Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

CERTs européens : retour d’expériences de ces urgentistes de la cybersécurité

janvier 2014 par Emmanuelle Lamandé

Les CERTs sont des acteurs fondamentaux de la stratégie de cybersécurité nationale. Urgentistes de la cybersécurité, ils interviennent sur le terrain et développent une expertise au plus près de la menace. Toutefois, ces plateformes de confiance et de partage informatif s’avèrent spécifiques selon le pays dans lequel ils opèrent et dans leur façon de collaborer avec leurs pairs. Plusieurs CERTs européens ont accepté de partager leurs expériences à l’occasion du Forum International de la Cybersécurité.

Les entreprises ont généralement recours aux CERTs pour trois principales raisons, explique Ulrich Seldeslachts, LSEC : découvrir les défis réels inhérents à leur protection, connaître les incidents qui sont prêts à les infecter, et apprendre à défendre les intérêts de leur compagnie.

Alexandre Dulaunoy, CIRCL Luxembourg, travaille pour le CERT national du Luxembourg et s’occupe de la gestion des différents incidents. La rapidité de réponse aux incidents s’avère fondamentale, explique-t-il. Toutefois, il reste compliqué aujourd’hui pour les entreprises de faire face aux incidents seules. En effet, certains de ces incidents sont très complexes à analyser et bien souvent les entreprises n’ont pas les compétences en interne pour le faire. Un CERT efficace doit pouvoir leur fournir et partager les informations nécessaires à la gestion de ces incidents. Le partage de ces informations est essentiel si l’on souhaite réduire la distance entre l’attaque et la défense ou vice versa.

De nombreux remaniements ont eu lieu au niveau du CERT du Royaume-Uni, souligne Chris Gibson, CERT-UK, mais « nous serons très bientôt opérationnels. En cas d’événement national, notre implication nous permettra à la fois d’informer le public, mais aussi d’être le point de contact pour l’international. 70 personnes environ travaillent au CERT-UK. Nous disposons de 5 équipes au total pour soutenir le fonctionnement complet du système : une équipe dédiée à la gestion des incidents, une autre pour gérer les flux internes et externes, une équipe pour la communication (on explique aux gens ce que l’on fait et comment les aider), une équipe impliquée au niveau international en échange avec le monde entier, et une autre qui s’occupe de la partie nationale. L’objectif du CERT-UK est d’aider les organisations à répondre par elles-mêmes à leurs propres incidents, mais aussi de gérer les infrastructures critiques nationales. Nous avons également mis en place un système d’échange et de partage d’informations en lien avec la cybercriminalité. Il est essentiel pour un gouvernement de pouvoir donner aux entreprises les informations qui pourraient leur être utiles et de les aider dans leurs démarches nationales et internationales ».

Le CERT-EU se compose, pour sa part, de 16 personnes, explique Freddy Dezeure, CERT Europe : « nous essayons de mieux protéger les infrastructures et entités européennes. Notre activité s’articule autour de trois axes fondamentaux : la prévention, la détection et le déploiement des bons remèdes. Il est important de comprendre que les alertes et incidents que nous observons ne sont pas des cas rares et sont même observés tous les jours (près de 650 alertes effectuées l’an passé). Les risques sont donc bien réels. Le partage d’informations entre CERTs est également un facteur clé. En effet, nous avons, par exemple, besoin d’informations de haut niveau, sur des attaquants spécifiques et des méthodes d’attaques sophistiquées ». Il souligne, toutefois, l’importance de la notion de confiance, notamment lorsqu’il s’agit de partager de l’information aussi stratégique. D’ailleurs, le CERT-EU ne partage pas le même niveau d’information avec l’intégralité des autres CERTs nationaux européens, et ne fait vraiment confiance à ce jour qu’à 15 d’entre eux. Il faut créer et entretenir cette confiance et cela ne se fait pas du jour au lendemain, explique-t-il. Enfin, il faut pousser les pays qui n’ont pas encore de CERTs nationaux à en développer, afin d’améliorer notre environnement global de cybersécurité.

L’objectif est de partager la bonne information avec la bonne personne

« Nous sommes aujourd’hui confrontés à une pollution d’informations », constate Steve Purser, ENISA. « L’objectif est que la bonne information soit partagée et nous aide à obtenir un résultat. L’ENISA travaille étroitement avec les CERTs, afin de pouvoir partager et transférer les bonnes informations entre les différentes entités. Cette collaboration est nécessaire au niveau européen, mais doit aussi fournir quelque chose qui soit exploitable au niveau national en termes d’action : par exemple, comment monter un CERT national ? Nous jouons également un rôle dans la présentation des communautés : nous aidons, par exemple, la communauté des CERTs à discuter avec Europol. L’ENISA a donc un rôle de catalyseur.

Pour Alexandre Dulanoy, il est, en effet, important de partager la bonne information avec la bonne personne. Certaines communautés partagent plus que d’autres, remarque-t-il. Le secteur industriel est beaucoup moins fermé au partage de l’information, même avec la concurrence, que ne l’est le domaine bancaire par exemple. Chaque secteur a donc son propre standard en la matière, sans compter que cela varie aussi selon les organisations. Dans certains cas, il sera pertinent pour un CERT de partager une information avec l’ensemble des secteurs d’activité, alors que parfois l’information n’aura de sens que pour un secteur précis, complète Ulrich Seldeslachts. Par exemple, si nous détectons un malware visant le secteur financier, il faudra avertir tous les secteurs financiers de tous les pays européens. Dans d’autres cas, la diffusion sera beaucoup plus large. L’échange d’informations s’effectue donc au cas par cas, que ce soit entre les CERTs et le secteur privé ou entre les CERTs eux-mêmes.

Ce qui ne varie pas, par contre, repose sur l’essence même de l’activité d’un CERT : une plateforme de confiance et de partage informatif. « Cette notion de confiance s’avère fondamentale, car ceux qui travaillent ensemble auront toujours davantage de succès », conclut Chris Gibson.




Voir les articles précédents

    

Voir les articles suivants