Computer Emergency Response Team : qu'est ce qui fait l'efficacité d'un CERT ?

Né à la fin des années 80 suite à l'apparition du vers Morris, ancêtre des logiciels malveillants, le CERT assure une veille, prévient et traite les alertes suite à des incidents de sécurité, le tout en mode collaboratif.

Qu'est-ce qu'un CERT ?

Un CERT (ou CISRT, Computer Security Incident Response Team), est une division qui a pour mission de gérer et traiter les alertes suite à des incidents, et de prévenir des incidents de sécurité. Il réagit et pro-agit en collectant des données de sources externes à l’organisation, dont les alertes seront traitées avec des analystes.

Il existe principalement deux types de CERT/CSIRT :

  • internes à leur organisation d’appartenance, comme le Orange-CERT-CC ;
  • externes à leur organisation d’appartenance comme le CERT-LEXSI, offrant des prestations de service.

Les activités du CERT reposent sur un spectre plus large que la simple réponse sur incidents :

  • une composante technique composée de services réactifs, comme le traitement des alertes et proactifs via l’analyse de logiciels malveillants, l'analyse forensique, et les audits ;
  • une composante orientée gestion de la qualité de la sécurité : analyse de risques, gestion de la fraude, de l'hameçonnage, et du vol de données.

 

Les clefs de réussite d'un CERT

Un des intérêts fondamentaux des CERT est de bénéficier d'un réseau d'échanges d'informations entre équipes CERT, leur donnant plus d'efficacité dans les prises d'actions.

Suite à l'attaque du réseau SPAN (Space Physic Academic Network) fin 1989, le FIRST (Forum of Incident Response and Security Teams) a été créé, dont le CERT-LEXSI est membre. Il fédère l'ensemble des équipes notamment pour faciliter leurs communications, favoriser leur coopération et le partage d'informations. Pour cela, il met à disposition les moyens de communication nécessaires au partage des alertes de sécurité.

Au-delà du simple accompagnement en cas d’incident de sécurité, un CERT permet d’accompagner une entreprise dans la mise en œuvre de sa politique de sécurité en lui fournissant un ensemble de services :

  • de veille sur les menaces,
  • d’analyse de risques,
  • de développement de ses services de détection,
  • de conseils en sécurité,
  • de construction de son plan de continuité d’activité, de formation et de certification.

Cyber Threat Intelligence

La veille sur les menaces (Threat Intelligence) apporte un moyen complémentaire pour identifier les menaces et les risques actuels. Cette veille permet de collecter des informations sur :

  • les sources de menaces potentielles,
  • les fuites de données,
  • l'évolution de la législation,
  • les nouvelles solutions de sécurité,
  • les attaques subies par des partenaires ou concurrents, etc.

Dans un esprit collaboratif au sein d’une entreprise, la veille est un moyen d’impliquer l’ensemble des salariés sur les thématiques de sécurité, et de répondre aux besoins des différents acteurs de la sécurité de l’entreprise, de ses produits et de ses services.

Les pouvoirs d’action des CERT, et leurs moyens collaboratifs en font des acteurs centraux dans la stratégie de sécurité d’une organisation, et efficaces pour protéger ses actifs.

C’est ce type de prestations que propose Orange Cyberdefense qui concluait le 15 avril 2016 le rachat de Lexsi. Grâce à sa posture dominante dans son domaine, le CERT de Lexsi bénéficie d'une confiance assurée et nécessaire avec ses partenaires, lui permettant par exemple de faire fermer un site Web frauduleux dans un délai très court.

Pour aller plus loin

Pour tout savoir sur les tendances 2016 de la cyberdéfense en 120 secondes
Orange Cyberdefense protège vos essentiels
Cloud Access Security Brokers (CASB) : le nouvel eldorado de la sécurité ?

Benjamin Berthelot

Consultant en sécurité, je travaille depuis 2014 sur la Veille Sécurité du Groupe Orange. Après avoir passé quatre années à la sécurisation du système d’information chez un éditeur de logiciels, j’ai rejoint Orange Cyberdefense où je réalise des prestations d’audit et de veille. C’est avec plaisir que je participe au travail collaboratif entre experts sécurité avec des publications sur des faits d’actualité.