Incident Response à la mode allemande : comment le BSI et les entreprises collaborent

6 Min. de lecture

119 nouvelles vulnérabilités par jour. 461 fuites de données liées à l’Allemagne en douze mois. 80 % des attaques par ransomware ciblent les PME et ETI. Les chiffres du rapport de situation du BSI 2025 sont alarmants. Mais ils ne racontent que la moitié de l’histoire. L’autre moitié : l’Allemagne a bâti un écosystème de réponse aux incidents qui n’a son pareil en Europe. Le CERT-Bund, la Deutsche Cyber-Sicherheitsorganisation et le SOC de Telekom, qui compte 250 experts, forment un système de défense à trois niveaux qui vient en aide aux entreprises en cas de crise. La directive NIS2 rend la réponse professionnelle aux incidents obligatoire. Et c’est précisément ce qui devient un avantage compétitif pour le pays.

Les points clés en bref

119 nouvelles vulnérabilités par jour : Une hausse de 24 % par rapport à l’année précédente. Parallèlement, le nombre d’attaques à motivation financière a reculé de 9 % grâce aux succès des enquêtes du BKA et du BSI (Rapport de situation du BSI 2025).
CERT-Bund fonctionne en mode 24h/24 et 7j/7 : L’équipe nationale de réponse aux urgences informatiques du BSI analyse les incidents, alerte les entreprises et coordonne la réaction au niveau de l’État. Membre de FIRST (Forum of Incident Response and Security Teams).
DCSO : Allianz, BASF, Bayer et VW unis : La Deutsche Cyber-Sicherheitsorganisation, qui compte 115 collaborateurs, relie le monde économique et les autorités dans le partage de Threat Intelligence.
SOC de Deutsche Telekom : 250 experts, 1 milliard de points de données quotidiens : L’un des plus grands Security Operations Center d’Europe. Analyse assistée par l’IA alimentée par 3.000 sources de données.
Obligation de notification NIS2 : 24 heures pour l’alerte précoce : 72 heures pour la notification d’incident. Un mois pour le rapport final. Responsabilité des dirigeants en cas de manquement.

L’écosystème IR à trois niveaux

Ce qui distingue l’Allemagne des autres pays européens, ce n’est pas une administration ou une entreprise individuelle, mais plutôt l’interaction de trois niveaux : l’état (BSI/CERT-Bund), semi-étatique (DCSO) et privé (Telekom-SOC et autres MSSPs). Ce système à trois niveaux s’est développé de manière organique et a fait ses preuves lors des grands incidents des dernières années.

Niveau 1 : CERT-Bund (étatique). Le Computer Emergency Response Team du BSI est le point central de contact pour les incidents de sécurité au niveau fédéral. CERT-Bund assure un service d’urgence 24/7 en collaboration avec le centre d’information IT et le centre de réaction aux crises IT. Le service d’alerte et d’information (WID) fournit des conseils techniques en temps réel. En tant que membre de FIRST, CERT-Bund est internationalement connecté et échange des informations sur les menaces avec les CERT du monde entier.

Niveau 2 : DCSO (semi-étatique/privé). La Deutsche Cyber-Sicherheitsorganisation est unique : fondée en 2015 comme une coopération public-privée, soutenue à parts égales par Allianz, BASF, Bayer et Volkswagen. 115 employés basés en Europe et en Amérique du Nord fournissent des services d’intelligence sur les menaces et des services SOC. Le conseil technique développe des stratégies contre la criminalité informatique, l’espionnage industriel numérique et la sabotage. DCSO est le lien entre les grandes entreprises et les administrations.

Niveau 3 : Telekom CERT et SOCs privés. Le Master-SOC de la Deutsche Telekom à Bonn, composé de plus de 250 experts en cybersécurité, est l’un des plus grands en Europe. Il analyse quotidiennement environ un milliard de points de données pertinents pour la sécurité provenant de quelque 3 000 sources de données, grâce à l’intelligence artificielle. Le CERT est certifié depuis 2020 selon le standard SIM3. En parallèle, des SOCs privés tels que G DATA, Atos, Sophos et de nombreuses MSSPs spécialisées servent le milieu des PME.

726

Signalements KRITIS au BSI en 2024

24h

Délai de signalement sous NIS2

22 APTs

groupes actifs en Allemagne

Sources : Rapport de situation du BSI 2024, NIS2UmsuCG

250+

Experts en cybersécurité dans le Master-SOC de Bonn de la Telekom

Source : Rapport Corporate Responsibility de la Deutsche Telekom, 2024

Ce que révèle vraiment le rapport BSI 2025

Le rapport BSI 2025 (période de publication juillet 2024 à juin 2025) présente pour la première fois des indicateurs quantitatifs cohérents plutôt que des simples descriptions narratives. 119 nouvelles vulnérabilités par jour, une hausse de 24 % par rapport à l’année précédente. 461 fuites de données liées à l’Allemagne. 47 % de toutes les adresses IP .de accessibles via Internet exposent des informations sensibles en public.

La présidente du BSI, Claudia Plattner, résume la situation : « Toute institution ou personne accessible via Internet est potentiellement menacée. Les attaquants cherchent activement les points faibles. Seul celui qui se protège activement peut éviter les dommages. »

Mais il y a aussi des progrès : le nombre d’attaques motivées financièrement a baissé de 9 %, principalement grâce aux succès d’enquête du BKA et du BSI contre la cybercriminalité organisée. Et la baisse des attaques de rançongiciel sur les grands hôpitaux est remarquable : passant de 35 attaques informatiques sur les grandes cliniques en 2021/2022 à 21 en 2023 et seulement 3 en 2024. Le programme d’investissements KRITIS dans le secteur de la santé montre des résultats.

Le paysage des menaces évolue : des acteurs russes ciblent spécifiquement des entreprises allemandes, des municipalités et des particuliers. Les attaquants étatiques visent les fournisseurs d’énergie, les fournisseurs de cloud et l’industrie automobile. Le trend s’oriente vers une industrie espionnage ciblé et une sabotage plutôt qu’une attaque opportuniste de rançongiciel. Pour la réponse aux incidents, cela signifie que les cas deviennent plus complexes et nécessitent des compétences différentes que la restauration de sauvegardes chiffrées.

Deux incidents qui ont mis le système à l’épreuve

Südwestfalen-IT (octobre 2023) : L’attaque de rançongiciel de la groupe Akira contre le service IT municipal a été l’un des incidents informatiques les plus graves de l’histoire administrative allemande. Plus de 70 municipalités du Rhin-Rhône-Westphalie ont été touchées, 1,6 million de citoyens n’ont pu réaliser leurs démarches administratives en ligne pendant plusieurs mois. La cause : un mot de passe faible, l’absence d’authentification à deux facteurs et une appliance VPN non mise à jour. Aucun paiement de rançon n’a été effectué. Deux dirigeants ont été licenciés pour négligence dans les obligations de sécurité fondamentales.

Pour l’écosystème de réponse aux incidents, cet incident a constitué un test de pression : le CERT-Bund a coordonné la communication entre les municipalités touchées et le BSI. Les équipes privées de réponse aux incidents ont aidé à l’analyse forensique. La leçon : les services d’IT municipaux constituent un risque systémique et doivent être réglementés plus strictement sous le cadre NIS2.

Continental AG (août 2022) : Le groupe LockBit a volé environ 40 téraoctets de données, dont des informations potentiellement sensibles de Volkswagen, BMW et Mercedes. L’attaque a resté indétectée pendant quatre semaines. Continental a refusé de payer une rançon initialement demandée de 50 millions, puis de 40 millions de dollars américains. L’FBI a mené une enquête. Là encore, le système triphasé a démontré sa force : enquête administrative (BKA/FBI), expertise privée et partage d’informations transsectoriel (DCSO) s’entrecroisaient.

La dernière alerte est arrivée en février 2026 : une attaque DDoS majeure sur bahn.de et le DB Navigator a rendu le site web de la Deutsche Bahn inopérant de façon ondulatoire pendant plusieurs heures. Un incident qui a montré que même les infrastructures critiques dans le transport ferroviaire restent vulnérables.

119 / Jour

nouvelles vulnérabilités quotidiennes (+24 % par rapport à l’année précédente)

Source : Rapport BSI 2025

NIS2 : Comment l’obligation de signalement professionnalise Incident Response

Depuis le 6 décembre 2025, la loi de transposition de la NIS2 est en vigueur en Allemagne. Pour Incident Response, l’article 23 de la directive NIS2 est décisif, mis en œuvre dans un système de signalement en trois étapes : 24 heures pour l’Early Warning (soupçon d’une cause illégale ou malveillante ? Impact transfrontalier ?). 72 heures pour l’Incident Notification avec une première évaluation de la gravité et des Indicators of Compromise. Un mois pour le rapport final.

Pour les entreprises, cela signifie : Incident Response n’est plus une option. Qui n’a pas de plan IR documenté, une équipe capable de formuler une Early Warning en moins de 24 heures et un processus pour la notification en 72 heures, enfreint la loi dès le premier incident. La direction est personnellement responsable.

L’effet : l’obligation de signalement NIS2 impose une professionnalisation. Les entreprises qui, auparavant, appelaient simplement le service informatique après un incident (qui pouvait ne pas être joignable le week-end), doivent maintenant présenter un processus 24/7. Cela stimule la demande de services de sécurité gérés et de contrats de retainer professionnels avec des prestataires de services IR.

La présidente du BSI, Plattner, souligne l’urgence : « Nous ne pouvons pas nous permettre cette incertitude. » Dans le contexte des environ 179 milliards d’euros que la cybercriminalité coûte annuellement à l’Allemagne, une réponse aux incidents professionnelle n’est pas seulement une obligation de conformité, mais un impératif économique.

Où l’Allemagne se situe à l’international

L’International Institute for Strategic Studies (IISS) classe l’Allemagne comme « Cyber Power Tier 2 », au même niveau que les Pays-Bas et Singapour. Tier 1 : uniquement les États-Unis. La force de l’Allemagne réside dans son écosystème CERT structuré à plusieurs niveaux : CERT-Bund, Bürger-CERT, Bundeswehr-CERT, CERTs régionaux et privés comme Telekom-CERT et DCSO.

Sur les capacités cyber offensives, l’Allemagne est en retard par rapport à ses partenaires clés, les États-Unis et le Royaume-Uni. Mais pour l’Allemagne en tant que lieu d’affaires, le côté défensif est décisif : les entreprises allemandes peuvent-elles détecter les attaques, y réagir et limiter les dégâts ? L’infrastructure existe déjà et est renforcée par la NIS2.

Lors de la European Cybersecurity Challenge (ECSC) 2025, l’Allemagne a obtenu la 3ᵉ place, derrière l’Italie et le Danemark. Cela montre : le renouvellement des talents en cybersécurité est là, la formation à l’Université technique de Darmstadt, à l’Université Ruhr de Bochum et à l’Université du Saarland produit des spécialistes compétitifs sur le plan international.

La position critique honnête

Le système en trois étapes présente des lacunes. La plus grande : le milieu des PME. CERT-Bund est responsable des administrations fédérales et atteint difficilement les petites entreprises. DCSO sert les grands groupes. Le Telekom-SOC est un service commercial. Qui dirige une entreprise de 80 employés et constate une attaque de ransomware à 2 heures du matin, se retrouve souvent seul.

L’obligation de signalement NIS2 aide théoriquement, car elle impose des processus. Mais 24 heures pour une Early Warning sont ambitieuses si l’unique « équipe IR » est le dirigeant avec son ordinateur personnel. Les services de sécurité gérés sont la réponse, mais ils coûtent entre 500 et 2 000 euros par mois, et de nombreux PME les considèrent comme un luxe plutôt que comme une nécessité.

En outre : 47 % des adresses IP .de accessibles depuis Internet exposent des informations sensibles. Cela montre que même les mesures de base d’hygiène manquent dans près de la moitié des organisations allemandes. La réponse aux incidents est importante, mais la prévention serait meilleure.

Cinq étapes vers une réponse aux incidents professionnelle

1. Rédiger et tester un plan de réponse aux incidents. Un plan écrit de réponse aux incidents avec des rôles définis, des listes de contacts et des niveaux d’escalade. À tester au moins une fois par an sous forme d’exercice de simulation (tabletop). Le plan doit intégrer les délais de déclaration prévus par la NIS2 (24h/72h/1 mois).

2. Conclure un contrat de prestation avec un prestataire de réponse aux incidents. Qui n’a pas de spécialiste interne en réponse aux incidents doit avoir un partenaire externe disponible dans les heures qui suivent l’événement. DCSO, Telekom Security, G DATA Advanced Analytics ou des boutiques spécialisées comme HiSolutions proposent ce type de service.

3. Mettre en place un monitoring 24/7. Que ce soit un SOC interne ou un service géré : sans surveillance continue, les attaques ne seront détectées qu’une fois le dommage déjà fait. Continental a été compromis pendant quatre semaines avant que cela ne soit remarqué.

4. Configurer les canaux de déclaration auprès de la BSI. Connaitre et tester le portail de la BSI pour les signalements avant que le moment critique ne survienne. Celui qui cherche le formulaire de déclaration lors d’une crise perd des heures précieuses.

5. Institutionaliser les leçons tirées des incidents. Après chaque incident (même chaque tentative d’attaque réussie) : Qu’est-ce qui a fonctionné ? Qu’est-ce qui n’a pas marché ? La Südwestfalen-IT a coûté deux dirigeants. La question « aurions-nous pu prévenir cette attaque ? » doit être posée avant que la prochaine ne survienne.

Conclusion

L’écosystème allemand de réponse aux incidents est meilleur que son image. CERT-Bund, DCSO et les SOCs privés forment un système en trois niveaux qui est difficile à trouver en Europe. La NIS2 renforce ce système grâce à des obligations de déclaration obligatoires et à une responsabilité personnelle. Les cas de Südwestfalen-IT et Continental ont montré : le système fonctionne sous pression. Mais il n’atteint pas encore suffisamment le secteur du milieu. Pour l’Allemagne, une réponse aux incidents professionnelle n’est pas un coût, mais une condition sine qua non pour que les 735 milliards d’euros de l’initiative Made-for-Germany soient investis dans une infrastructure numérique sécurisée.

Foire aux questions

Qu’est-ce que CERT-Bund et quand dois-je le contacter ?

CERT-Bund est l’équipe d’intervention d’urgence informatique du BSI. Il coordonne la réaction face aux incidents de sécurité à l’échelle fédérale et assure un service de disponibilité 24h/24. Les entreprises concernées par la NIS2 doivent signaler les incidents via le portail de la BSI. Les entreprises non soumises à la NIS2 peuvent également contacter CERT-Bund, mais elles ne reçoivent pas d’assistance personnalisée en matière de réponse aux incidents, seulement des alertes et des recommandations techniques.

Qu’est-ce que la DCSO et qui peut en faire partie ?

La Deutsche Cyber-Sicherheitsorganisation est une société à responsabilité limitée, portée par Allianz, BASF, Bayer et Volkswagen. Elle propose des services d’intelligence sur les menaces et des services de SOC. L’adhésion est ouverte aux entreprises qui participent aux coûts et partagent des informations sur les menaces. Pour le secteur du milieu, il n’existe pas d’adhésion directe, mais les connaissances de la DCSO sont intégrées dans l’alerte générale via le tableau de bord de la BSI.

Combien coûte un SOC géré pour le milieu ?

Entre 500 et 2 000 euros par mois pour un monitoring de base (SIEM/XDR en tant que service, alarme 24h/24, rapport mensuel). Un contrat de service dédié pour la réponse aux incidents coûte supplémentaire entre 1 000 et 5 000 euros par mois selon la garantie de temps de réponse. L’alternative (SOC interne avec 3 analystes en rotation) coûte à partir de 300 000 euros par an.

Que se passe-t-il si je ne déclare pas un incident NIS2 dans les 24 heures ?

Des amendes pouvant aller jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial annuel. La direction prendra une responsabilité personnelle. En outre, la BSI peut demander des rapports intermédiaires et, en cas de récidive, appliquer des mesures allant jusqu’à l’exclusion temporaire de la gestion.

Comment me préparer à un incident de réponse aux incidents ?

Trois choses immédiatement : Premièrement, rédiger un plan de réponse aux incidents avec les rôles et les contacts. Deuxièmement, conclure un contrat de prestation avec un prestataire de réponse aux incidents. Troisièmement, organiser une simulation (tabletop) où l’équipe teste le plan sous pression. Qui effectue ces trois étapes est mieux préparé que 80 % du milieu allemand.