Les équipes d’intervention d’urgence en matière de cybersécurité (CERT), également appelées équipes d’intervention en cas d’incident de sécurité informatique (CSIRT), sont les premiers intervenants en cas de cyberattaque.
Cette équipe apporte son soutien aux entreprises, aux infrastructures critiques et aux agences gouvernementales. Si certaines organisations ont une taille suffisante pour disposer d’un CERT en propre (par exemple les banques); la plupart des entreprises font appel à des CERT commerciaux.
Supervision cybersécurité, vers une défense active.
Retour d’expérience du Groupe Avril
À quoi sert un CERT (ses missions) ?
La principale mission d’un CERT est de contenir les incidents de sécurité informatique, de minimiser leur impact sur les opérations et la réputation de l’organisation, et de faciliter la remédiation et la reconstruction après crise.
Comment fonctionne un CERT ?
Les CERT peuvent être gérées par des organisations privées ou des agences gouvernementales. Elles sont composées de professionnels de l’informatique qui ont été formés :
- À la réponse et à l’analyse des incidents, à l’évaluation des risques,
- Aux enquêtes forensiques et à d’autres domaines de la cybersécurité.
Lors d’une suspicion d’intrusion, l’équipe CERT est activée et vient étudier la situation: outillage disponible, indices de compromission, indicateurs d’attaque, périmètre à défendre et impacts potentiels, procédures et organisation…
L’équipe interagit avec la direction des systèmes d’information et le SOC lorsqu’il existe pour exploiter au mieux les ressources de sécurité disponibles.
Pendant la crise, l’équipe peut être amenée à recommander ou déployer des outils spécifiques. Par exemple, une plateforme SecOps agile telle que SEKOIA.IO XDR pour assurer une supervision de circonstance si les moyens propres de la victime sont inutilisables.
Après la crise, le CERT peut être amené à :
- proposer des recommandations d’architecture du système de sécurité pour prévenir d’une réplique,
- Améliorer la posture de la victime, renforcer la sensibilisation etc.
Par exemple, le CERT pourra recommander de renforcer la gestion du risque en se dotant de moyens de suivi de vulnérabilités ou de connaissances des menaces avec un flux de renseignement tel que SEKOIA.IO CTI.
Detection engineering : l’art de la création de règles de détection.
Comment choisir un prestataire CERT ?
La principale qualité d’un CERT commercial est sa réactivité et son expertise. Une telle équipe doit en effet pouvoir réagir efficacement dès les premiers instants de sa mission. Pour cela, les compétences et l’expérience de l’équipe sont vitales. Pour leur permettre de déployer tout leur potentiel cependant, il faut pouvoir compter sur des outils fluides, faciles d’accès, pensés pour la réponse à incident.
Par exemple, SEKOIA.IO XDR a bénéficié de plus d’une décennie d’expérience en réponse à incident, pour fournir une expérience analyste au meilleur niveau. Conçue par et pour des professionnels de la sécurité opérationnelle, la plateforme fournit l’ensemble des fonctionnalités nécessaires, fédérées dans une interface conviviale et centrée sur les usages.
Note sur la marque “CERT”
“CERT” est une marque déposée du Software engineering Institute de l’université Carneggie Melon (USA), qui en détient les droits et régule son usage pour tous pays. Toute CSIRT n’est pas par défaut autorisée à utiliser cette marque, bien que l’usage, en particulier en France et en Europe, tende à effacer la distinction entre ces deux termes. L’usage fait de “CERT” le terme générique, comme Frigo était une marque de réfrigérateur ou Kleenex une marque de mouchoirs en papier, malgré les efforts contraires de Carneggie Melon.
Comment opérer un CERT internalisé ?
Tout ce que nous avons dit des CERT commerciaux reste valide pour un CERT internalisé. Cependant, une équipe interne doit en plus respecter dans sa conception et ses procédures les principes organisationnels de la structure, entreprise ou non, qui les héberge.
En particulier, il est fréquent que des obligations réglementaires conduisent à imposer des choix d’architecture, voire orientent vers des solutions qualifiées ou certifiées par des organismes officiels. Par exemple, la directive européenne NIS 2 propose de renforcer les capacités de capitalisation et de partage d’information sur les menaces, ce qui peut orienter vers une plateforme telle que SEKOIA.IO TIP.
Découvrez également la définition de : EDR, Firewall, SOAR, ISAC.
Si vous consultez pour la première notre site web, sachez que nous sommes un éditeur de logiciels de cybersécurité. Nous fournissons aux équipes cyber et MSSP une plateforme de sécurité opérationnelle clé en main. À travers notre plateforme XDR, notre outil CTI et notre plateforme de Threat Intelligence, nous permettons à nos usagers de neutraliser les menaces informatiques, quelle que soit la surface d’attaque.