6 Min. de lecture<\/p>\n
119 nouvelles vuln\u00e9rabilit\u00e9s par jour. 461 fuites de donn\u00e9es li\u00e9es \u00e0 l’Allemagne en douze mois. 80 % des attaques par ransomware ciblent les PME et ETI. Les chiffres du rapport de situation du BSI 2025 sont alarmants. Mais ils ne racontent que la moiti\u00e9 de l’histoire. L’autre moiti\u00e9 : l’Allemagne a b\u00e2ti un \u00e9cosyst\u00e8me de r\u00e9ponse aux incidents qui n’a son pareil en Europe. Le CERT-Bund, la Deutsche Cyber-Sicherheitsorganisation et le SOC de Telekom, qui compte 250 experts, forment un syst\u00e8me de d\u00e9fense \u00e0 trois niveaux qui vient en aide aux entreprises en cas de crise. La directive NIS2 rend la r\u00e9ponse professionnelle aux incidents obligatoire. Et c’est pr\u00e9cis\u00e9ment ce qui devient un avantage comp\u00e9titif pour le pays.<\/strong><\/p>\n Ce qui distingue l’Allemagne des autres pays europ\u00e9ens, ce n’est pas une administration ou une entreprise individuelle, mais plut\u00f4t l’interaction de trois niveaux : l’\u00e9tat (BSI\/CERT-Bund), semi-\u00e9tatique (DCSO) et priv\u00e9 (Telekom-SOC et autres MSSPs). Ce syst\u00e8me \u00e0 trois niveaux s’est d\u00e9velopp\u00e9 de mani\u00e8re organique et a fait ses preuves lors des grands incidents des derni\u00e8res ann\u00e9es.<\/p>\n Niveau 1 : CERT-Bund (\u00e9tatique).<\/strong> Le Computer Emergency Response Team<\/a> du BSI est le point central de contact pour les incidents de s\u00e9curit\u00e9 au niveau f\u00e9d\u00e9ral. CERT-Bund assure un service d’urgence 24\/7 en collaboration avec le centre d’information IT et le centre de r\u00e9action aux crises IT. Le service d’alerte et d’information (WID) fournit des conseils techniques en temps r\u00e9el. En tant que membre de FIRST, CERT-Bund est internationalement connect\u00e9 et \u00e9change des informations sur les menaces avec les CERT du monde entier.<\/p>\n Niveau 2 : DCSO (semi-\u00e9tatique\/priv\u00e9).<\/strong> La Deutsche Cyber-Sicherheitsorganisation<\/a> est unique : fond\u00e9e en 2015 comme une coop\u00e9ration public-priv\u00e9e, soutenue \u00e0 parts \u00e9gales par Allianz, BASF, Bayer et Volkswagen. 115 employ\u00e9s bas\u00e9s en Europe et en Am\u00e9rique du Nord fournissent des services d’intelligence sur les menaces et des services SOC. Le conseil technique d\u00e9veloppe des strat\u00e9gies contre la criminalit\u00e9 informatique, l’espionnage industriel num\u00e9rique et la sabotage. DCSO est le lien entre les grandes entreprises et les administrations.<\/p>\n Niveau 3 : Telekom CERT et SOCs priv\u00e9s.<\/strong> Le Master-SOC de la Deutsche Telekom<\/a> \u00e0 Bonn, compos\u00e9 de plus de 250 experts en cybers\u00e9curit\u00e9, est l’un des plus grands en Europe. Il analyse quotidiennement environ un milliard de points de donn\u00e9es pertinents pour la s\u00e9curit\u00e9 provenant de quelque 3 000 sources de donn\u00e9es, gr\u00e2ce \u00e0 l’intelligence artificielle. Le CERT est certifi\u00e9 depuis 2020 selon le standard SIM3. En parall\u00e8le, des SOCs priv\u00e9s tels que G DATA, Atos, Sophos et de nombreuses MSSPs sp\u00e9cialis\u00e9es servent le milieu des PME.<\/p>\n Sources : Rapport de situation du BSI 2024, NIS2UmsuCG<\/p>\n Le rapport BSI 2025<\/a> (p\u00e9riode de publication juillet 2024 \u00e0 juin 2025) pr\u00e9sente pour la premi\u00e8re fois des indicateurs quantitatifs coh\u00e9rents plut\u00f4t que des simples descriptions narratives. 119 nouvelles vuln\u00e9rabilit\u00e9s par jour, une hausse de 24 % par rapport \u00e0 l’ann\u00e9e pr\u00e9c\u00e9dente. 461 fuites de donn\u00e9es li\u00e9es \u00e0 l’Allemagne. 47 % de toutes les adresses IP .de accessibles via Internet exposent des informations sensibles en public.<\/p>\n La pr\u00e9sidente du BSI, Claudia Plattner, r\u00e9sume la situation : \u00ab Toute institution ou personne accessible via Internet est potentiellement menac\u00e9e. Les attaquants cherchent activement les points faibles. Seul celui qui se prot\u00e8ge activement peut \u00e9viter les dommages. \u00bb<\/p>\n Mais il y a aussi des progr\u00e8s : le nombre d’attaques motiv\u00e9es financi\u00e8rement a baiss\u00e9 de 9 %, principalement gr\u00e2ce aux succ\u00e8s d’enqu\u00eate du BKA et du BSI contre la cybercriminalit\u00e9 organis\u00e9e. Et la baisse des attaques de ran\u00e7ongiciel sur les grands h\u00f4pitaux est remarquable : passant de 35 attaques informatiques sur les grandes cliniques en 2021\/2022 \u00e0 21 en 2023 et seulement 3 en 2024. Le programme d’investissements KRITIS<\/a> dans le secteur de la sant\u00e9 montre des r\u00e9sultats.<\/p>\n Le paysage des menaces \u00e9volue : des acteurs russes ciblent sp\u00e9cifiquement des entreprises allemandes, des municipalit\u00e9s et des particuliers. Les attaquants \u00e9tatiques visent les fournisseurs d’\u00e9nergie, les fournisseurs de cloud et l’industrie automobile. Le trend s’oriente vers une industrie espionnage cibl\u00e9 et une sabotage plut\u00f4t qu’une attaque opportuniste de ran\u00e7ongiciel. Pour la r\u00e9ponse aux incidents<\/a>, cela signifie que les cas deviennent plus complexes et n\u00e9cessitent des comp\u00e9tences diff\u00e9rentes que la restauration de sauvegardes chiffr\u00e9es.<\/p>\n S\u00fcdwestfalen-IT (octobre 2023) :<\/strong> L’attaque de ran\u00e7ongiciel de la groupe Akira contre le service IT municipal a \u00e9t\u00e9 l’un des incidents informatiques les plus graves de l’histoire administrative allemande. Plus de 70 municipalit\u00e9s du Rhin-Rh\u00f4ne-Westphalie ont \u00e9t\u00e9 touch\u00e9es, 1,6 million de citoyens n’ont pu r\u00e9aliser leurs d\u00e9marches administratives en ligne pendant plusieurs mois. La cause : un mot de passe faible, l’absence d’authentification \u00e0 deux facteurs et une appliance VPN non mise \u00e0 jour. Aucun paiement de ran\u00e7on n’a \u00e9t\u00e9 effectu\u00e9. Deux dirigeants ont \u00e9t\u00e9 licenci\u00e9s pour n\u00e9gligence dans les obligations de s\u00e9curit\u00e9 fondamentales.<\/p>\n Pour l’\u00e9cosyst\u00e8me de r\u00e9ponse aux incidents, cet incident a constitu\u00e9 un test de pression : le CERT-Bund a coordonn\u00e9 la communication entre les municipalit\u00e9s touch\u00e9es et le BSI. Les \u00e9quipes priv\u00e9es de r\u00e9ponse aux incidents ont aid\u00e9 \u00e0 l’analyse forensique. La le\u00e7on : les services d’IT municipaux constituent un risque syst\u00e9mique et doivent \u00eatre r\u00e9glement\u00e9s plus strictement sous le cadre NIS2.<\/p>\n Continental AG (ao\u00fbt 2022) :<\/strong> Le groupe LockBit a vol\u00e9 environ 40 t\u00e9raoctets de donn\u00e9es, dont des informations potentiellement sensibles de Volkswagen, BMW et Mercedes. L’attaque a rest\u00e9 ind\u00e9tect\u00e9e pendant quatre semaines. Continental a refus\u00e9 de payer une ran\u00e7on initialement demand\u00e9e de 50 millions, puis de 40 millions de dollars am\u00e9ricains. L’FBI a men\u00e9 une enqu\u00eate. L\u00e0 encore, le syst\u00e8me triphas\u00e9 a d\u00e9montr\u00e9 sa force : enqu\u00eate administrative (BKA\/FBI), expertise priv\u00e9e et partage d’informations transsectoriel (DCSO) s’entrecroisaient.<\/p>\n La derni\u00e8re alerte est arriv\u00e9e en f\u00e9vrier 2026 : une attaque DDoS majeure sur bahn.de et le DB Navigator<\/a> a rendu le site web de la Deutsche Bahn inop\u00e9rant de fa\u00e7on ondulatoire pendant plusieurs heures. Un incident qui a montr\u00e9 que m\u00eame les infrastructures critiques dans le transport ferroviaire restent vuln\u00e9rables.<\/p>\n Depuis le 6 d\u00e9cembre 2025, la loi de transposition de la NIS2 est en vigueur en Allemagne. Pour Incident Response, l’article 23 de la directive NIS2 est d\u00e9cisif, mis en \u0153uvre dans un syst\u00e8me de signalement en trois \u00e9tapes : 24 heures pour l’Early Warning (soup\u00e7on d’une cause ill\u00e9gale ou malveillante ? Impact transfrontalier ?). 72 heures pour l’Incident Notification avec une premi\u00e8re \u00e9valuation de la gravit\u00e9 et des Indicators of Compromise. Un mois pour le rapport final.<\/p>\n Pour les entreprises, cela signifie : Incident Response n’est plus une option. Qui n’a pas de plan IR document\u00e9, une \u00e9quipe capable de formuler une Early Warning en moins de 24 heures et un processus pour la notification en 72 heures, enfreint la loi d\u00e8s le premier incident. La direction est personnellement responsable.<\/p>\n L’effet : l’obligation de signalement NIS2 impose une professionnalisation. Les entreprises qui, auparavant, appelaient simplement le service informatique apr\u00e8s un incident (qui pouvait ne pas \u00eatre joignable le week-end), doivent maintenant pr\u00e9senter un processus 24\/7. Cela stimule la demande de services de s\u00e9curit\u00e9 g\u00e9r\u00e9s et de contrats de retainer professionnels avec des prestataires de services IR.<\/p>\n La pr\u00e9sidente du BSI, Plattner, souligne l’urgence : \u00ab Nous ne pouvons pas nous permettre cette incertitude. \u00bb Dans le contexte des environ 179 milliards d’euros que la cybercriminalit\u00e9 co\u00fbte annuellement \u00e0 l’Allemagne, une r\u00e9ponse aux incidents professionnelle n’est pas seulement une obligation de conformit\u00e9, mais un imp\u00e9ratif \u00e9conomique.<\/p>\n L’International Institute for Strategic Studies (IISS) classe l’Allemagne comme \u00ab Cyber Power Tier 2 \u00bb, au m\u00eame niveau que les Pays-Bas et Singapour. Tier 1 : uniquement les \u00c9tats-Unis. La force de l’Allemagne r\u00e9side dans son \u00e9cosyst\u00e8me CERT structur\u00e9 \u00e0 plusieurs niveaux : CERT-Bund, B\u00fcrger-CERT, Bundeswehr-CERT, CERTs r\u00e9gionaux et priv\u00e9s comme Telekom-CERT et DCSO.<\/p>\n Sur les capacit\u00e9s cyber offensives, l’Allemagne est en retard par rapport \u00e0 ses partenaires cl\u00e9s, les \u00c9tats-Unis et le Royaume-Uni. Mais pour l’Allemagne en tant que lieu d’affaires, le c\u00f4t\u00e9 d\u00e9fensif est d\u00e9cisif : les entreprises allemandes peuvent-elles d\u00e9tecter les attaques, y r\u00e9agir et limiter les d\u00e9g\u00e2ts ? L’infrastructure existe d\u00e9j\u00e0 et est renforc\u00e9e par la NIS2.<\/p>\n Lors de la European Cybersecurity Challenge (ECSC) 2025, l’Allemagne a obtenu la 3\u1d49 place, derri\u00e8re l’Italie et le Danemark. Cela montre : le renouvellement des talents en cybers\u00e9curit\u00e9 est l\u00e0, la formation \u00e0 l’Universit\u00e9 technique de Darmstadt, \u00e0 l’Universit\u00e9 Ruhr de Bochum et \u00e0 l’Universit\u00e9 du Saarland produit des sp\u00e9cialistes comp\u00e9titifs sur le plan international.<\/p>\n Le syst\u00e8me en trois \u00e9tapes pr\u00e9sente des lacunes. La plus grande : le milieu des PME. CERT-Bund est responsable des administrations f\u00e9d\u00e9rales et atteint difficilement les petites entreprises. DCSO sert les grands groupes. Le Telekom-SOC est un service commercial. Qui dirige une entreprise de 80 employ\u00e9s et constate une attaque de ransomware \u00e0 2 heures du matin, se retrouve souvent seul.<\/p>\n L’obligation de signalement NIS2 aide th\u00e9oriquement, car elle impose des processus. Mais 24 heures pour une Early Warning sont ambitieuses si l’unique \u00ab \u00e9quipe IR \u00bb est le dirigeant avec son ordinateur personnel. Les services de s\u00e9curit\u00e9 g\u00e9r\u00e9s sont la r\u00e9ponse, mais ils co\u00fbtent entre 500 et 2 000 euros par mois, et de nombreux PME les consid\u00e8rent comme un luxe plut\u00f4t que comme une n\u00e9cessit\u00e9.<\/p>\n En outre : 47 % des adresses IP .de accessibles depuis Internet exposent des informations sensibles. Cela montre que m\u00eame les mesures de base d’hygi\u00e8ne manquent dans pr\u00e8s de la moiti\u00e9 des organisations allemandes. La r\u00e9ponse aux incidents est importante, mais la pr\u00e9vention serait meilleure.<\/p>\n 1. R\u00e9diger et tester un plan de r\u00e9ponse aux incidents.<\/strong> Un plan \u00e9crit de r\u00e9ponse aux incidents avec des r\u00f4les d\u00e9finis, des listes de contacts et des niveaux d’escalade. \u00c0 tester au moins une fois par an sous forme d’exercice de simulation (tabletop). Le plan doit int\u00e9grer les d\u00e9lais de d\u00e9claration pr\u00e9vus par la NIS2 (24h\/72h\/1 mois).<\/p>\n 2. Conclure un contrat de prestation avec un prestataire de r\u00e9ponse aux incidents.<\/strong> Qui n\u2019a pas de sp\u00e9cialiste interne en r\u00e9ponse aux incidents doit avoir un partenaire externe disponible dans les heures qui suivent l\u2019\u00e9v\u00e9nement. DCSO, Telekom Security, G DATA Advanced Analytics ou des boutiques sp\u00e9cialis\u00e9es comme HiSolutions proposent ce type de service.<\/p>\n 3. Mettre en place un monitoring 24\/7.<\/strong> Que ce soit un SOC interne ou un service g\u00e9r\u00e9 : sans surveillance continue, les attaques ne seront d\u00e9tect\u00e9es qu\u2019une fois le dommage d\u00e9j\u00e0 fait. Continental a \u00e9t\u00e9 compromis pendant quatre semaines avant que cela ne soit remarqu\u00e9.<\/p>\n 4. Configurer les canaux de d\u00e9claration aupr\u00e8s de la BSI.<\/strong> Connaitre et tester le portail de la BSI<\/a> pour les signalements avant que le moment critique ne survienne. Celui qui cherche le formulaire de d\u00e9claration lors d’une crise perd des heures pr\u00e9cieuses.<\/p>\n 5. Institutionaliser les le\u00e7ons tir\u00e9es des incidents.<\/strong> Apr\u00e8s chaque incident (m\u00eame chaque tentative d\u2019attaque r\u00e9ussie) : Qu\u2019est-ce qui a fonctionn\u00e9 ? Qu\u2019est-ce qui n\u2019a pas march\u00e9 ? La S\u00fcdwestfalen-IT a co\u00fbt\u00e9 deux dirigeants. La question \u00ab aurions-nous pu pr\u00e9venir cette attaque ? \u00bb doit \u00eatre pos\u00e9e avant que la prochaine ne survienne.<\/p>\n L\u2019\u00e9cosyst\u00e8me allemand de r\u00e9ponse aux incidents est meilleur que son image. CERT-Bund, DCSO et les SOCs priv\u00e9s forment un syst\u00e8me en trois niveaux qui est difficile \u00e0 trouver en Europe. La NIS2 renforce ce syst\u00e8me gr\u00e2ce \u00e0 des obligations de d\u00e9claration obligatoires et \u00e0 une responsabilit\u00e9 personnelle. Les cas de S\u00fcdwestfalen-IT et Continental ont montr\u00e9 : le syst\u00e8me fonctionne sous pression. Mais il n\u2019atteint pas encore suffisamment le secteur du milieu. Pour l\u2019Allemagne, une r\u00e9ponse aux incidents professionnelle n\u2019est pas un co\u00fbt, mais une condition sine qua non pour que les 735 milliards d\u2019euros de l\u2019initiative Made-for-Germany soient investis dans une infrastructure num\u00e9rique s\u00e9curis\u00e9e.<\/p>\n CERT-Bund est l\u2019\u00e9quipe d\u2019intervention d\u2019urgence informatique du BSI. Il coordonne la r\u00e9action face aux incidents de s\u00e9curit\u00e9 \u00e0 l\u2019\u00e9chelle f\u00e9d\u00e9rale et assure un service de disponibilit\u00e9 24h\/24. Les entreprises concern\u00e9es par la NIS2 doivent signaler les incidents via le portail de la BSI. Les entreprises non soumises \u00e0 la NIS2 peuvent \u00e9galement contacter CERT-Bund, mais elles ne re\u00e7oivent pas d\u2019assistance personnalis\u00e9e en mati\u00e8re de r\u00e9ponse aux incidents, seulement des alertes et des recommandations techniques.<\/p>\n La Deutsche Cyber-Sicherheitsorganisation est une soci\u00e9t\u00e9 \u00e0 responsabilit\u00e9 limit\u00e9e, port\u00e9e par Allianz, BASF, Bayer et Volkswagen. Elle propose des services d\u2019intelligence sur les menaces et des services de SOC. L\u2019adh\u00e9sion est ouverte aux entreprises qui participent aux co\u00fbts et partagent des informations sur les menaces. Pour le secteur du milieu, il n\u2019existe pas d\u2019adh\u00e9sion directe, mais les connaissances de la DCSO sont int\u00e9gr\u00e9es dans l\u2019alerte g\u00e9n\u00e9rale via le tableau de bord de la BSI.<\/p>\n Entre 500 et 2\u202f000 euros par mois pour un monitoring de base (SIEM\/XDR en tant que service, alarme 24h\/24, rapport mensuel). Un contrat de service d\u00e9di\u00e9 pour la r\u00e9ponse aux incidents co\u00fbte suppl\u00e9mentaire entre 1\u202f000 et 5\u202f000 euros par mois selon la garantie de temps de r\u00e9ponse. L\u2019alternative (SOC interne avec 3 analystes en rotation) co\u00fbte \u00e0 partir de 300\u202f000 euros par an.<\/p>\n Des amendes pouvant aller jusqu\u2019\u00e0 10 millions d\u2019euros ou 2 % du chiffre d\u2019affaires mondial annuel. La direction prendra une responsabilit\u00e9 personnelle. En outre, la BSI peut demander des rapports interm\u00e9diaires et, en cas de r\u00e9cidive, appliquer des mesures allant jusqu\u2019\u00e0 l\u2019exclusion temporaire de la gestion.<\/p>\n Trois choses imm\u00e9diatement : Premi\u00e8rement, r\u00e9diger un plan de r\u00e9ponse aux incidents avec les r\u00f4les et les contacts. Deuxi\u00e8mement, conclure un contrat de prestation avec un prestataire de r\u00e9ponse aux incidents. Troisi\u00e8mement, organiser une simulation (tabletop) o\u00f9 l\u2019\u00e9quipe teste le plan sous pression. Qui effectue ces trois \u00e9tapes est mieux pr\u00e9par\u00e9 que 80 % du milieu allemand.<\/p>\n NIS2 dans le Deutschland : Quelles entreprises doivent d\u00e9sormais mettre en \u0153uvre (SecurityToday)<\/p>\n NIS2 comme opportunit\u00e9 de base (SecurityToday)<\/p>\n Reboot Germany : 735 Milliarden Investitions<\/a> (MyBusinessFuture)<\/p>\n Board Governance : Digitale Kompetence im Aufsichtsrat<\/a> (Digital Chiefs)<\/p>\nLes points cl\u00e9s en bref<\/h2>\n
\n
L’\u00e9cosyst\u00e8me IR \u00e0 trois niveaux<\/h2>\n
Ce que r\u00e9v\u00e8le vraiment le rapport BSI 2025<\/h2>\n
Deux incidents qui ont mis le syst\u00e8me \u00e0 l’\u00e9preuve<\/h2>\n
NIS2 : Comment l’obligation de signalement professionnalise Incident Response<\/h2>\n
O\u00f9 l’Allemagne se situe \u00e0 l’international<\/h2>\n
La position critique honn\u00eate<\/h2>\n
Cinq \u00e9tapes vers une r\u00e9ponse aux incidents professionnelle<\/h2>\n
Conclusion<\/h2>\n
Foire aux questions<\/h2>\n
Qu\u2019est-ce que CERT-Bund et quand dois-je le contacter ?<\/h3>\n
Qu\u2019est-ce que la DCSO et qui peut en faire partie ?<\/h3>\n
Combien co\u00fbte un SOC g\u00e9r\u00e9 pour le milieu ?<\/h3>\n
Que se passe-t-il si je ne d\u00e9clare pas un incident NIS2 dans les 24 heures ?<\/h3>\n
Comment me pr\u00e9parer \u00e0 un incident de r\u00e9ponse aux incidents ?<\/h3>\n
Les r\u00e9f\u00e9rences suppl\u00e9mentaires<\/h2>\n