L’institutionnalisation du Référent CSIRT, prévue par la Détermination ACN n° 333017/2025, consolide une structure de cyber-gouvernance robuste. Le Référent CSIRT représente le point de liaison technique et opérationnel entre l’entité NIS (essentielle ou importante) et le CSIRT Italia. L’intégration de cette figure au sein de l’équipe de réponse est fondamentale pour bâtir une résilience effective face aux cyber-incidents.

Équipe de réponse aux incidents : rôles et fonctionnement

Le Référent CSIRT opère comme un nœud central au sein de l’Incident Response Team (IRT), garantissant une coordination multidisciplinaire continue entre les différents départements de l’entreprise :

• Service informatique et administrateurs système : ils gèrent les réseaux, les systèmes et les applications. Ils soutiennent l’isolement des systèmes compromis, appliquent les correctifs d’urgence et assurent le rétablissement des services. Ils collaborent avec le Référent CSIRT pour collecter les journaux (logs) et les indicateurs de compromission (IoC) nécessaires à la notification.
• Security Operations Center (SOC) : s’il est présent, il surveille les événements et signale les incidents potentiels. Le Référent CSIRT valide techniquement ces signalements pour déterminer si l’événement constitue un incident significatif conformément à l’art. 25 du décret NIS2.
• Fonction juridique et DPO : ils évaluent les obligations de notification, les contenus minimaux à transmettre au CSIRT Italia et aux autres autorités, y compris la gestion des clauses de cybersécurité dans les contrats TIC. Le soutien juridique est également nécessaire pour les notifications à l’Autorité de protection des données (Garante Privacy) en cas de violation de données personnelles.
• Communication d’entreprise : elle gère la communication envers les clients, les utilisateurs et les médias lors d’incidents significatifs, en prévenant la panique et la désinformation, tout en s’alignant régulièrement avec le Référent CSIRT.
• Direction et organes d’administration : ils approuvent les plans de gestion des incidents et les politiques de sécurité. Le Référent CSIRT rend compte aux organes décisionnels des impacts et des points critiques afin de faciliter des choix rapides concernant la continuité opérationnelle.

Délégation opérationnelle et responsabilité juridique

La désignation du Référent CSIRT représente une délégation opérationnelle et fonctionnelle. Le Référent est l’exécutant des obligations de notification et constitue l’interface technique avec les autorités. Toutefois, la responsabilité finale relative au non-respect des obligations NIS2 incombe aux organes d’administration et de direction conformément à l’art. 23 du décret législatif 138/2024. Ces derniers doivent fournir des ressources et des soutiens adéquats, en veillant à ce que la chaîne décisionnelle soit efficace et rapide pour garantir la ponctualité des notifications (sous 24 ou 72 heures). En cas de violation des obligations, la responsabilité et les sanctions administratives pécuniaires incombent exclusivement aux dirigeants de l’entreprise.

Outils pratiques pour la résilience

• Playbooks : L’ACN recommande l’adoption de playbooks spécifiques par type d’attaque (par exemple, ransomware, DDoS, spear-phishing). Chaque phase de la réponse est associée à des activités et des rôles précis, réduisant la dépendance vis-à-vis des individus et facilitant la gestion même en l’absence de personnes dédiées.
• Exercices sur table (Table-top exercises) : simulations d’incidents significatifs qui permettent de tester le fonctionnement de la chaîne de commandement et les canaux de communication internes. Ces exercices aident également les membres non techniques de l’IRT à comprendre les procédures d’urgence et les demandes d’informations du CSIRT Italia.
• Normes de référence : le processus de gestion des incidents doit être cohérent avec le Cadre national pour la cybersécurité, avec le NIST SP 800-61r3 et avec les lignes directrices CAD, en s’articulant autour des phases de préparation, détection, réponse, rétablissement et amélioration.

Résumé

Le Référent CSIRT joue un rôle opérationnel au sein d’une équipe de réponse aux incidents structurée et multidisciplinaire, dans un écosystème régi par des responsabilités claires et des outils pratiques. Le modèle défini par le décret NIS2 exige des ressources adéquates, des procédures formalisées et une gouvernance fluide pour garantir une réponse résiliente et conforme aux réglementations.