Le premier CERT a été créé aux Etats-Unis en réponse à la propagation du premier programme autoreproducteur en novembre 1988 (ver Morris) sur les prémices d’Internet. La première cellule de réponse à incident était née et sera bientôt suivie par beaucoup d’autres que ce soit au niveau des agences nationales de sécurité, des groupes privés (bancaires en particulier) ou des sociétés spécialisées en cybersécurité. Le terme « CERT » ayant été enregistré aux Etats-Unis et son utilisation encadrée, c’est le terme CSIRT qui est souvent préféré. Rappelons que la série des normes ISO 27035 fournit des bonnes pratiques pour mettre en place un processus efficace de réponse aux incidents de sécurité.

La détection des événements suspects et la qualification des incidents de sécurité sont des éléments clés du processus de réponse aux incidents de sécurité (voir quelques recommandations ici et ici), que l’on retrouve dans la série de normes ISO 27035. Les CISO/RSSI doivent intégrer cette capacité de détection et de réponse à leur politique de sécurité. L’investigation numérique ou « digital forensics » est une discipline spécifique de la cybersécurité, avec ses compétences et ses outils. Cet article dresse un aperçu des bonnes pratiques disponibles dans cette matière qui, si elle reste très ardue techniquement doit être mieux comprise et intégrée aux processus de réponse et réaction aux incidents.