Identification

Rôle des CERT et CSIRT

Dans le processus d'identification et de gestion des incidents, les équipes de réponse aux incidents de sécurité informatique (CSIRT) jouent un rôle d’assistance auprès des victimes. Grâce à leur expérience et à leur savoir-faire, elles sont en mesure d’aider les personnes ou les organisations en difficulté, de manière efficace, rapide et à bas coût. C’est la raison pour laquelle les CSIRT sont appelés les « pompiers de l’informatique ».

Un CSIRT aide les organisations à juguler et à réparer les failles de sécurité et les menaces informatiques. Cette fonction réactive est appelée gestion des incidents. En général, elle comprend trois aspects principaux :

  1. la fonction « signalement des incidents » (incident reporting) qui permet à un CSIRT de servir de point de contact centralisé pour signaler des problèmes locaux. Tous les rapports d'incident sont collectés dans un lieu unique où l'information peut être analysée ;
  2. la fonction « analyse de l'incident » (incident analysis). Cette fonction est utilisée pour déterminer les tendances et modes d'intrusion et pour recommander des stratégies de prévention adaptées à l'organisation. Une analyse de l'incident implique également une étude en profondeur du rapport ou de l’activité d'incident afin d’en déterminer la portée, la priorité et la menace, ainsi que la recherche de réponses possibles et de stratégies d'atténuation ;
  3. la fonction « réponse aux incidents » (incident response) qui peut prendre plusieurs formes. Un CSIRT peut envoyer des recommandations pour la récupération, le confinement ou la prévention à l'organisation ou effectuer ces étapes lui-même.

Un autre rôle des CSIRT dans le processus de gestion des incidents consiste à collecter des informations sur les incidents afin d’établir des statistiques permettant d’avoir une vue complète sur la cybersécurité et de prendre les décisions politiques adaptées.

Les acteurs européens participant aux efforts des CSIRT sont le CSIRT-Network et Trusted-Introducer, au niveau mondial c'est le FIRST

Services des CERT et CSIRT

Les CSIRT offrent des services réactifs, des services proactifs et/ou des services concernant la gestion de la qualité de la sécurité. D’après l’ENISA (European Network and Information Security Agency), les types de prestations traditionnels dans ces trois domaines sont les suivants :

  • Services réactifs :
    • Alertes et avertissements
    • Traitement des incidents
    • Traitement des vulnérabilités
    • Traitement des artefacts
  • Services proactifs :
    • Annonces
    • Veille technologique
    • Audits ou évaluations de la sécurité
    • Configuration et maintenance de la sécurité
    • Développement d’outils de sécurité
    • Services de détection des intrusions
    • Diffusion d’informations relatives à la sécurité
  • Services concernant la gestion de la qualité de la sécurité :
    • Analyse des risques
    • Continuité de l’activité et reprise après sinistre
    • Consultance en matière de sécurité
    • Sensibilisation
    • Éducation/formation
    • Évaluation ou certification des produits

 

Le « Guide de création d’un CSIRT pas à pas » qui a été publié par l’ENISA en 2006 donne de plus amples explications sur ces différents services. Disponible dans 26 langues, il fait la synthèse des informations sur les CSIRT.  

Il n’existe pas de liste prédéfinie des fonctions remplies par un CSIRT. Quels que soient les services qu’il entend livrer, son action doit se fonder sur les objectifs d’affaire de la constituante. La protection des actifs critiques est l’élément clé du succès à la fois de l’organisation concernée et du CSIRT.

Afin que l’organisation concernée sache quels sont les services offerts, il est usuel que les CSIRT publient un document appelé RFC2350 (par exemple sur leur site web). Ce fichier devrait, en accord avec le document RFC2350 – Expectations for Computer Security Incident Response de 1998, définir les prestations de services et les informations de contact du CSIRT.

L'importance des fonctions proactives ne doit pas être sous-estimée. Elles peuvent aider une organisation non seulement à prévenir les incidents de sécurité informatique, mais aussi à réduire le temps de réaction à un incident. La réactivité constitue un facteur essentiel dans le montage, la maintenance et le déploiement d'un CSIRT efficace. Une réponse rapide, précise, ciblée et efficace permet de minimiser le préjudice global porté aux finances, au matériel et aux logiciels causé par un incident spécifique.

Le service « Trusted Introducer » (TI) sert comme équivalence de certification de qualité aux CSIRT. Il énumère sur son site web les équipes de réponse aux incidents connues et accrédite et/ou certifie celles qui ont fait preuve d’un certain niveau de maturité. Des détails sur tous les CSIRT énumérés peuvent être consultés dans un répertoire géré par le service.

Dernière mise à jour