Le CSIRT Assurance Maladie RFC2350

09 mai 2025

Références et standards

Le CSIRT Assurance Maladie (CSIRT AM) s’appuie sur des références et standards reconnus pour assurer la conformité réglementaire, l’efficacité opérationnelle et la robustesse de ses pratiques. Ces références sont les suivantes :

  • le Security Incident Management Maturity Model (SIM3) : un modèle de maturité utilisé pour évaluer et améliorer les capacités des équipes de réponse aux incidents de sécurité informatique (CSIRT). Il permet au CSIRT de l'Assurance Maladie d'évaluer et d'améliorer ses capacités à travers 4 domaines principaux : organisationnel, humain, outils et processus ;
  • arrêté du 1er octobre 2015 portant approbation de la politique de sécurité des systèmes d’information pour les ministères chargés des affaires sociales (PSSI-MCAS). Il impose des exigences de sécurité pour les entités relevant du ministère, y compris la mise en place et le pilotage de services de réponse aux incidents pour l’Assurance Maladie. Le respect de cette politique garantit :
    • la conformité réglementaire du CSIRT AM ;
    • une réponse alignée aux exigences du secteur public en matière de sécurité.
  • la directive NIS2 (Network and Information Security) est une réglementation européenne adoptée pour renforcer la cybersécurité au sein de l'Union européenne. Elle impose des exigences spécifiques que le CSIRT de l'Assurance Maladie doit respecter : R18 Détection des incidents, R20 Réponse aux incidents et R23 Gestion de crise. 

Information

Ce document contient une description du CSIRT AM selon le document RFC 2350. Il fournit les informations essentielles concernant le CSIRT AM, ses canaux de communication, son rôle et ses responsabilités.

Version du document

Version 1.5, mise à jour le 17 avril 2025.

Liste de distribution

Il n’existe aucune liste de distribution.

Lieu de publication du document

La version actuelle de cet article sous forme de document est disponible sur demande auprès du CSIRT AM. 

Elle est également téléchargeable sous fichier PDF dans la section « Documents utiles », en bas de page de cet article. 

Authenticité du document

L’authenticité de ce document peut être confirmée sur demande auprès du CSIRT AM.

Identification du document

Titre : Mandat du CSIRT Assurance Maladie - RFC2350
Expiration : ce document est valide jusqu’à la publication d’une nouvelle version.

Contact

Nom

CSIRT Assurance Maladie (CSIRT AM) 

Adresse

Caisse nationale de l’Assurance Maladie (Cnam) 

16, rue Papiau-de-la-Verrie 

CS 60430 

49004 Angers Cedex 01 

Fuseau horaire

CET/CEST 

Numéro de téléphone 

+ 33 2 52 09 20 06 

Les heures ouvrées sont les suivantes : du lundi au vendredi, de 9 h à 18 h (CEST). 

Numéro de fax

Non disponible.

Autre canal de communication 

Non disponible.

Adresse de courrier électronique

csirt.cnam@assurance-maladie.fr 

Clé publique et informations de chiffrement

Le moyen de communication privilégié est la messagerie électronique. Les informations sensibles sont chiffrées avant d’être transmises. En fonction des acteurs, le CSIRT AM utilise PGP pour garantir la confidentialité et l’intégrité des documents échangés. PGP pourra être utilisé pour authentifier les fichiers échangés.

CSIRT AM utilise une clé publique PGP avec les caractéristiques suivantes :

  • ID: 0xB49594E2C5EBE134
  • empreinte : 7EC6 D0BE 7288 277C DF2A 42E2 B495 94E2 C5EB E134

La clé publique peut être récupérée à tout moment à partir des serveurs de clés publiques applicables tels que https://pgp.circl.lu/. PGP. La clé doit être utilisée chaque fois que des informations doivent être envoyées au CSIRT AM de manière sécurisée.

Composition de l’équipe

Pour des raisons de confidentialité, la liste des membres de l’équipe n’est pas publiquement diffusée. Plus d’informations sont disponibles sur demande auprès du CSIRT AM.

Autre information

La Cnam est membre du CERT Social. Ce CERT est un CERT de type sectoriel. Il est dédié à la cybersécurité sur le secteur de la sphère sociale (Caisse nationale d'allocations familiales, Caisse nationale de l'Assurance Maladie, Caisse nationale d’assurance vieillesse, Urssaf Caisse nationale et Mutualité sociale agricole). Il coordonne la gestion des incidents, assure la veille en menaces et vulnérabilités des systèmes d’information. La Cnam a été identifiée pour porter l’organisation, l’animation et assurer les missions décrites du CERT Social. 

Le CSIRT AM agit donc sur le périmètre et pour les organismes de l’Assurance Maladie. Le CERT Social est une organisation interbranche de coordination des caisses nationales de la Sécurité sociale.

Point de contact clients

Il est préférable de contacter le CSIRT AM par mail.

Dans les cas d’urgence, il est possible de contacter le CSIRT AM par téléphone. 

Les heures ouvrées sont les suivantes : du lundi au vendredi, de 9 h à 18 h (CEST).

Charte

Mission

Le CSIRT AM est un CSIRT privé fournissant des services de cybersécurité à l’Assurance Maladie. La mission du CSIRT AM est de lui fournir des services de prévention, réponse, investigation aux incidents majeurs et critiques, ainsi qu’une gestion des vulnérabilités et connaissance de la menace cyber. Le périmètre d’action du CSIRT AM se concentre donc sur les incidents majeurs et critiques, les derniers se caractérisant par une crise sans connaissance de la limite des impacts.

Le mandat du CSIRT AM est le suivant :  

  • anticiper et gérer les incidents majeurs ou critiques en :  
    • contrôlant et surveillant les risques cyber grâce à une veille sur les menaces et les vulnérabilités pouvant impacter l’Assurance Maladie ;  
    • gérant les vulnérabilités sur le périmètre de l’Assurance Maladie ;  
    • investiguant et répondant aux incidents de cybersécurité qui impactent l’Assurance Maladie, selon les règles et lois en vigueur ;  assistant la cellule de crise en fournissant les éléments stratégiques, opérationnels et techniques nécessaires.  
  • contribuer aux efforts des organismes publics visant à contrer les cyberattaquants qui les visent (exemples : CERT Social, CERT Santé, etc.).

Les actions du CSIRT AM sont conduites selon les valeurs suivantes :

  • les analystes du CSIRT AM font preuve de la plus haute intégrité éthique, d’honnêteté et de professionnalisme ;
  • les analystes du CSIRT AM adoptent une posture de service envers la Cnam et les organismes de l’Assurance Maladie.
  • face à des incidents et urgences cyber, les analystes du CSIRT AM feront preuve de réactivité et d’un haut niveau d’investissement ;
  • les analystes du CSIRT AM faciliteront l’échange des bonnes pratiques avec les parties prenantes, sur la base du principe du besoin d’en connaître.

Circonscription 

Le périmètre d’intervention du CSIRT AM porte sur le périmètre de la Caisse nationale de l’Assurance Maladie, ainsi que celui de l’ensemble des organismes du réseau de l’Assurance Maladie.

Pour obtenir une liste complète et plus d’informations, se référer à l’article Un réseau de proximité

Parrainage et affiliation

Le CSIRT AM est une équipe de réponse à incidents affiliée à la Cnam.

Autorité

Le CSIRT AM agit sous l’autorité de du directeur général de la Cnam.

Stratégie

Types d’incidents et niveau de support 

Le CSIRT AM s’occupe de tous types d’incidents de cybersécurité impactant sa circonscription.

Coopération, échange et confidentialité de l’information

Le CSIRT AM soutient la coordination opérationnelle et l’échange d’informations entre CERT, CSIRT, SOC et autres entités similaires. Le CSIRT AM estime que de telles actions sont positives pour le CSIRT AM et les parties tierces, et peuvent aider à réaliser de manière plus efficace leur devoir ainsi que la résolution d’incidents de sécurité.

De plus, le CSIRT AM attache une importance cruciale à la confidentialité de la donnée et au principe du besoin d’en connaître. Le CSIRT AM applique le protocole Traffic Light Protocol version 2.0. Dès lors, les informations seront classifiées CLEAR, GREEN, AMBER, AMBER+STRICT, et RED.

Le CSIRT AM applique également le « Permissible actions protocol » (PAP), qui définit les actions autorisées lors des échanges d’informations sensibles avec des partenaires. Le PAP permet de formaliser les règles d’utilisation, de partage et de manipulation des données, garantissant ainsi leur confidentialité, leur intégrité et une approche sécurisée des collaborations.

Le CSIRT AM opère selon le cadre légal français.

Communication

Le CSIRT AM protège les informations sensibles selon les politiques et règlementations de l’Assurance Maladie, de la France, et de l’Union européenne.

Les communications sécurisées, incluant le chiffrement et l’authentification, sont réalisées en utilisant une clé PGP ou les outils Bluefiles et ZED, selon la sensibilité et le contexte.

Services

Gestion des incidents cyber

  • évaluation de la sévérité de l’incident ;
  • catégorisation de l’incident ;
  • résolution des incidents :
    • réalise les investigations et forensic en vue de déterminer la raison racine de l’incident ;
    • partage les informations avec les autorités légales et institutionnelles quand nécessaire ;
    • propose des plans d’endiguement, éradication, et récupération ;
    • collecte des preuves à des fins légales et institutionnelles ;
  • fourniture des éléments techniques nécessaires à la cellule de crise.

Connaissance de la menace

Le service CTI du CSIRT AM est responsable de la supervision de la menace et des vulnérabilités susceptibles d’impacter sa circonscription. Il : 

  • fournit une connaissance du paysage de la menace permettant d’orienter les actions du CSIRT ;  
  • veille et collecte les informations pertinentes pour la circonscription du CSIRT ;  
  • capitalise et contextualise les informations brutes récoltées ;  
  • analyse les données collectées pour aider à la prise de décision ;  
  • partage les renseignements avec les différentes parties prenantes, au niveau stratégique, tactique et opérationnel, selon le TLP ;  
  • fournit les renseignements nécessaires relatifs aux exploitations de vulnérabilités par des acteurs menaçants ;  
  • fournit les renseignements nécessaires à la cellule de crise ;  
  • partage les relations avec les autres CSIRT, CERT, et autres communautés selon le principe du besoin d’en connaître ;
  • élabore les règles de détection et signatures.

Gestion des événements cyber (service délégué en partie au SOC)

Le CSIRT AM est responsable de la détection de circonstance, en vue d’anticiper et gérer l’incident en fonction des menaces identifiées pouvant cibler l’Assurance Maladie.

Gestion des vulnérabilités

S’agissant de la gestion des vulnérabilités, il convient :

  • d’évaluer l’exposition des actifs ciblés ;
  • d’évaluer la criticité des vulnérabilités ainsi que ses composantes techniques ;
  • de fournit les recommandations relatives aux vulnérabilités.

Engagements de niveaux de services

À ce jour, le CSIRT AM n’a pas d’engagement de niveaux de services.

Formulaire de déclaration d’un incident

Le CSIRT AM encourage à déclarer les incidents en utilisant des courriels chiffrés avec les informations suivantes :

  • contact et information de l’organisation ;
  • un résumé de l’incident/urgence/crise ;
  • la date et le type d’événement ;
  • la source de l’information ;
  • les systèmes affectés ;
  • l’évaluation de l’impact ;
  • les détails des observations qui ont menées à la découverte de l’incident ;
  • les données techniques pertinentes ;
  • le TLP/PAP.

Clause de non-responsabilité

Non applicable.