Les CSIRT (Computer Security Incident Response Team)

Le premier CERT a été créé aux Etats-Unis en réponse à la propagation du premier programme autoreproducteur en novembre 1988 (ver Morris) sur les prémices d’Internet. La première cellule de réponse à incident était née et sera bientôt suivie par beaucoup d’autres que ce soit au niveau des agences nationales de sécurité, des groupes privés (bancaires en particulier) ou des sociétés spécialisées en cybersécurité. Le terme « CERT » ayant été enregistré aux Etats-Unis et son utilisation encadrée, c’est le terme CSIRT qui est souvent préféré. Rappelons que la série des normes ISO 27035 fournit des bonnes pratiques pour mettre en place un processus efficace de réponse aux incidents de sécurité.

Liaison avec le SOC

Les fonctions de gestion des événements de sécurité peuvent être fournis par le CSIRT même si dans les pratiques actuelles elles sont souvent prises en charge par les équipes dédiées des SOC:

  • Supervision et traitement des évènements (systèmes, réseaux, équipements de sécurité) passant généralement par la mise en œuvre d’un SIEM (« Security Information and Event Management »).
  • Gestion de la base des cas d’usage (« use cases ») pour détecter des événements de sécurité, les qualifier et alerter les analystes.
  • Gestion des techniques de corrélation des événements.
  • Analyse, triage et qualification des incidents de sécurité potentiels.

Gestion des vulnérabilités

Les fonctions couvertes par ce domaine sont nombreuses et les CSIRT seront généralement spécialisés en fonction des objectifs poursuivis :

  • Recherche et découverte de nouvelles vulnérabilités.
  • Veille, analyse, catégorisation et conseil sur les possibilités de remédiation sur les vulnérabilités connues.
  • Production de rapports.
  • Détection (mise en œuvre d’un outil de scans) de vulnérabilités.
  • Service d’aide à la remédiation et lien avec le processus de mise en place des correctifs de sécurité.

Analyse des incidents de sécurité

Les CSIRT sont très appréciés pour leurs compétences en termes d’analyse des incidents de sécurité :

  • Priorisation et analyse des causes.
  • Corrélation d’incidents différents.
  • Investigations numériques (« reverse engineering », analyses statiques et dynamiques de codes, analyses de supports numériques).
  • Support et coordination des réactions et des notifications.
  • Support à la gestion des cybercrises.

Veille et montée en compétence

Les activités d’acquisitions de données sont fondamentales pour un CSIRT afin de garder une longueur d’avance, notamment en matière de « Computer Threat Intelligence ».

Pour les CSIRT internes, cela passe par une bonne maitrise de la cartographie des systèmes d’information.

Les CSIRT peuvent enfin proposer des services de transfert de compétence :

Les outils SOAR sont de plus en plus utilisés pour automatiser et industrialiser les tâches de réponse à incidents.

SIM3 permet de mesurer la maturité d'un CSIRT. 

  Pour en savoir plus sur les 20 meilleures formations sur la sécurité des systèmes d’information, téléchargez gratuitement notre livre blanc ci-dessous :

ISO 27035, Réaction Incidents sécurité, SOC, RéponseIncidents, CERT, CTI, CSIRT, SOAR