La maturité d'un CSIRT peut être mesurée à l'aide du référentiel SIM3 (Security Information Management) Maturity Model). Ce référentiel est proposé par la fondation OpenCSIRT à l’origine de la collaboration des CSIRT en Europe, au travers par exemple l’association TF-CSIRT. Le modèle SIM3 est requis pour l’autoévaluation des nouveaux membres du FIRST, association internationale de CSIRT. Ce référentiel peut aussi être utilisé pour évaluer l’efficacité de son processus global de gestion des incidents sous les angles prévention, détection, résolution et qualité.
Le premier CERT a été créé aux Etats-Unis en réponse à la propagation du premier programme autoreproducteur en novembre 1988 (ver Morris) sur les prémices d’Internet. La première cellule de réponse à incident était née et sera bientôt suivie par beaucoup d’autres que ce soit au niveau des agences nationales de sécurité, des groupes privés (bancaires en particulier) ou des sociétés spécialisées en cybersécurité. Le terme « CERT » ayant été enregistré aux Etats-Unis et son utilisation encadrée, c’est le terme CSIRT qui est souvent préféré. Rappelons que la série des normes ISO 27035 fournit des bonnes pratiques pour mettre en place un processus efficace de réponse aux incidents de sécurité.
La norme ISO 27035 et le référentiel 800-61 traitent de la gestion des incidents de cybersécurité. Le processus comprend cinq phases. La première phase, planification et préparation et la dernière, amélioration font l’objet du document ISO 27035-2. Les trois autres phases : détection, évaluation et décision et réponses sont couverts par la norme ISO 27035-3. Ce document fixe des bonnes pratiques pour mettre en place une capacité de réponse aux incidents efficace. PROSICA propose une formation intensive de deux jours sur ce sujet. La réponse aux incidents fait l'objet de 9 mesures de la catégorie 17 du référentiel CIS.
