Le CERT-FR est le CSIRT national français, hébergé et opéré par l'ANSSI. Il publie les bulletins d'alerte de référence, traite les cyberattaques visant les opérateurs critiques, partage des indicateurs de compromission et coordonne la réponse française avec ses homologues européens et internationaux. Pour une cellule de crise cyber, c'est un partenaire et une source de veille incontournable.
Les chiffres-clés à connaître
Définition
Un CERT (Computer Emergency Response Team) ou CSIRT (Computer Security Incident Response Team) est une équipe dédiée à la veille, à l'alerte et à la réponse aux incidents de sécurité informatique pour un périmètre donné. Le CERT-FR est le CSIRT gouvernemental français, c'est-à-dire l'équipe qui traite les attaques visant l'État et les opérateurs critiques nationaux.
Il a été créé en 2000 sous le nom de CERTA (Centre d'Expertise gouvernemental de Réponse et de Traitement des Attaques informatiques), au sein de la DCSSI. Il est devenu CERT-FR en 2014, intégré à l'ANSSI. Aujourd'hui rattaché à la sous-direction Opérations, il constitue la cellule opérationnelle de l'agence face aux cyberattaques. C'est l'un des piliers concrets de la gestion de crise cyber au niveau national.
Missions principales
Le CERT-FR remplit cinq grands rôles.
- Veille technique permanente sur les vulnérabilités, les modes opératoires des attaquants et l'évolution des menaces.
- Publication d'avis, alertes et bulletins à destination du public et des organisations régulées.
- Réponse à incident pour les administrations et les opérateurs critiques : analyse forensique, conseils de remédiation, soutien à la reconstruction.
- Partage d'indicateurs de compromission (IoC) avec les communautés CSIRT nationales, sectorielles et internationales.
- Coopération internationale via les réseaux FIRST, TF-CSIRT, et la coopération européenne CSIRTs Network.
Comprendre les différents bulletins
Les publications du CERT-FR suivent un format standardisé qui permet une lecture rapide en cellule de crise ou en SOC.
- CERTFR-AVI (avis) : signalement d'une vulnérabilité, avec criticité, produits affectés et correctifs à appliquer.
- CERTFR-ALE (alerte) : situation d'exploitation active d'une vulnérabilité. Lecture prioritaire en cellule de crise.
- CERTFR-ACT (bulletin d'actualité) : synthèse hebdomadaire de l'actualité cyber.
- CERTFR-CTI (cyber threat intelligence) : rapports techniques détaillés sur les modes opératoires.
- CERTFR-IOC : flux d'indicateurs de compromission, à diffusion restreinte.
Pour la cellule de crise cyber, l'abonnement aux flux RSS et la définition d'un protocole de relecture quotidien sont des prérequis de base.
Périmètre d'intervention
Le CERT-FR n'est pas un service universel. Il intervient sur un périmètre défini par la loi et la doctrine ANSSI :
- Administrations de l'État et leurs opérateurs.
- Opérateurs d'importance vitale (OIV) au sens des SAIV.
- Opérateurs de services essentiels (OSE) au sens de NIS 1.
- Entités essentielles et entités importantes (EE/EI) au sens de NIS 2 depuis 2024.
- Soutien ponctuel aux collectivités sur incident majeur, en lien avec les CSIRT régionaux.
Pour les autres organisations, la chaîne d'assistance passe par les CSIRT territoriaux et la plateforme cybermalveillance.gouv.fr.
À retenir : le CERT-FR n'enquête pas et ne juge pas. Il défend, conseille, oriente. Le pénal relève de la justice et des services d'enquête (gendarmerie, police nationale). L'attribution publique d'attaques reste politique.
Tableau récapitulatif
| Dimension | Réalité opérationnelle |
|---|---|
| Création | 2000 (sous le nom CERTA), renommé CERT-FR en 2014 |
| Statut | Composante opérationnelle de l'ANSSI |
| Mode de saisine | Sur périmètre régulé, signalement obligatoire (NIS 2) ; coopération sur demande |
| Délais NIS 2 | Pré-notification 24 h, notification complète 72 h |
| Publications | Avis (AVI), alertes (ALE), bulletins (ACT), CTI |
| Permanence | 24/7, astreinte opérationnelle |
| Réseaux internationaux | FIRST, TF-CSIRT, CSIRTs Network (UE) |
| Coopération nationale | CSIRT sectoriels, CSIRT régionaux, CSIRT privés |
| Site officiel | cert.ssi.gouv.fr / cyber.gouv.fr |
| Rapport annuel | Panorama de la cybermenace ANSSI |
Quel intérêt pour un acteur de la gestion de crise ?
1. En amont : veille et durcissement
Les bulletins du CERT-FR signalent les vulnérabilités exploitées en masse. Intégrer cette veille dans la cellule de crise et son équipe technique permet de patcher en priorité, d'organiser des exercices ciblés, et d'aligner le SOC sur les modes opératoires en cours.
2. Pendant l'incident : soutien et coordination
Si l'organisation est éligible, le CERT-FR peut envoyer des analystes, partager des IoC, suggérer une stratégie de contournement. La cellule de crise garde le pilotage opérationnel et communicationnel ; le CERT-FR est en appui technique.
3. Après : retour d'expérience et partage
Le partage de RETEX entre victimes et CSIRT alimente la connaissance collective. Une organisation qui a vécu une crise gagne à transmettre, sous forme anonymisée, ses enseignements au CERT-FR et au CSIRT territorial. C'est aussi un levier pour préparer la prochaine crise, notamment celles façonnées par l'IA générative.
L'écosystème des CSIRT français
Le CERT-FR n'est pas seul. Plusieurs autres CSIRT couvrent des périmètres complémentaires :
- CERT Santé (CERT-SANTE) pour le secteur de la santé, opéré par l'Agence du Numérique en Santé.
- CERT-FR Finance (CERT-FR FIN) pour le secteur bancaire et financier.
- CSIRT régionaux labellisés ANSSI, déployés depuis 2022 pour couvrir les PME, ETI, collectivités et associations.
- CSIRT internes de grandes entreprises et opérateurs (banques, énergie, télécoms).
Cet écosystème est piloté techniquement par l'ANSSI et coordonné politiquement par le SGDSN. Pour une organisation, savoir quel CSIRT couvre quel périmètre, c'est savoir à qui s'adresser en cas d'attaque.
Exemples concrets d'usages du CERT-FR en cellule de crise
Vulnérabilité critique massivement exploitée
Quand le CERT-FR publie une alerte (CERTFR-ALE) sur une vulnérabilité de type Log4Shell, MOVEit ou Citrix Bleed, la fenêtre d'action est de quelques heures. Une cellule de crise mature a déjà défini les rôles : qui valide la criticité, qui patche, qui isole, qui communique aux clients. L'alerte CERT-FR sert de signal d'allumage, pas de point de départ.
Campagne de rançongiciel sectorielle
Lorsqu'un groupe (LockBit, BlackCat, Akira) cible massivement un secteur, le CERT-FR publie un rapport CTI détaillant les modes opératoires et les IoC. Une organisation du secteur visé doit traduire ces informations en mesures concrètes : chasse aux IoC dans les SIEM, durcissement des accès distants, renforcement de la sauvegarde immuable.
Crise cyber d'envergure nationale
Lors d'incidents systémiques (compromission supply chain type SolarWinds, vague d'attaques sur les hôpitaux), le CERT-FR devient point de coordination national. La cellule de crise de l'organisation maintient son pilotage propre mais s'aligne sur la doctrine nationale relayée par le CERT-FR. Dans ces moments, la valeur du CERT-FR ne se mesure pas seulement à l'aide technique fournie, mais à la cohérence collective qu'il instaure : éviter qu'une organisation publie un communiqué qui révèle un mode opératoire encore exploité ailleurs, ou qu'une décision de remédiation hâtive complique l'investigation judiciaire conduite en parallèle.
Pour aller plus loin
Votre veille CERT-FR est-elle vraiment intégrée à votre cellule de crise ?
30 minutes pour outiller votre cellule de crise cyber : protocoles de tri des bulletins, exercices, articulation SOC / pilotage / communication.
Échanger avec un consultant →