Dans cet article, nous allons parler du CSIRT (Computer Security Incident Response team) ou CERT (Computer Emergency Response Team). Derrière ces 2 termes se cache une expertise en sécurité informatique qui réagit rapidement en cas d’incident.

En 1988, en pleine période ARPANET ((réseau développé par le DOD (department of defense)), un étudiant de l’université de CORNELL implanta, sur ce réseau, un ver internet qui se propageait, se répliquait tout seul et exploitait les failles de sécurité UNIX à l’époque.

Afin d’exterminer ce ver internet, une équipe d’analyse, en compagnie d’experts MIT, a été créée pour identifier et corriger les failles d’une part, et d’autre part développer des solutions d’éradication. A la suite de cet incident, le DARPA (Defense Advanced Research Projects Agency), maitrise d’ouvrage d’ARPANET, décida la mise en place d’une structure dédiée, le CERT coordination Center, pour résoudre tous types d’incidents sécurité.

Le terme CERT est le plus utilisé et le plus connu mais il s’agit d’une marque américaine qui appartient à l’université Carnegie Mellon. Les CSIRT peuvent demander l’autorisation d’utiliser le nom de « CERT ». Aujourd’hui, 79 CSIRT sont autorisés à utiliser la marque « CERT ».

 

Les missions d’un CSIRT, comme définies par le CERTA (CERT français, gouverné par l’ANSSI) sont 5 ?

  • Centralisation des demandes d’assistance suite aux incidents de sécurité (attaques) sur les réseaux et les systèmes d’informations : réception des demandes, analyse des symptômes et éventuelle corrélation des incidents ;
  • Traitement des alertes et réaction aux attaques informatiques : analyse technique, échange d’informations avec d’autres CSIRT, contribution à des études techniques spécifiques ;
  • Etablissement et maintenance d’une base de données des vulnérabilités ;
  • Prévention par diffusion d’informations sur les précautions à prendre pour minimiser les risques d’incident ou au pire leurs conséquences ;
  • Coordination éventuelle avec les autres entités (hors du domaine d’action) : centres de compétence réseaux, opérateurs et fournisseurs d’accès à Internet, CSIRT nationaux et internationaux.

Quelles sont les motivations pour créer un CSIRT ?

  • Une augmentation exponentielle du nombre d’incidents sécurité
  • Une augmentation du nombre et type d’organisations affectées par des incidents sécurité
  • Un focus de la part des entreprises sur le besoin de politiques sécurité dans le cadre de leur management du risque
  • Nouvelles lois et régulations impactant les entreprises en terme de protection des données
  • Réaliser que les administrateurs systèmes et réseaux ne peuvent pas protéger l’entreprise à eux seuls

Un CSIRT est composé de plusieurs experts dans différents domaines de la sécurité (intrusions, forensics, malwares, crytpo, etc..) qui préviennent mais surtout réagissent en cas d’incident. Ces experts sont en constante mise à jour des nouveaux vecteurs d’attaques (nouveaux malwares, nouvelles vulnérabilités), tout ceci afin de traiter les incidents de la manière la plus aboutie qui soit.

 

Quels sont les types de CSIRT ?

Quelles sont les bonnes questions à se poser avant la création d’un CSIRT ?

  • Quelles sont les exigences de base pour implémenter un CSIRT ?
  • Quel type de CSIRT choisir ?
  • Quels types de services doivent être offerts ?
  • Quelle dimension doit avoir le CSIRT ?
  • Où doit être localisé le CSIRT dans l’entreprise ?
  • Combien coutera la mise en place d’un CSIRT ?
  • Par où commencer ?

Quelles sont les bonnes pratiques à adopter avant de créer un CSIRT ?

Même si les CSIRT diffèrent d’une entreprise à une autre et selon le staff, l’expertise, le budget et les ressources mis à disposition, il existe un code de bonnes pratiques pour créer un centre de gestion d’incidents. Les étapes sont :

  1. Obtenir le support et le budget du management
  2. Déterminer le plan stratégique du CSIRT
  3. Rassembler les informations nécessaires
  4. Etablir une vision stratégique claire
  5. Communiquer le plan et la vision
  6. Commencer l’implémentation du CSIRT
  7. Gérer opérationnellement le CSIRT
  8. Evaluer l’efficacité du CSIRT

 

Il existe plusieurs CSIRT en France. Voici la liste alphabétique des équipes françaises membres du FIRST ou de la TF-CSIRT :

 

Pour plus d’infos :

 

Saâd

Consultant sécurité