Cybersécurité, Formation

C’est quoi le CSIRT ?

Posted on by Patrice NZIANSÈ
[CYBERTECH] – Le monde de la cybersécurité informatique a son vocabulaire précis , il est important d’en comprendre le sens et surtout ses nombreux acronymes qui s’y réfèrent. Des nombreux organismes gouvernementaux et privés s’ouvrent un peu partout dans le monde avec ces acronymes sans parfois en donner la signification , rendant leur compréhension illisible.

Un centre d’appel de réception des plaintes et incidents cybercriminels

I. Définition

Le CSIRT est une équipe d’intervention en cas d’incident de sécurité informatique (en anglais, Computer Security Incident Response Team ) , un organisme qui reçoit des signalements d’atteintes à la sécurité, analyse les rapports concernés et répond à leurs émetteurs. Un CSIRT peut être un groupe déjà établi, une équipe se réunissant ponctuellement ou un premier point de contact pour les institutions d’un gouvernement en cas d’incident de sécurité informatique.

II. Les différents types

Il en existe divers types. Un CSIRT Interne fait partie d’un organisme parent, tel qu’une administration, une entreprise, une université ou un réseau de recherche. Les CSIRT Nationaux (un type de CSIRT interne), par exemple, supervisent le traitement des incidents à l’échelle de tout un pays. En général, les CSIRT internes se réunissent à intervalles réguliers au cours de l’année pour réaliser des tâches proactives, telles que des tests de reprise après désastre. Ils peuvent aussi se rassembler selon les besoins en cas d’atteinte à la sécurité. Les CSIRT Externes fournissent des services payants de façon régulière ou ponctuelle.

III. Composition d’un CSIRT

Le CERT (Computer Emergency Readiness Team) dresse la liste des rôles suivants parmi les attributions des membres d’un CSIRT :

  • Directeur ou chef d’équipe.
  • Directeurs adjoints, superviseurs ou responsables de groupe.
  • Personnel de la hotline, du service d’assistance ou chargé du tri.
  • Gestionnaires d’incidents.
  • Gestionnaires de vulnérabilité.
  • Personnel d’analyse des artefacts.
  • Spécialiste de plateformes.
  • Formateurs.
  • Veille technologique.
Des équipes d’intervention en sécurité informatique

IV. Les services

Les services spécifiques fournis varient selon le CSIRT. Un incident de sécurité informatique peut impliquer une violation réelle ou présumée, ou bien l’acte consistant à provoquer volontairement une faille ou une violation. Les incidents les plus courants sont l’introduction de virus ou de vers dans un réseau, les attaques par déni de service (DoS, Denial of Service), la modification non autorisée de logiciels ou matériels et l’usurpation d’identité de personnes ou d’institutions. Le piratage peut être considéré comme un incident de sécurité, sauf si ses auteurs ont été volontairement embauchés dans le but précis de tester un ordinateur ou un réseau afin de détecter ses éventuelles failles. (Dans ce cas, les pirates peuvent appartenir au CSIRT et jouer un rôle préventif.) Les CSIRT peuvent proposer des services proactifs, tels que la formation des utilisateurs à la sécurité, en plus de répondre aux incidents.

Le temps de réponse est un facteur essentiel dans la constitution, la gestion et le déploiement d’un CSIRT performant. En effet, une réaction rapide, bien ciblée et efficace peut réduire les dommages financiers, matériels et logiciels provoqués par un incident donné. Une autre considération importante porte sur la capacité du CSIRT à rechercher les responsables d’un incident afin de les mettre hors d’état de nuire et de les poursuivre en justice. Enfin, un troisième aspect concerne le « renforcement » des logiciels et de l’infrastructure dans le but de réduire le nombre d’incidents susceptibles de se produire à long terme.

V. Autres appellations

Les CSIRT peuvent être désignés par d’autres appellations : CIRC (Computer Incident Response Capability), CIRT (Computer Incident Response Team), IRC (Incident Response Center ou Incident Response Capability), IRT (Incident Response Team), SERT (Security Emergency Response Team) et SIRT (Security Incident Response Team). Les CSIRT internes utilisent souvent l’un de ces sigles avec un identifiant.

Aiguiser la sécurité informatique au sein des datacenters

VI. Exemples de CSIRT nationaux

Ainsi, le CSIRT national français, le Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques, s’appelle le CERT-FR. Au Benin , le bjCSIRT a été lui créé en Septembre 2017 suite à la volonté du gouvernement béninois à travers son programme d’action de mettre l’accent sur le relèvement de l’économie numérique. Le bjCSIRT collabore activement avec les différents acteurs de la sécurité internet au Bénin (Association Béninoise pour la Cybersécurité et la Promotion du Numerique , l’ABCPN et l’Office Central de Répression de la Cybercriminalité , l’OCRC) ainsi que la Police Républicaine dans la lutte contre la cybercriminalité.

source : lemagit.fr

Cet article vous a-t-il été utile ?

Patrice NZIANSÈ

Fondateur de Hi-LABZ InQubatorz - Executive MBA Management d'Entreprise - Expert Datacenter Infrastructure & Hébergement IT | Planification et suivi opérationnel de Projets | Chroniqueur Média Géostratégie