Un CSIRT territorial est une équipe régionale de réponse à incident cyber, labellisée par l'ANSSI. Cofinancé par l'État et la Région, il est conçu pour assister les PME, ETI, collectivités, associations et structures de l'économie sociale et solidaire qui n'ont pas accès direct au CERT-FR. C'est le « numéro à appeler » de la cybersécurité de proximité.
Les chiffres-clés à connaître
Définition
Un CSIRT (Computer Security Incident Response Team) est une équipe organisée pour aider une communauté définie à se préparer aux cyberattaques, à les détecter et à y répondre. Un CSIRT territorial est un CSIRT dont la communauté de référence est définie par un périmètre géographique régional, et dont la mission est explicitement orientée vers les acteurs locaux qui n'ont pas d'accès direct au dispositif national.
Le programme français de CSIRT territoriaux a été lancé en 2022 dans le cadre de la stratégie nationale d'accélération pour la cybersécurité, financée par France Relance puis France 2030. Il s'inscrit dans une logique de proximité et de couverture nationale complémentaire au CERT-FR, sur le modèle des Länder allemands. Chaque CSIRT régional constitue désormais un pilier opérationnel de la gestion de crise cyber pour les acteurs de son territoire.
Pourquoi un dispositif régional, et pas seulement le CERT-FR ?
Trois constats ont conduit l'État à structurer ce maillage territorial.
- L'explosion de la cybercriminalité de masse : rançongiciels, fraudes au président, compromissions de messagerie. Le CERT-FR ne peut pas traiter ce volume sans saturer.
- L'asymétrie entre grands opérateurs et tissu PME / collectivités : les premiers ont des équipes cyber internes, les seconds non. Sans intermédiaire de proximité, les seconds restent démunis.
- Le besoin d'un acteur de confiance neutre, capable d'orienter sans intérêt commercial. Un CSIRT territorial cofinancé public joue ce rôle de tiers de confiance entre la victime et le marché des prestataires.
Le résultat : un maillage qui permet à une mairie, une PME industrielle ou une association d'avoir un interlocuteur en région, accessible en quelques heures.
Missions principales
Le cahier des charges ANSSI structure l'activité d'un CSIRT territorial autour de cinq grands axes.
- Réception et qualification des signalements d'incident en provenance des bénéficiaires régionaux.
- Première assistance technique : conseils immédiats (déconnecter, sauvegarder les preuves, ne pas payer la rançon), aide à la priorisation des actions, soutien à la communication interne.
- Orientation vers les prestataires qualifiés (PRIS, PASSI), les autorités (CNIL, gendarmerie, police), les autres CSIRT.
- Veille et alerte régionalisées, relais des bulletins du CERT-FR vers la communauté locale.
- Animation et sensibilisation : exercices régionaux, formations aux dirigeants, journées de mobilisation.
Bénéficiaires éligibles
Le périmètre des bénéficiaires est explicitement défini par la charte des CSIRT territoriaux. Sont éligibles :
- Les PME et ETI implantées dans la région.
- Les collectivités territoriales : communes, intercommunalités, départements, syndicats mixtes.
- Les associations et structures de l'économie sociale et solidaire.
- Certains établissements de santé non régulés au niveau national (cliniques privées, EHPAD, centres de soins).
- Les établissements d'enseignement non rattachés à un opérateur national.
Les opérateurs d'importance vitale, les entités essentielles (NIS 2) et les administrations de l'État relèvent du CERT-FR via l'ANSSI. Les particuliers et indépendants s'orientent vers cybermalveillance.gouv.fr.
À retenir : le CSIRT territorial est un service public régional. Il ne fait ni à la place de l'organisation, ni à la place du prestataire. Il qualifie, conseille, oriente. Sa valeur réside dans la rapidité de la première réponse et la neutralité de l'orientation.
Tableau récapitulatif
| Dimension | Réalité opérationnelle |
|---|---|
| Lancement national | 2022 (stratégie nationale cyber) |
| Pilotage | ANSSI (labellisation), Régions (portage) |
| Financement | État (France Relance, France 2030) + Région |
| Bénéficiaires | PME, ETI, collectivités, associations, ESS, santé non régulée |
| Service | Première assistance gratuite, orientation, sensibilisation |
| Périmètre exclu | OIV, EE/EI NIS 2, administrations d'État, particuliers |
| Modèle | Inspiré des Länder allemands et CSIRT régionaux européens |
| Couverture | Toutes régions métropolitaines et ultra-marines visées |
| Coopération | CERT-FR, autres CSIRT régionaux, CSIRT sectoriels |
| Saisine | Téléphone régional, formulaire, ou via cybermalveillance.gouv.fr |
Quel intérêt pour un acteur de la gestion de crise ?
1. Avoir un point d'entrée identifié à froid
La pire situation, au moment où l'attaque se déclenche, c'est de chercher qui appeler. Identifier en amont son CSIRT territorial, inscrire son numéro dans la composition de la cellule de crise, et tester la prise de contact dans un exercice fait gagner des heures précieuses.
2. Gagner du temps dans les six premières heures
L'expérience montre que la qualité de la première heure conditionne fortement la trajectoire de la crise. Le CSIRT territorial aide à éviter les erreurs classiques : payer la rançon dans la panique, débrancher trop tard, effacer les traces utiles à la suite.
3. Sécuriser l'orientation prestataire et juridique
Un CSIRT territorial neutre oriente vers les bons interlocuteurs : PRIS pour la réponse incident, CNIL pour la notification de violation de données, gendarmerie ou police pour la plainte, assureur si l'organisation a une cyber-assurance.
4. S'inscrire dans une communauté de pratique
Au-delà de la crise, le CSIRT régional anime exercices et formations. Y participer, c'est aussi se former à la nouvelle vague de menaces façonnées par l'IA générative et au partage de RETEX entre pairs.
Articulation avec les autres briques nationales
Pour bien situer un CSIRT territorial, le plus simple est de cartographier l'écosystème français :
- ANSSI : autorité nationale, doctrine et régulation.
- CERT-FR : CSIRT national, État et opérateurs critiques.
- CSIRT sectoriels : santé, finance, éducation, recherche.
- CSIRT territoriaux : régions, PME, collectivités, associations.
- cybermalveillance.gouv.fr : particuliers, indépendants, structures isolées.
Cette répartition est volontaire : chaque maillon répond à un besoin distinct, et la coopération entre eux est désormais formalisée.
Erreurs fréquentes à éviter
L'observation des premières années du dispositif fait apparaître plusieurs erreurs récurrentes côté organisations.
- Attendre la crise pour identifier le CSIRT. Chercher le numéro à 3 heures du matin un samedi quand le SI est chiffré, c'est trop tard.
- Confondre CSIRT et prestataire forensique. Le CSIRT régional n'est pas un substitut gratuit à un PRIS. Sa valeur est dans la qualification rapide et l'orientation neutre.
- Sous-déclarer les incidents. Beaucoup de PME et collectivités hésitent à signaler par peur de l'image. Or les CSIRT régionaux travaillent en confidentialité et la sous-déclaration empêche la communauté d'apprendre.
- Oublier les autres briques. Saisir le CSIRT ne dispense ni de la plainte, ni de la notification CNIL sous 72 h, ni de la communication aux clients et partenaires.
- Négliger la dimension communication. Une cyberattaque est aussi une crise réputationnelle. Le CSIRT couvre la technique ; la cellule de crise doit avoir préparé sa doctrine de communication.
Pour aller plus loin
Préparer votre cellule de crise à mobiliser son CSIRT régional ?
30 minutes pour outiller PME, ETI, collectivités et associations à intégrer le CSIRT territorial dans leur dispositif de cellule de crise et leurs exercices.
Échanger avec un consultant →