in , ,

Un CSIRT, à quoi ça CERT ?

CSIRT (Computer Security Incident Response Team) / CERT (Computer Emergency Response Team)

Aujourd’hui, je vais vous parler de CSIRT (Computer Security Incident Response Team) / CERT (Computer Emergency Response Team). Derrière ces acronymes barbares se cachent des équipes d’experts en sécurité informatique organisées pour réagir en cas d’incident informatique.

Le terme CERT est le plus utilisé et le plus connu mais il s’agit d’une marque américaine qui appartient à l’université Carnegie Mellon. Les CSIRT peuvent demander l’autorisation d’utiliser le nom de « CERT ». Aujourd’hui, 79 CSIRT sont autorisés à utiliser la marque « CERT ».

Un peu d’histoire

L’apparition du premier CERT a coïncidé avec la propagation du premier « ver » informatique développé par un étudiant de l’université de Cornell. En novembre 1988, ce programme informatique commence à se propager dans ARPANET, l’ancêtre d’Internet, qui ne comprenait à l’époque qu’environ 60 000 ordinateurs. « Morris » c’est le nom donné à ce ver informatique infecte 3 à 4% des machines et perturbe très fortement le réseau.

Pour éliminer ce logiciel malveillant,  une équipe composée d’experts du MIT, de Berkeley et de Purdue a été formée. Ces derniers ont pu procéder au « reverse engineering » du code du ver pour identifier et corriger les failles qu’il exploitait et développer une solution d’éradication. C’est à la suite de cet incident majeur que la DARPA (Defense Advanced Research Projects Agency), qui a créée ARPANET, a pris la décision de mettre en œuvre une structure permanente, le CERT / Coordination Center (CERT/CC). La création de cette organisation répondait à la nécessité de disposer d’une équipe capable de répondre à des incidents informatiques et qui pourrait jouer un rôle de coordination avec les administrateurs informatiques des réseaux touchés.

Aujourd’hui des centaines de CSIRT / CERT existent dans le monde entier. Ils appartiennent à des Etats, des administrations, des universités ou des entreprises.

Vous aimerez aussi cet article:

Les missions d’un CSIRT

Selon le CERT-FR (opéré par l’ANSSI), un CSIRT assume plusieurs responsabilités, telles que :

  • Centralisation des incidents : les CSIRT sont les points de contact privilégiés en cas d’attaque, permettant la collecte et l’analyse des incidents rapportés.
  • Réponse technique : ils traitent les alertes et fournissent des recommandations pour limiter l’impact des attaques, souvent en collaboration avec d’autres équipes.
  • Base de vulnérabilités : un CSIRT maintient une base de données des failles connues pour anticiper les menaces et protéger l’organisation.
  • Prévention : diffusion d’informations et conseils pour réduire les risques.
  • Coordination : liaison avec des partenaires externes, incluant d’autres CSIRT ou CERT, fournisseurs d’accès et opérateurs de réseaux.

Généralement un CSIRT est une équipe de sécurité opérationnelle, composée d’experts de différents domaines (malwares, test d’intrusion, veille, lutte contre la cybercriminalité, forensics…). Elle est chargée de prévenir et de réagir en cas d’incidents de sécurité informatique.

En amont, elle assure notamment une veille sécurité (les nouvelles attaques, les nouveaux logiciels malveillants, les dernières vulnérabilités) pour « connaître »  l’état de la menace et évaluer les propres vulnérabilités de son organisation.

En aval, elle analyse et traite les incidents de sécurité en aidant à leur résolution. C’est une équipe qui centralise et sert de relais que ce soit en interne et ou externe de l’entreprise car la communication est une de ses fonctions principales.

Vous aimerez aussi cet article:

Typologie des CSIRT

CSIRT internes : opérant au sein des entreprises ou administrations (comme ceux de la Société Générale ou de BNP Paribas), ils agissent pour sécuriser leurs propres infrastructures.

CSIRT commerciaux : ils sont externalisés et proposent des services aux entreprises ne disposant pas d’une équipe interne dédiée à la réponse aux incidents. Par exemple, des entreprises comme Intrinsec ou Devoteam fournissent ces services.

Vous aimerez aussi cet article:

Pourquoi un CSIRT ?

Les cyberattaques sont de plus en plus fréquentes et variées, et les entreprises doivent se préparer non seulement à se protéger, mais aussi à détecter et réagir rapidement en cas d’incident.

C’est pourquoi après avoir misé sur la prévention et la protection, nous devons investir dans la détection et la réaction. Détecter pour identifier le plus en amont possible une tentative d’attaque, un comportement anormal sur ses réseaux ou une exfiltration de données. Répondre en étant préparé à réagir en cas d’incident de sécurité (attaque virale, DDoS, phishing…) à travers un véritable processus de gestion et de réponse à incident qui va être piloté et mis en œuvre par un équipe de type CSIRT.

L’avantage d’un CSIRT est de centraliser la réponse à incident mais également de servir de relai vers l’intérieur de l’organisation (pour prévenir les menaces en informant et sensibilisant) et surtout vers l’extérieur à destinations des autres CSIRT et CERT et de la communauté sécurité en général.  Des initiatives ont été rapidement lancées pour regrouper les CSIRT du monde entier et leur permettre de coopérer :

  • Le TF-CSIRT, qui a pour mission piloter une plateforme d’échange d’expériences pour la communauté européenne des CSIRT et d’aider à la création de nouveaux CSIRT. 204 CSIRT sont listés par le TF-CSIRT.
  • Le FIRST (Forum of Incident Response and Security Teams), qui est une organisation mondiale qui regroupe 286 CSIRT et CERT. Comme TF-CSIRT, il s’agit avant tout d’un cercle de confiance dans lequel les différentes équipes de réponse à incident peuvent partager de l’information et des bonnes pratiques. Le FIRST organise également une conférence annuelle internationale.

L’état des CSIRT en France

L’ENISA (European Network and Information Security Agency), l’agence européenne de sécurité des systèmes d’information, recense les centres européens sur son site Internet via une carte interactive.

L’état des CSIRT en France a évolué ces dernières années. Selon les dernières informations de l’ENISA, plusieurs CSIRT sont toujours actifs, mais certains ont changé ou fusionné.

  • le CERTA est toujours le CERT de l’administration française. Il reste une référence pour la sécurité informatique gouvernementale.
  • le CERT-Solucom n’existe plus sous cette forme. Depuis la fusion avec Wavestone, il est désormais intégré dans les services de cybersécurité de ce cabinet de conseil.
  • le Cert-IST dédié à l’industrie, reste actif et est toujours affilié à TF-CSIRT et FIRST.
  • le CERT-DEVOTEAM et CERT-Intrinsec continuent d’exister en tant que CSIRT commerciaux, offrant des services externalisés de réponse aux incidents et de cybersécurité. ;
  • le CERT-LEXSI a été acquis par Orange Cyberdefense en 2016. Il continue d’opérer sous cette nouvelle structure.
  • le CERT-RENATER reste le CERT pour les membres de la communauté de l’enseignement supérieur et de la recherche.
  • le CERT-Societe Generale est toujours actif et a maintenu son accréditation au FIRST.
  • le CERT-XMCO fonctionne toujours comme un CSIRT commercial.
  • le CERT La Poste est le CERT interne du Groupe La Poste ;
  • Le CSIRT BNP Paribas est un CSIRT interne du groupe BNP Paribas
  • le ORANGE-CERT-CC est le CERT interne d’Orange.

Le nombre de CSIRT en France continue d’augmenter avec la création de nouveaux centres et l’intégration d’équipes dans les réseaux FIRST et TF-CSIRT. Par ailleurs, la création de CSIRT territoriaux depuis 2021, dans le cadre du plan France Relance, vise à renforcer la cybersécurité au niveau régional.

Il est également notable que l’association InterCERT France, officialisée en 2021, regroupe de plus en plus de membres pour faciliter l’échange d’expertise et d’informations entre les différents CSIRT du pays.

L’évolution des missions des CSIRT face aux nouvelles menaces

Les CSIRT doivent constamment adapter leurs stratégies pour répondre aux nouvelles menaces, telles que les ransomwares et les cyberattaques ciblant les infrastructures critiques. Initialement focalisés sur la gestion des incidents classiques, ces équipes s’orientent désormais vers une approche proactive. Ils investissent dans des outils d’analyse avancée et de détection des menaces pour anticiper les attaques avant qu’elles ne se produisent.

L’utilisation de l’intelligence artificielle et du machine learning permet aux CSIRT d’identifier des comportements anormaux dans les réseaux et de détecter des intrusions complexes. Par ailleurs, les CSIRT se concentrent de plus en plus sur la sensibilisation et la formation en interne, afin de renforcer la résilience des organisations. Ils collaborent aussi étroitement avec d’autres entités, telles que les CERT nationaux et les organismes de régulation, pour un partage d’information optimal face aux menaces sophistiquées. Ces évolutions montrent l’importance croissante des CSIRT dans le paysage de la cybersécurité moderne.

Comment évaluer la maturité d’un CSIRT ?

L’évaluation de la maturité d’un CSIRT est cruciale pour déterminer son efficacité à gérer les incidents de cybersécurité. L’ENISA propose un cadre de maturité basé sur plusieurs critères, incluant la gestion des incidents, la planification stratégique et la coordination avec d’autres équipes.

Ce modèle identifie différents niveaux de maturité, allant de l’initiation à l’optimisation. À chaque étape, des pratiques spécifiques doivent être en place, comme l’existence de procédures documentées, la formation continue des membres et l’utilisation d’outils d’analyse avancés. En outre, l’évaluation prend en compte la capacité du CSIRT à interagir avec des entités externes pour la coordination et le partage d’informations. Ces évaluations régulières permettent de cibler les axes d’amélioration, favorisant ainsi une réponse plus rapide et plus efficace face aux menaces émergentes.

Les défis actuels des CSIRT en France

Les CSIRT français font face à plusieurs défis, notamment le manque de personnel qualifié. La pénurie d’experts en cybersécurité limite la capacité des équipes à réagir efficacement aux incidents. De plus, l’évolution rapide des menaces exige une formation continue et des compétences techniques diversifiées. Un autre défi est l’alignement avec les exigences de la directive NIS2, qui impose des standards plus stricts en matière de sécurité.

Les CSIRT doivent également améliorer leur collaboration avec d’autres entités, telles que les autorités nationales et les CERT européens, pour renforcer la coordination et le partage d’informations. La complexité croissante des cyberattaques, ciblant notamment les infrastructures critiques, requiert une adaptation constante des outils et des méthodologies. Face à ces enjeux, les CSIRT doivent renforcer leur résilience et leur capacité à innover pour rester efficaces.

L’impact de la directive NIS2 sur les CSIRT européens

La directive NIS2, adoptée en 2023, a profondément modifié le cadre de fonctionnement des CSIRT en Europe. Elle renforce les obligations des États membres en matière de sécurité des réseaux et impose de nouvelles normes de coopération entre les CSIRT. L’un des principaux changements concerne l’amélioration du partage d’informations et la coordination lors des incidents transfrontaliers. La directive oblige également les organisations critiques à signaler tout incident de cybersécurité majeur, sous peine de sanctions.

En réponse, les CSIRT doivent mettre en place des processus plus robustes pour surveiller et signaler les menaces. Cette directive encourage également le développement de capacités nationales de réponse aux incidents, en investissant dans la formation et l’équipement des CSIRT. En somme, la NIS2 vise à créer un environnement plus sécurisé en facilitant la collaboration entre les CSIRT et en standardisant les pratiques de gestion des incidents à travers l’Europe.

Sources et pour en savoir plus :

Newsletter

Envie de ne louper aucun de nos articles ? Abonnez vous pour recevoir chaque semaine les meilleurs actualités avant tout le monde.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *