[:fr]Dans cet article, nous allons parler du CSIRT (Computer Security Incident Response team) ou CERT (Computer Emergency Response Team). Derrière ces 2 termes se cache une expertise en sécurité informatique qui réagit rapidement en cas d’incident.

En 1988, en pleine période ARPANET ((réseau développé par le DOD (department of defense)), un étudiant de l’université de CORNELL implanta, sur ce réseau, un ver internet qui se propageait, se répliquait tout seul et exploitait les failles de sécurité UNIX à l’époque.

Afin d’exterminer ce ver internet, une équipe d’analyse, en compagnie d’experts MIT, a été créée pour identifier et corriger les failles d’une part, et d’autre part développer des solutions d’éradication. A la suite de cet incident, le DARPA (Defense Advanced Research Projects Agency), maitrise d’ouvrage d’ARPANET, décida la mise en place d’une structure dédiée, le CERT coordination Center, pour résoudre tous types d’incidents sécurité.

Le terme CERT est le plus utilisé et le plus connu mais il s’agit d’une marque américaine qui appartient à l’université Carnegie Mellon. Les CSIRT peuvent demander l’autorisation d’utiliser le nom de « CERT ». Aujourd’hui, 79 CSIRT sont autorisés à utiliser la marque « CERT ».

Les missions d’un CSIRT, comme définies par le CERTA (CERT français, gouverné par l’ANSSI) sont 5 ?

• Centralisation des demandes d’assistance suite aux incidents de sécurité (attaques) sur les réseaux et les systèmes d’informations : réception des demandes, analyse des symptômes et éventuelle corrélation des incidents ;
• Traitement des alertes et réaction aux attaques informatiques : analyse technique, échange d’informations avec d’autres CSIRT, contribution à des études techniques spécifiques ;
• Etablissement et maintenance d’une base de données des vulnérabilités ;
• Prévention par diffusion d’informations sur les précautions à prendre pour minimiser les risques d’incident ou au pire leurs conséquences ;
• Coordination éventuelle avec les autres entités (hors du domaine d’action) : centres de compétence réseaux, opérateurs et fournisseurs d’accès à Internet, CSIRT nationaux et internationaux.

Quelles sont les motivations pour créer un CSIRT ?

• Une augmentation exponentielle du nombre d’incidents sécurité
• Une augmentation du nombre et type d’organisations affectées par des incidents sécurité
• Un focus de la part des entreprises sur le besoin de politiques sécurité dans le cadre de leur management du risque
• Nouvelles lois et régulations impactant les entreprises en terme de protection des données
• Réaliser que les administrateurs systèmes et réseaux ne peuvent pas protéger l’entreprise à eux seuls

Un CSIRT est composé de plusieurs experts dans différents domaines de la sécurité (intrusions, forensics, malwares, crytpo, etc..) qui préviennent mais surtout réagissent en cas d’incident. Ces experts sont en constante mise à jour des nouveaux vecteurs d’attaques (nouveaux malwares, nouvelles vulnérabilités), tout ceci afin de traiter les incidents de la manière la plus aboutie qui soit.

Quels sont les types de CSIRT ?

Quelles sont les bonnes questions à se poser avant la création d’un CSIRT ?

• Quelles sont les exigences de base pour implémenter un CSIRT ?
• Quel type de CSIRT choisir ?
• Quels types de services doivent être offerts ?
• Quelle dimension doit avoir le CSIRT ?
• Où doit être localisé le CSIRT dans l’entreprise ?
• Combien coutera la mise en place d’un CSIRT ?
• Par où commencer ?

Quelles sont les bonnes pratiques à adopter avant de créer un CSIRT ?

Même si les CSIRT diffèrent d’une entreprise à une autre et selon le staff, l’expertise, le budget et les ressources mis à disposition, il existe un code de bonnes pratiques pour créer un centre de gestion d’incidents. Les étapes sont :

1. Obtenir le support et le budget du management
2. Déterminer le plan stratégique du CSIRT
3. Rassembler les informations nécessaires
4. Etablir une vision stratégique claire
5. Communiquer le plan et la vision
6. Commencer l’implémentation du CSIRT
7. Gérer opérationnellement le CSIRT
8. Evaluer l’efficacité du CSIRT

Il existe plusieurs CSIRT en France. Voici la liste alphabétique des équipes françaises membres du FIRST ou de la TF-CSIRT :

• Le CERT-FR est le CSIRT dédié au secteur de l’administration française ;
• Le CERT-DEVOTEAM est un CSIRT commercial français ;
• Le Cert-IST est un CSIRT dédié au secteur de l’Industrie, des Services et du Tertiaire (IST). Il a été créé à la fin de l’année 1998 par quatre partenaires : Alcatel, le CNES, ELF (Total) et France Télécom (Orange) ;
• Le CERT LA POSTE est le CSIRT du groupe La Poste, pour ses services internes et ses clients ;
• Le CERT-LEXSI (Laboratoire d’EXpertise en Sécurité Informatique) est un CSIRT commercial français ;
• Le CERT-RENATER est le CERT dédié à la communauté des membres du GIP RENATER (Réseau National de télécommunications pour la Technologie, l’Enseignement et la Recherche) ;
• Le CERT-societegenerale est le CSIRT dédié au groupe Société Générale ;
• Le CERT-XMCO est un CSIRT commercial français ;
• Le CSIRT-BNP Paribas est le CSIRT dédié au groupe BNP Paribas ;
• Orange-CERT-CC est le CERT interne de l’opérateur de télécommunication Orange ;
• Le CERT-SOLUCOM est un CSIRT commercial français ;
• Le CERT Crédit Agricole est le CSIRT dédié au groupe Crédit Agricole ;
• Airbus Cybersecurity and Computer Emergency Response Team est un CSIRT commercial européen ;
• Le CERT Banque de France est le CSIRT interne de la Banque de France ;
• Le CSIRT ATOS est un CSIRT commercial français ;
• Airbus Group CERT (ou AiG CERT) est le CSIRT du groupe Airbus ;
• Le CERT Capgemini-Sogeti est un CSIRT commercial français ;
• Le CERT SEKOIA est un CSIRT commercial français ;
• Le CERT UBIK est un CSIRT commercial français ;
• Le CERT Caisse des Dépôts (CERT-CDCFR) est le CSIRT du Groupe Caisse des Dépôts ;
• Le CERT OSIRIS est le CSIRT de l’Université de Strasbourg.

Pour plus d’infos :

• http://magazine.qualys.fr/conformite-organisation/cert-prive-entreprise/
• http://www.cert.org/csirts/national/contact.html
• http://fr.wikipedia.org/wiki/Computer_Emergency_Response_Team
• https://www.enisa.europa.eu/activities/cert/support
• https://www.enisa.europa.eu/activities/cert/support/guide/files/csirt-setting-up-guide-in-french
• https://cert.societegenerale.com/fr/missions.html
• http://www.clusif.asso.fr/fr/production/ouvrages/pdf/CLUSIF-incidents-2011-CERT-et-Cooperation.pdf

Saâd

Consultant sécurité 

[:]