A quoi sert un CSIRT ?

CSIRT, acronyme de Computer Security Incident Response Team, désigne une équipe d’experts en cybersécurité, spécialement formée pour réagir à un éventuel incident informatique. Les CSIRT sont communément appelés CERT (Computer Emergency Response Team). Mais pour utiliser la marque CERT, ils doivent en demander l’autorisation. Aujourd’hui, il existe plusieurs CERT en France, notamment CERT AlgoSecure, AXA CERT, Ai CERT ou encore AlliaCERT. 

Une brève histoire des CERT

Le tout premier CERT est apparu avec le premier ver informatique en novembre 1988. A cette époque, un étudiant de l’université de Cornell avait développé un programme informatique, baptisé « Morris », qui se propageait dans l’ancêtre d’Internet, ARPANET. Résultat : Morris est parvenu à infecter près de 4 % des machines et à perturber sérieusement le réseau qui, à l’époque, ne comptait pas plus de 60 000 ordinateurs.  En réponse, le MIT, Berkeley et Purdue ont formé une équipe d’experts pour réduire le logiciel malveillant à néant. Ils y parviendront en s’appuyant sur le « reverse engineering » du code de Morris, en vue de corriger les failles exploitées par le ver et, in fine, l’éradiquer complètement. Suite à cet incident, la Defense Advanced Research Projects Agency (DARPA), organisme à l’origine de la création d’ARPANET, a décidé de former une structure permanente : le CERT / Coordination Center (CERT/CC) est né. Aujourd’hui, on compte plusieurs centaines de CSIRT / CERT dans le monde. Pour la plupart, ces structures appartiennent à des Etats, mais aussi à des entreprises, des universités et des administrations. 

Quelles sont les missions d’un CSIRT ?

Généralement, un CSIRT effectue 5 grandes missions, telles que définies par le CERT gouvernemental français opéré par l’ANSSI : le CERTA. Il s’agit principalement des missions suivantes : 

1. Centraliser les demandes d’assistance générées par les attaques sur les SI et les réseaux, les analyser et établir une corrélation des incidents le cas échéant ;
2. Traiter les alertes et réagir aux incidents de cybersécurité (analyse technique, contribution à des études techniques, échange d’informations avec les CSIRT) ;
3. Mettre en place et maintenir une base de données des vulnérabilités recensées ;
4. Prévenir, sensibiliser, diffuser des informations sur les précautions à prendre ;
5. Coordonner avec les opérateurs et fournisseur d’accès à Internet, les centres de compétence réseaux, les autres CSIRT au niveau national et international.

Les différents types de CSIRT 

Pour rappel, il existe différents types de CSIRT, notamment les CSIRT internes à une entreprise, une université ou un Etat. Les grandes institutions financières ne sont pas en reste, car elles disposent généralement d’un CSIRT dont le rôle est d’intervenir en cas d’incidents de cybersécurité, à la fois auprès du groupe dans son ensemble, ses filiales et éventuellement ses clients. Citons également les CSIRT dits commerciaux ou externalisés, composés d’experts de prestataires de services qui proposent des prestations de veille et de réponse aux incidents à leurs clients. L’intérêt des CSIRT réside dans leur capacité à réagir efficacement en cas de cyber attaque, dans un contexte où la maîtrise totale du système d’information de n’importe quelle organisation est une quasi-impossibilité technique.