Le premier CERT est né du constat d’un besoin de coordination entre les acteurs chargés de réagir aux cyber-incidents. Le FIRST, traduisant la nécessité d’élargir cette coordination à l’international, fut créé en 1990 afin d’offrir à la communauté de CERT naissante les moyens d’échange, de partage, susceptibles de conférer plus d’efficacité à leurs missions. Aujourd’hui, CERT de la première heure et organisations récemment créées, trouvent dans les outils de coordination internationale des espaces de rencontre, des moyens d’échange de données et offrent aussi aux nouveaux entrants des ressources (expérience, parfois financements). Depuis le début des années 90, le paysage des CERT a considérablement évolué. Se sont multipliées notamment les initiatives de coordination internationale dont l’observation permet de s’interroger sur les modalités conditionnant des relations efficaces, et de constater des freins à leur expansion.

L’année prochaine les CERT souffleront leur 30ème bougie. Peu de gens le savent, mais le CERT Coordination Center [CERT/CC] fut créé aux U.S.A. par la DARPA en 1988 en réponse au ver Morris. Celui-ci exploitait des vulnérabilités dans des services exposés sur Internet ainsi que la faiblesse des mots de passe de certains utilisateurs. Les incidents de 2017 - WannaCry puis NotPetya - ont démontré que, près de 30 ans plus tard, la marge de progrès reste… conséquente. Les cyberattaques de toutes intensités sont quotidiennes et les CERT sont plus que jamais le maillon central de la cybersécurité des entreprises comme des États. Anticipation, Détection, Réaction, les missions des CERT s'étoffent année après année et elles nécessitent une adaptation constante aux menaces et aux besoins de leurs constituency [CONST]. Par ailleurs, la résilience de la Nation dépend désormais si fortement des systèmes d’information de certaines entreprises ou administrations que la France a fixé les objectifs et les exigences de cybersécurité de ces opérateurs d’importance vitale [OIV]. Leurs CERT et plus généralement leurs équipes de détection et de réaction devront être certifiées, ou a minima conformes, respectivement aux référentiels PDIS et PRIS, tel que nous le verrons dans l’article consacré à la LPM.

Un CSIRT ou un SOC ne saurait être efficace sans des outils appropriés. Certes, l’organisation de l’équipe, l’écriture et la diffusion de procédures adaptées au périmètre à défendre et régulièrement maintenues, ainsi qu’une veille continue sont essentielles pour être en mesure de défendre un système d’information contre les viles attaques qui le visent. Mais le choix d’outils destinés à faciliter autant que possible le renseignement sur les menaces, la réponse à incidents de sécurité informatique et les investigations numériques se révèlent tout aussi importants. D’autant plus que nous vivons à une époque où les aigrefins de tout acabit pullulent. La collaboration étroite entre les membres d’un CSIRT ou d’un SOC et le partage avec leurs pairs sont donc choses vitales...

« Il ne faut pas vendre la peau de l’ours avant d’avoir sinkholé tous ses domaines » -- Ancien proverbe chinois

David Bizeul et Guillaume Arcas, tous deux bien connus du monde de la sécurité informatique et notamment de la réponse à incident, vous livrent ici leurs parcours, points de vue et conseils quant aux enjeux de cet incroyable domaine qu’est la sécurité.