Des CSIRT en région : avec quels moyens RH ?

Le modèle qui est derrière cette annonce est facile à comprendre : quand une grande entreprise ou une administration subit une attaque cyber, l’Anssi dépêche sur place des équipes spécialisées dans la remédiation, comme on a pu le voir avec TV5 Monde, Saint-Gobain, le CHU de Rouen, etc. Le gros souci, c’est que ce modèle centralisé n’est pas viable : avec 400 et quelques agents, l’Anssi ne peut matériellement pas être présente sur tous les théâtres d’opération, surtout dans un contexte ou, rien que dans le monde de la santé, un établissement est attaqué chaque semaine. Dont acte.

La démultiplication des forces de terrain est donc logique, d’où l’annonce de l’Anssi, et on ne va pas bouder l’arrivée de moyens dans la cyber. Il reste tout de même quelques interrogations.

Tout d’abord, avec quelle mission ? Ces dernières semaines a déferlé une avalanche de faux messages de la Police nationale (mails envoyés depuis un compte Gmail bidon, mais très bien rédigés avec le logo de l’État et tout et tout) sommant le destinataire de payer une amende pour visionnage de contenus pédopornographiques : les RSSI des grosses structures filtrent les mails et passent du temps à mettre à jour les listes noires de leur antispam, mais qu’en est-il des toutes petites structures privées ou publiques qui n’ont pas de RSSI interne à disposition ? Le standard téléphonique de ces CSIRT va vite saturer sans relais de troisième niveau sur le terrain. Il va falloir être plus que prudent sur le catalogue de services…

Ensuite, quelle articulation sera mise en place avec les ressources existantes, publiques ou privées ? J’ai eu récemment une discussion assez étrange avec un assureur qui m’expliquait l’évolution des services de son offre cyber. Plutôt que d’assurer le risque cyber (les compagnies prennent trop de bouillon en ce moment), la société en question réoriente ses contrats pour proposer une assistance en cas d’attaque. Traduction dans le monde de l’assurance de votre maison contre l’incendie, on ne vous remboursera plus votre baraque si elle crame, on vous enverra par contre des pompiers avec un joli camion tout rouge pour éteindre les flammes (je suis le seul à trouver cela étrange ?). On va finir par avoir plus de gars pour nous aider à éteindre l’incendie que de compétences pour rendre le bâtiment conceptuellement résistant… J’ai dû rater un truc dans la logique générale, si quelqu’un peut m’expliquer, je suis preneur.

Ensuite, le communiqué fait référence à des sessions de formation de quatre mois pour une mise en œuvre opérationnelle des premiers CSIRT en 2022, en plus d’une enveloppe de 1 million d’euros pour les régions volontaires. On n’ose imaginer que l’Anssi puisse affirmer qu’en quatre mois il est possible de former un expert SSI – ce n’est certainement pas le cas. Ces quatre mois sont donc a priori destinés à former des personnels au fonctionnement d’un CSIRT, ce qui suppose de disposer déjà d’experts cyber, et pas le petit jeune qui a juste fait un stage de troisième sur le sujet. Quand on sait les tensions sur le marché de l’emploi dans le domaine, ça va être chaud chaud chaud de trouver des compétences de bon niveau sur tout le territoire, d’autant qu’il va y avoir des contraintes de grilles salariales (la Région pilote, donc on est sur des contrats encadrés par des statuts) qui vont être difficiles à tenir.

J’ai eu dernièrement une discussion très intéressante avec le directeur d’une école d’ingénieurs formant des experts cyber, et qui connaît parfaitement aussi bien les besoins sur le territoire (c’est son job) que l’état de la concurrence en matière de personnes formées chaque année (c’est aussi son job). Bon, je vous fais la version courte : si aucun nouveau besoin n’apparaît, si aucun expert cyber existant ne quitte le secteur ou le pays, ne se tue en voiture ou part à la retraite, si tous les experts cyber fraîchement diplômés prennent effectivement un job dans la cyber et en France (cela en fait des « si »), il faudra environ dix ans pour pourvoir tous les postes. Si vous ajoutez à cela la réserve cyber citoyenne et les 1 500 cyber-combattants récemment annoncés par l’Armée, va falloir développer dare-dare les programmes de clonage humain.

La situation n’est certes pas particulière à la France (tous les pays sont dans le même état), mais en même temps les problèmes des autres pays ne sont pas les nôtres : depuis plus de dix ans l’ensemble des experts du secteur alertent sur le manque criant de formation, sachant qu’il faut au bas mot cinq ans pour former un expert. Tous les projets à l’échelon national ou régional se heurteront, d’une manière ou d’une autre, au problème RH.

[1]   https://www.ssi.gouv.fr/uploads/2022/01/anssi-communique_presse-csirt_regions.pdf