale pour l’aspect judiciaire.

17Cyber, la porte d’entrée grand public et professionnelle

Depuis décembre 2024, le réflexe prioritaire pour les victimes de cyberattaques s’appelle 17Cyber.gouv.fr. Accessible en continu, ce portail est le fruit d’une collaboration entre la Police nationale, la Gendarmerie nationale et le site Cybermalveillance.gouv.fr. Il fournit un questionnaire de diagnostic, propose des mesures de confinement adaptées et, au besoin, oriente vers un prestataire référencé.

« Le 17Cyber s’adresse aux particuliers et aux organisations (collectivités et entreprises) non régulées. Sa mission première est d’assister les victimes d’actes de cybermalveillance. Sa deuxième mission est la prévention : production de contenus dédiés, campagnes de sensibilisation… Enfin, son troisième but est d’observer la menace, ce qui alimente les deux premiers », déclare Jérôme Notin, Directeur général de Cybermalveillance.gouv.fr, à l’occasion du forum INCYBER des territoires qui a eu lieu en mai dernier au Creusot.

Historiquement (avant le 17 décembre 2024), le 17Cyber se contentait d’accueillir les victimes, de qualifier la menace via un questionnaire, de leur prodiguer des conseils adaptés et, dans certains cas, de les mettre en relation avec un des 1 200 prestataires de proximité référencés (dont 200 sont labellisés). « Plus de 86 % des entreprises, 24 heures sur 24 et 7 jours sur 7, trouvaient un prestataire en capacité de les accompagner en moins d’une heure », précise Jérôme Notin.

Depuis le 17 décembre 2024, grâce au ministère de l’Intérieur, la victime se voit proposer, dans les cas qui le nécessitent, d’échanger avec un policier ou un gendarme sur l’aide à la judiciarisation. « Il est fondamental que les victimes puissent déposer plainte pour, potentiellement, identifier les auteurs et faire cesser l’infraction. Cela permet aussi à la puissance publique d’avoir connaissance de l’impact de ces faits de cybermalveillance », note Jérôme Notin.

Les CSIRT territoriaux, des relais de proximité

Issus de la volonté de l’ANSSI en 2021 de développer un maillage territorial et financés par le plan France Relance, 15 CSIRT territoriaux (Computer Security Incident Response Team) couvrent désormais l’ensemble des territoires métropolitain et d’outre-mer. Ils traitent les demandes d’assistance des acteurs de taille intermédiaire (PME, ETI, collectivités territoriales et associations) et les mettent en relation avec des partenaires de proximité : prestataires de réponse à incident et partenaires étatiques. L’émergence de ces CSIRT territoriaux doit permettre de fournir localement un service de réponse à incident de premier niveau gratuit, complémentaire de celui proposé par les prestataires, la plateforme Cybermalveillance.gouv.fr et les services du CERT-FR (Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques) qui dépendent de l’ANSSI.

« Au sein de la région Bourgogne Franche-Comté, notre rôle principal est l’aide à la remédiation et la gestion d’incident. Quand une victime nous appelle, nous déroulons avec elle une fiche réflexe en fonction de la typologie de l’incident (messagerie compromise, déni de service, etc.). Par la suite, la région a souhaité que nous étendions nos actions à travers de l’alerting. Cela consiste à repérer des vulnérabilités sur des sites de collectivités ou d’entreprises et à les prévenir. Nous menons aussi beaucoup d’actions de sensibilisation et animons la filière cyber régionale », explique Sébastien Morey, Responsable du CSIRT Bourgogne Franche-Comté.

Organismes régulés : l’ANSSI comme interlocuteur

Quant aux opérateurs d’importance vitale (OIV) et opérateurs de services essentiels (OSE), ils dépendent de l’ANSSI en cas de cyber incident. « Mais l’entrée en vigueur de NIS2 élargit considérablement le périmètre des entreprises régulées, avec les entités essentielles (EE) et importantes (EI)​​. Nous passons d’environ 500 entreprises à près de 15 000. Nous allons donc travailler très étroitement avec Cybermalveillance.gouv.fr et le 17Cyber », précise Véronique Brunet, Déléguée de l’ANSSI pour la région Bourgogne Franche-Comté.

« Au quotidien, je travaille énormément avec la gendarmerie et le CSIRT Bourgogne Franche-Comté. Nous échangeons beaucoup d’informations sur les incidents. Nous veillons aussi à ce que chacun d’entre nous puisse aider les victimes à porter plainte et à faire leur déclaration au CSIRT ou au CERT-FR. Parfois, même si l’entité n’est pas un OIV ou un OSE, nous estimons que ses missions sont stratégiques pour la défense de la nation et faisons une déclaration au CERT-FR. Cela permet de lui apporter une aide complémentaire à celle des autres organismes », note Véronique Brunet.

Quant aux établissements de santé, organismes et services exerçant des activités de prévention, de diagnostic ou de soins, ainsi que les établissements et services médico-sociaux, ils disposent d’un relais dédié : le CERT Santé. Joignable par téléphone et via le portail de signalement du ministère, le centre assure une astreinte permanente et publie des fiches réflexes opérationnelles. Un établissement de santé doit déclarer tout incident susceptible d’affecter la disponibilité, l’intégrité ou la confidentialité d’un système d’information critique, même si le service est assuré par un sous-traitant.

Notification CNIL : un impératif réglementaire

Enfin, dès qu’une violation implique des données à caractère personnel, la CNIL doit être notifiée dans les 72 heures après détection, même si toutes les informations ne sont pas encore consolidées. La télé-procédure « Notifier une violation » gère la déclaration initiale puis, au besoin, les compléments. En présence d’un risque élevé pour les personnes concernées (données de santé, identifiants bancaires, mineurs), l’entreprise doit également les informer individuellement sans délai excessif. Les retards non justifiés exposent à des amendes administratives pouvant atteindre 2 % du chiffre d’affaires mondial.