I. Définition
Le CSIRT est une équipe d’intervention en cas d’incident de sécurité informatique (en anglais, Computer Security Incident Response Team ) , un organisme qui reçoit des signalements d’atteintes à la sécurité, analyse les rapports concernés et répond à leurs émetteurs. Un CSIRT peut être un groupe déjà établi, une équipe se réunissant ponctuellement ou un premier point de contact pour les institutions d’un gouvernement en cas d’incident de sécurité informatique.
II. Les différents types
Il en existe divers types. Un CSIRT Interne fait partie d’un organisme parent, tel qu’une administration, une entreprise, une université ou un réseau de recherche. Les CSIRT Nationaux (un type de CSIRT interne), par exemple, supervisent le traitement des incidents à l’échelle de tout un pays. En général, les CSIRT internes se réunissent à intervalles réguliers au cours de l’année pour réaliser des tâches proactives, telles que des tests de reprise après désastre. Ils peuvent aussi se rassembler selon les besoins en cas d’atteinte à la sécurité. Les CSIRT Externes fournissent des services payants de façon régulière ou ponctuelle.
III. Composition d’un CSIRT
Le CERT (Computer Emergency Readiness Team) dresse la liste des rôles suivants parmi les attributions des membres d’un CSIRT :
- Directeur ou chef d’équipe.
- Directeurs adjoints, superviseurs ou responsables de groupe.
- Personnel de la hotline, du service d’assistance ou chargé du tri.
- Gestionnaires d’incidents.
- Gestionnaires de vulnérabilité.
- Personnel d’analyse des artefacts.
- Spécialiste de plateformes.
- Formateurs.
- Veille technologique.
IV. Les services
Les services spécifiques fournis varient selon le CSIRT. Un incident de sécurité informatique peut impliquer une violation réelle ou présumée, ou bien l’acte consistant à provoquer volontairement une faille ou une violation. Les incidents les plus courants sont l’introduction de virus ou de vers dans un réseau, les attaques par déni de service (DoS, Denial of Service), la modification non autorisée de logiciels ou matériels et l’usurpation d’identité de personnes ou d’institutions. Le piratage peut être considéré comme un incident de sécurité, sauf si ses auteurs ont été volontairement embauchés dans le but précis de tester un ordinateur ou un réseau afin de détecter ses éventuelles failles. (Dans ce cas, les pirates peuvent appartenir au CSIRT et jouer un rôle préventif.) Les CSIRT peuvent proposer des services proactifs, tels que la formation des utilisateurs à la sécurité, en plus de répondre aux incidents.
Le temps de réponse est un facteur essentiel dans la constitution, la gestion et le déploiement d’un CSIRT performant. En effet, une réaction rapide, bien ciblée et efficace peut réduire les dommages financiers, matériels et logiciels provoqués par un incident donné. Une autre considération importante porte sur la capacité du CSIRT à rechercher les responsables d’un incident afin de les mettre hors d’état de nuire et de les poursuivre en justice. Enfin, un troisième aspect concerne le « renforcement » des logiciels et de l’infrastructure dans le but de réduire le nombre d’incidents susceptibles de se produire à long terme.
V. Autres appellations
Les CSIRT peuvent être désignés par d’autres appellations : CIRC (Computer Incident Response Capability), CIRT (Computer Incident Response Team), IRC (Incident Response Center ou Incident Response Capability), IRT (Incident Response Team), SERT (Security Emergency Response Team) et SIRT (Security Incident Response Team). Les CSIRT internes utilisent souvent l’un de ces sigles avec un identifiant.
VI. Exemples de CSIRT nationaux
Ainsi, le CSIRT national français, le Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques, s’appelle le CERT-FR. Au Benin , le bjCSIRT a été lui créé en Septembre 2017 suite à la volonté du gouvernement béninois à travers son programme d’action de mettre l’accent sur le relèvement de l’économie numérique. Le bjCSIRT collabore activement avec les différents acteurs de la sécurité internet au Bénin (Association Béninoise pour la Cybersécurité et la Promotion du Numerique , l’ABCPN et l’Office Central de Répression de la Cybercriminalité , l’OCRC) ainsi que la Police Républicaine dans la lutte contre la cybercriminalité.
source : lemagit.fr
Cet article vous a-t-il été utile ?