La Région Bourgogne-Franche-Comté
et le numérique

Marie-Guite Dufay, Présidente de la Région Bourgogne-Franche-Comté

La Bourgogne-Franche-Comté est la deuxième région à se doter d’un centre de cybersécurité :  le CSIRT (computer security incident response team). Dans le cadre de la convention qui régit la création du CSIRT, 1 million d’euros est mobilisé sur trois ans, de 2022 à 2024.

Le CSIRT-BFC marque un premier pas vers l’émergence d’un vrai service public du numérique avec la montée en puissance de la nouvelle Agence Régionale du Numérique et de l’intelligence artificielle (ARNia), créée au début 2022 à l’initiative de la Région Bourgogne-Franche-Comté dans le cadre de sa politique publique des usages du numérique.

La Bourgogne-Franche-Comté a fait des enjeux numériques une de ses priorités. Cheffe de file du développement économique, la Bourgogne-Franche-Comté mesure la sensibilité des sujets de cybersécurité pour les entreprises du territoire, mais aussi pour les collectivités. La création d’un CSIRT s’inscrit pleinement dans les orientations stratégiques de sa politique publique sur les usages numériques (PPUN).

Le transport, le tourisme, l’énergie, la santé sont des secteurs d’activités particulièrement impactés par la transformation numérique.

Le numérique joue également un rôle important dans les transitions économiques, démographiques, écologiques et énergétiques, notamment par l’effet de levier suscité avec la création de nouveaux services et usages.

La crise sanitaire a renforcé la conscience de l’importance du numérique dans le quotidien de chacun, mais également son potentiel de développement local. La Région poursuit son soutien aux Départements dans le déploiement du THD pour tous, et s’est engagée fortement dans le développement des usages du numérique, notamment en élargissant la démarche « territoires intelligents » pour les collectivités.

Autres orientations régionales :

Le déploiement de la fibre optique est en voie d’achèvement et il est nécessaire de s’engager massivement dans le développement des usages numériques, la création de e-services, l’accompagnement des personnes en situation d’exclusion et d’accompagner les mutations territoriales comme économiques liées à la transformation numérique.

La Région s’est engagée dans la création d’un groupe fermé d’utilisateurs (« GFU ») afin de raccorder ses établissements et ses Lycées sur un réseau indépendant afin d’en améliorer la qualité de service, d’augmenter les débits et de diminuer les charges de fonctionnement. La collectivité poursuite également son engagement pour l’interconnexion par la mise en place notamment d’IRU pour les zones encore non couvertes.

Le déploiement de l’internet des objets (IoT) est également une opportunité sur les zones rurales qui ne sont actuellement pas couvertes par les opérateurs. La composante hertzienne du réseau RCube THD pourrait constituer un atout pour délivrer des services d’IoT afin de piloter de l’espace public.

La transformation numérique impacte en profondeur toutes les organisations sociétales et économiques. Des écosystèmes entiers sont en voie de mutation et suivent le chemin de l’économie culturelle, des médias, du commerce de détail.

Depuis près de dix ans, la Région a consacré plus de 250 M€ pour la transformation numérique.

Le GIP Agence Régionale du Numérique et
de l’intelligence artificielle

Patrick Molinoz, Président de l’Agence Régionale du Numérique et de l’intelligence artificielle (ARNia)

Le GIP* Agence Régionale du Numérique et de l’intelligence artificielle (www.arnia-bfc.fr), plus communément appelé ARNia est une structure de mutualisation créée en 2022 (par arrêté du 23 février 2022 de la Préfecture de la région Bourgogne-Franche-Comté) mais dont la genèse remonte à 2003.

Le GIP est porté par cinq membres fondateurs (Région Bourgogne-Franche-Comté, Etat, Conseils départementaux de la Nièvre, Saône-et-Loire et Yonne), dont l’engagement financier permet le déploiement d’une expertise unique en France.

Le GIP Territoires Numériques Bourgogne-Franche-Comté a annoncé la création de l’ARNia suite au vote (AGE du 30 novembre 2021) par les 1853 adhérents de la modification des statuts du GIP. Le 23 février 2022 la Préfecture de la région Bourgogne-Franche-Comté a publié l’arrêté qui acte sa création juridique et effective.

Le but de l’ARNia est de permettre aux communes, citoyens et entreprises la maîtrise politique des enjeux numériques en matière de démocratie et d’inclusion mais aussi d’écologie et de e-commerce, de données ouvertes et de cybersécurité.

Quatre grandes lignes dessinent le carnet de missions de l’ARNia :
- Relever le défi de l’inclusion numérique afin d’aider les personnes les plus en difficultés avec le numérique,
- Accompagner la transformation numérique du commerce, de l’artisanat, de l’agriculture et de l’industrie et favoriser la filière
numérique,
- Développer un numérique éco-responsable et sobre au service de la transition écologique et environnementale,
- Développer une « politique de la donnée » contribuant à améliorer la compréhension des enjeux, à faciliter l’appropriation et l’utilisation des « données ouvertes », à renforcer leur protection et leur sécurisation dans une logique d’intérêt général articulée notamment sur la souveraineté et le respect des libertés individuelles.

Le pôle cybersécurité de l’ARNia :
La cybersécurité est une des thématiques essentielles sur lesquelles l’ARNia entend s’impliquer pleinement.
Comment se protéger des attaques ? Pour que les collectivités et les entreprises puissent trouver la réponse à cette question, l’ARNia a créé, en 2022, un pôle dédié entièrement à la cybersécurité en vue d’apporter de nouveaux services tels que des formations de sensibilisation et des préconisations quant aux bonnes pratiques à adopter et aux équipements nécessaires.

Au titre des missions du pôle cybersécurité il y aura également la souveraineté cybersécurité et les enjeux de la sauvegarde et de la protection des données.

(*) Un GIP (Groupement d’Intérêt Public) exerce ses missions dans le cadre de son objet d’intérêt général. A caractère non lucratif, il agit en faveur des membres du groupement

Le CSIRT-BFC, Centre régional de Cybersécurité
Bourgogne-Franche-Comté

La mission du CSIRT régional est de traiter les demandes d’assistance des acteurs de taille intermédiaire tels que les PME et ETI, les collectivités territoriales et les associations nationales à ancrage local puis de les mettre en relation avec des partenaires de proximité pour la résolution de leur incident :

- des prestataires locaux de réponse à incident qualifiés par l’ANSSI ou labellisés ExpertCyber par cybermalveillance.gouv.fr,
- le CERT-FR - centre national de réponse à incidents au sein de l’ANSSI,
- les services de police ou les unités de gendarmerie, auprès desquels les dépôts de plainte sont encouragés.

Cockpit de supervision installé dans les bureaux du CSIRT Bourgogne-Franche-Comté à Dijon

Le centre d’alerte et de réaction aux attaques informatiques est destiné à accompagner les acteurs du territoire régional, depuis la déclaration de l’incident jusqu’à la fin de la remédiation en les orientant vers les bons prestataires et les bonnes actions à mener.

Son activité est d’une part corrective (centralisation des déclarations d’incidents cyber, mise en relation des victimes), d’autre part préventive (actions de veille, sensibilisation et analyse de l’état de menace) :

- La centralisation des demandes d’assistance suite aux incidents de sécurité sur les réseaux et les systèmes d’informations ; délimiter et comprendre l’incident, transmettre les premiers bons réflexes, préparer le dossier d’incident.
- L’accompagnement des victimes ; mettre en relation les victimes avec les prestataires d’analyse et de restauration du SI* et avec les services de police et de gendarmerie en charge du traitement judiciaire.

(*) le CSIRT ne prendra pas d’engagement de service vis-à-vis des victimes de rétablissement du SI.

- L’établissement et la maintenance d’une base de données des vulnérabilités ; analyse de l’état de menace
- La prévention des incidents ; diffusion d’informations sur les précautions à prendre pour réduire la survenue d’incidents.
- La sensibilisation et la formation, le partage des connaissances.
- L’accompagnement de la filière numérique locale dans la montée en compétences et le développement de l’offre de proximité (sécurisation des systèmes vulnérables, retour à la normale après l’incident, etc).

L’équipe du pôle cybersécurité : un responsable et trois analystes

Sébastien Morey, a fait son entrée à l’ARNia en février 2022 en tant que Responsable du pôle cybersécurité. Auparavant il fut responsable sécurité des systèmes d’information et responsable adjoint d’un département technique d’un hôpital ; il a également travaillé à la sécurité de systèmes bancaires.

Deux analystes l’ont rejoint en septembre 2022 afin de contribuer de manière opérationnelle à la réalisation des activités du centre (CSIRT). Une 3ème analyste a renforcé l’équipe en février 2023.

Ils ont pour missions de :
- Gérer les incidents de sécurité des bénéficiaires : comprendre et qualifier l’incident, relever les preuves, mettre en relation la victime avec les prestataires, coordonner les acteurs et proposer des actions, aider à la gestion de la crise.
- Assurer une veille : d’une part, technologique et réglementaire dans le domaine de la sécurité des SI, d’autre part, en matière de cybersécurité proactive.
- Etablir un état de la menace, analyser l’impact des vulnérabilités.
- Proposer des axes d’amélioration  continue des processus en introduisant de nouveaux outils, de nouvelles technologies et pratiques.
- Améliorer les activités pouvant être outillées, voire automatisées.
- Contribuer aux tableaux de bord du CSIRT et aux actions de partage au sein de la communauté de la réponse à incident.
- Echanger avec les acteurs de l’écosystème régional de cybersécurité.
- Sensibiliser et former les bénéficiaires des services du CSIRT.

Un numéro d’urgence, unique et gratuit

0970 609 909

La valeur ajoutée du CSIRT-BFC est la mise en place d’un numéro de téléphone unique pour l’accueil des victimes de cyberattaques. Ce service est ouvert depuis le 3 octobre 2022. Les victimes sont prises en charge par des analystes en cybersécurité pour déployer les moyens et les acteurs et limiter les impacts de l’attaque. Ce service est à destination des organismes publics (dont les collectivités), des entreprises (PME/ETI) et des associations nationales avec ancrage de Bourgogne-Franche-Comté.

Cinq services complémentaires pour répondre aux principaux cas de figure

Au1er janvier2023, le pôle cyber de l’ARNia - ARNia Cybersécurité – propose à ses 1860 adhérents une offre de services complémentaires à celle déployée par le CSIRT-BFC. L’ensemble de services, cohérent et pratique, mis en place par l’équipe a été conçu en réponse aux problématiques rencontrées les plus fréquemment par les organismes publics et les entreprises de taille intermédiaire.

1- Analyse de courriels douteux. L’utilisateur transfère le courriel suspect à l’équipe de l’ARNia qui l’analyse, lui répond en indiquant si le courriel est légitime ou non, ainsi que la procédure à suivre. En cas de phishing, le courriel est envoyé à des entités spécialisées afin d’alimenter des bases de données mondiales de courriels frauduleux.

2 - Campagne de sensibilisation au phishing. Sur demande de la collectivité, l’ARNia Cybersécurité lance une fausse campagne pour tester les réflexes des agents de la commune, voir s’ils savent déjouer les pièges, leur expliquer les risques encourus à ne pas se prémunir du phishing.

 3 - Coffre-fort pour conserver les mots de passe en toute sécurité. L’ARNia procède au chiffrement et au stockage des mots de passe de l’utilisateur qui sont rassemblés dans un coffre-fort hébergé dans un datacenter souverain.

 4 - Sauvegarde externalisée de données. Ce service est une solution clé- en-main permettant le chiffrement et le stockage des données dans un datacenter souverain ; le programme installé par l’ARNia sur les équipements de la collectivité ne nécessite aucune administration du côté de l’utilisateur et permet d’effectuer des sauvegardes automatiques régulières. En cas d’attaque, l’utilisateur dispose d’une interface intuitive pour la restauration de ses dernières sauvegardes.

 5 – Services managés (Protection du poste de travail et du serveur). L’ARNia propose une solution sur-mesure d’EDR (Endpoint Detection & Response qui est un antivirus robuste de nouvelle génération) et de protection des équipements : mise à jour régulière, chiffrement des données (protection en cas de vol ou de perte du matériel), détection de vulnérabilités.

 La souscription, par les membres de l’ARNia, de ces 5 services est possible depuis janvier 2023.

Une convention entre la Région Bourgogne-Franche-Comté, l’ANSSI et l’ARNia

Le 24 février 2022, à Dijon, Marie-Guite DUFAY, Présidente de la Région Bourgogne-Franche-Comté, Emmanuel NAËGELEN, Directeur Général adjoint de l’Agence Nationale de la Sécurité des Systèmes d'Information et Patrick MOLINOZ, Président de l’Agence Régionale du Numérique et de l’intelligence artificielle, ont signé la convention du CSIRT régional de Bourgogne-Franche-Comté, en présence de Fabien SUDRY, préfet de la région Bourgogne-Franche- Comté, préfet de la Côte-d’Or.

Fabien SUDRY, préfet de la région Bourgogne-Franche-Comté, préfet de la Côte-d’Or, Marie-Guite DUFAY, Présidente de la Région Bourgogne-Franche-Comté, Emmanuel NAËGELEN, Directeur Général adjoint de l’ANSSI et Patrick MOLINOZ, Président de l’ARNia (Crédits photo Pref21SRDCI)

Le financement du CSIRT régional durant 3 ans par l’ANSSI

L’accord signé le 24 février 2022 prévoit le financement par l’ANSSI (sous la forme d’une subvention) à hauteur d’ 1 million d’euros du fonctionnement de ce service pendant 3 ans, de 2022 à 2024, avec une ouverture progressive à partir du second semestre de l’année 2022. A l’issue de ces trois années, le CSIRT a vocation à être pérennisé grâce au développement de son propre modèle économique.

[La mise en place des CSIRT régionaux dans le cadre du plan France Relance]

En 2020, le nombre d’attaques par rançongiciels traitées par l’ANSSI a pratiquement été multiplié par 4 (+255%) par rapport à 2019. Fort de ce constat, l’Etat a confié à l’ANSSI un volet cybersécurité de France Relance pour renforcer la cybersécurité des administrations publiques et des territoires sur la période 2021-2022. Doté d’une enveloppe de 136 millions d’euros, ce volet comprend la création d’un réseau de CSIRT (Computer Security Incident Response Team) au niveau de chaque Région. A terme, l’objectif est la mise en réseau des CSIRT régionaux au sein de l’InterCERT France

- le réseau français des CSIRT - afin de créer en son sein un groupe de coopération et de partage dédié à leurs enjeux territoriaux.

Ces centres d’urgence cyber sont destinés à centraliser les réponses aux incidents de sécurité rencontrés par les collectivités et les entreprises, avec des moyens renforcés de proximité et aussi de les sensibiliser aux enjeux de cyber vigilance. Comme l’écrit l’ANSSI dans son communiqué de presse du 11 janvier 2022, la création de ces CSIRT est une opportunité forte pour l’ensemble des acteurs régionaux :

- Pour le conseil régional, qui verra se structurer l’écosystème privé de la réponse à incident cyber autour de ce projet essentiel pour dynamiser le secteur porteur de la cybersécurité ;

- Pour les entreprises et collectivités, qui bénéficieront d’un accompagnement en cas d’incident cyber limitant ainsi les pertes financières majeures que peuvent représenter une cyberattaque ;

- Pour les services de l’Etat en région qui auront désormais accès à une synthèse de la menace cyber consolidée à l’échelle de leur territoire.

Une période d’incubation (4 mois) pour bâtir les fondations du CSIRT régional

« Cette incubation, explique l’ANSSI, permet aux CSIRT régionaux d’être rapidement opérationnels pour répondre de manière pertinente et efficace aux besoins identifiés, tout en s’intégrant pleinement à l’écosystème territorial et national. » Concernant le CSIRT Bourgogne-France-Comté, cette période d’incubation a commencé dès la signature de la convention en février 2022 et s’est terminée à la mi-juin. Elle a permis au pôle cybersécurité de :

- Mettre en pratique l’ensemble des processus de gestion des incidents de cybersécurité,
- Promouvoir des actions préventives afin de réduire la menace cyber,
- D’ancrer sa présence dans les écosystèmes de cybersécurité régional et national.

Une quarantaine d’ateliers, d’échanges, de travaux collaboratifs auxquels sont conviées les régions. « L’intérêt principal de ces ateliers, explique Sébastien Morey, Responsable du pôle cybersécurité de l’ARNia est l’échange entre l’ANSSI et les régions dans le but d’avoir des méthodologies communes pour les processus d’aide aux victimes ».

Les enjeux de la cybersécurité pour les collectivités et les entreprises

L’actualité montre que les attaques informatiques sont régulières et il appartient à chaque responsable d’entité (collectivités, entreprises etc...) de ne pas négliger ce risque qui, aujourd’hui, les touche sans distinction.

Devant la complexité d’un système d’information, construite de manière empirique sur de nombreuses années, la méthodologie de montée en compétence est longue et demande de nombreuses compétences dans de nombreux domaines. La protection n’est pas que de la « technique », il faut également définir des moyens humains, financiers et organisationnels.

L’ARNia Cybersécurité est le point d’entrée pour mettre en relation l’ensemble des acteurs de l’écosystème cyber afin de réduire le risque sur les systèmes d’information.

Panorama de la menace informatique en 2022, par l’ANSSI

Le 24 janvier 2023 l’ANSSI a publié un communiqué de presse* à l’occasion de la publication du **Panorama de la cybermenace 2022. L’Agence nationale fait état des grandes tendances de la menace cyber ayant rythmé 2022. Voici dans ce paragraphe quelques-unes de ces tendances. (*source :  communiqué de l’ANSSI du 24 janvier2023 et

**Panorama de la cybermenace)

Malgré une année marquée par le conflit russo-ukrainien et ses effets dans le cyberespace, la menace informatique n’a pas connu d’évolution majeure, les tendances identifiées en 2021 s’étant confirmées en 2022. Le niveau général de la menace se maintient en 2022 avec 831 intrusions avérées contre 1082 en 2021. Si ce nombre est inférieur à celui de 2021, cela ne saurait être interprété comme une baisse du niveau de la menace. En effet, si une chute de l’activité liée aux rançongiciels a bien été observée par l'Agence nationale de la sécurité des systèmes d'information (ANSSI) sur les opérateurs régulés publics et privés à l’exception des hôpitaux, elle n’illustre pas l’évolution générale de cette menace cyber qui se maintient à un niveau élevé en se déportant sur des entités moins bien protégées.

Des objectifs principaux qui demeurent le gain financier, l’espionnage et la déstabilisation

Après une accalmie lors du premier semestre, la menace cybercriminelle et plus spécifiquement celle liée aux rançongiciels a connu un regain d’activités fin 2022, se maintenant alors à un niveau élevé. Cette menace cybercriminelle touche particulièrement les TPE, PME et ETI (40 % des rançongiciels traités ou rapportés à l’ANSSI en

2022), les collectivités territoriales (23 %) et les établissements publics de santé (10 %). Plus furtif qu’auparavant, le cryptominage, qui permet de générer des fonds importants, réinvestis par les acteurs malveillants pour acquérir de nouvelles capacités, ne doit pas non plus être négligé.

A l’image de l’année précédente, la menace d’espionnage informatique est celle qui a le plus mobilisé les équipes de l’ANSSI. Près de la moitié des opérations de cyberdéfense de l’agence en 2022 impliquaient des modes opératoires associés en source ouverte à la Chine. Répétées, ces intrusions démontrent une volonté soutenue de s’introduire dans les réseaux d’entités françaises stratégiques.

L’invasion russe de l’Ukraine a généré un contexte favorable à l’augmentation d’actions de déstabilisation en Europe. L’ANSSI a observé des attaques par déni de service distribué, par sabotage informatique ainsi que des opérations informationnelles s’appuyant sur des compromissions de systèmes d’information. Si les attaques par sabotage se sont jusqu’à présent relativement limitées à l’Ukraine, l’évolution du conflit et ses conséquences économiques appellent à une vigilance particulière, notamment dans le secteur de l’énergie.

Des faiblesses persistantes sans cesse exploitées

Les usages numériques non maîtrisés et les faiblesses dans la sécurisation des données continuent d’offrir de trop nombreuses opportunités aux attaquants. Le recours au cloud et l’externalisation de services auprès d’entreprises de services numériques, lorsqu’ils ne s’accompagnent pas de clauses de cybersécurité adaptées, représentent une menace sérieuse.

Bien que le nombre d’attaques ciblant la chaine d’approvisionnement ou supply chain en 2022 ait quelque peu baissé, cette tendance reste forte et souligne un risque systémique.

Enfin, les correctifs sur les vulnérabilités découvertes ne sont pas suffisamment appliqués à temps par les organisations, laissant alors le champ libre aux attaquants pour les exploiter.

Des attaquants toujours plus performants

Comme déjà observé précédemment, différents profils d’attaquants continuent à user d’outils et de techniques similaires. Cette porosité complexifie la caractérisation et l’imputation des activités malveillantes. Les attaquants étatiques s’inspirent des méthodes cybercriminelles et utilisent de plus en plus de rançongiciels à des fins de déstabilisation dans le cadre d’opérations de sabotage informatique. Le ciblage des attaquants évolue, cherchant désormais à obtenir des accès discrets et pérennes aux réseaux de leurs victimes avec la compromission d’équipements périphériques (pare- feu ou routeurs). Ce ciblage périphérique se retrouve également dans le type d’entités compromises et confirme l’intérêt des attaquants pour les prestataires, les fournisseurs, les sous-traitants, les organismes de tutelle et l’écosystème plus large de leurs cibles.

« Ce Panorama de la cybermenace met en lumière une menace cyber qui s’est maintenue à un niveau élevé en 2022. Alors que la France se prépare à accueillir des événements majeurs tels que la Coupe du monde de rugby en 2023 et les Jeux olympiques et paralympiques de Paris en 2024, nous devons renforcer la vigilance et la responsabilité de chacun, pour faire face tous ensemble à cette menace. » déclare Vincent Strubel, directeur général de l’ANSSI.

Glossaire de la cybersécurité

ANSSI : Agence Nationale de la Sécurité des Systèmes d’information, autorité nationale en matière de sécurité et de défense des systèmes d’information.

Antivirus/Antimalware :  logiciel  dont  les  buts  sont  de  détecter  et  d’éradiquer  les  virus  ou  autres  logiciels malveillants.

CERT : centre d’alerte et de réponse à incident de cybersécurité. CERT = Computer Emergency Response Team. CERT est une marque déposée.

Chiffrement : méthode consistant à cacher des informations en utilisant une clé de chiffrement.

CSIRT : synonyme de CERT, c’est un centre d’alerte et de réponse à incident de cybersécurité. CSIRT = Center Security Incident Response Team.

Cyberattaque :  ensemble  de  moyens  dont  le  but  est  d’altérer  le  fonctionnement  nominal  d’un  système d’information.

Cyberdéfense : ensemble des moyens mis en œuvre pour se protéger d’une cyberattaque avérée.

Cybersécurité : ensemble des moyens techniques, organisationnels et humains mis en œuvre dans le but de réduire les cyberattaques.

Ethernet : protocole de communication filaire.

Firewall : synonyme de pare-feu.

InterCert-FR : association de CSIRT/CERT français dont le but est le partage d’information lié à la cybersécurité.

Hameçonnage : technique consistant à envoyer des courriels frauduleux à des utilisateurs dans le but de récupérer des informations, en particulier des identifiants et mots de passe.

Pare-feu : équipement dont le but est de gérer les flux d’entrées et de sortie entre 2 réseaux, en particulier entre le réseau local de l’entité et Internet.

Phishing : synonyme d’hameçonnage.

Rançongiciel : logiciel malveillant qui va chiffrer les données présentes sur les équipements et servant aux attaquants à demander une rançon pour obtenir le déchiffrement des fichiers.

Ransomware : synonyme de rançongiciel.

Routeur : équipement qui sert de passerelle entre 2 réseaux différents et qui permet d’indiquer le chemin (ou la route) pour que les informations se dirigent vers le destinataire.

Système d’exploitation : logiciel installé sur les équipements, qui présente une interface avec l’utilisateur (graphique ou textuelle) et qui permet d’exploiter le matériel.

WiFi : protocole de communication sans fil entre équipements.