CSIRT


Historique

La seconde moitié des années 80 vit le réseau Arpanet, développé par le DoD (le Département de la Défense américain), sortir de la phase de R&D pour devenir une réalité pratique sous l’impulsion du monde universitaire. L’efficacité et la constante amélioration des divers services, dont le courrier électronique, rendirent rapidement ce réseau indispensable pour de nombreux sites.

En novembre 1988, un étudiant de l’Université de Cornell lâcha sur ce réseau un programme qui se propageait et se répliquait tout seul. Ce programme, connu sous le nom de « ver Internet », exploitait diverses failles de sécurité du système Unix (le système d’exploitation de la plupart des ordinateurs connectées sur le réseau). Bien que programmé sans intentons malveillantes, ce premier virus informatique, se répandit rapidement tout en engorgeant les machines infectées par de multiples copies du ver. À cette époque, le réseau comprenait environ 60 000 ordinateurs. Avec seulement 3 à 4% de machines contaminées, le réseau devint complètement indisponible pendant plusieurs jours jusqu’à ce que des mesures conservatoires soient prises (dont la déconnexion de nombreuses machines du réseau).

Pour éliminer ce « ver Internet », une équipe d’analyse ad hoc fut créée avec des experts du MIT, de Berkeley et de Purdue. Le code du virus fut reconstitué et analysé ce qui permit, d’une part, d’identifier et corriger les failles du système d’exploitation, et d’autre part, de développer et diffuser des mécanismes d’éradication. À la suite de cet incident, le maître d’ouvrage d’Arpanet, la Defense Advanced Research Projects Agency (DARPA), décida la mise en place d’une structure permanente, le CERT Coordination Center (CERT/CC) semblable à l’équipe réunie pour résoudre l’incident.

Depuis Internet n’a cessé de croître pour devenir le réseau que nous connaissons aujourd’hui, avec une multiplication rapide des machines connectées (plusieurs milliards) et des sources d’agression.

 

Rôle et mission

Les tâches prioritaires d’un CSIRT sont les suivantes :

  • centralisation des demandes d’assistance suite aux incidents de sécurité (attaques) sur les réseaux et les systèmes d’informations : réception des demandes, analyse des symptômes et éventuelle corrélation des incidents ;
  • traitement des alertes et réaction aux attaques informatiques : analyse technique, échange d’informations avec d’autres CSIRT, contribution à des études techniques spécifiques ;
  • établissement et maintenance d’une base de donnée des vulnérabilités ;
  • prévention par diffusion d’informations sur les précautions à prendre pour minimiser les risques d’incident ou au pire leurs conséquences ;
  • coordination éventuelle avec les autres entités (hors du domaine d’action) : centres de compétence réseaux, opérateurs et fournisseurs d’accès à Internet, CSIRT nationaux et internationaux.

Les CSIRT qui en font la demande et en obtiennent l’autorisation, peuvent utiliser le terme de CERT, signifiant Computer Emergency Response Team dans leur nom.

Les CSIRT français

Il existe plusieurs CSIRT en France. Voici la liste des équipes françaises qui sont membres soit du FIRST, soit de la TF-CSIRT :

  • le CERT-FR est le CSIRT dédié au secteur de l’administration française ;
  • le CERT-RENATER est le CSIRT interne dédié à la communauté des membres du GIP RENATER (Réseau National de télécommunications pour la Technologie, l’Enseignement et la Recherche) ;
  • le Cert-IST est un CSIRT commercial français dédié au secteur de l’Industrie, des Services et du Tertiaire (IST) ;
  • le CERT-LEXSI (Laboratoire d’EXpertise en Sécurité Informatique) est un CSIRT commercial français ;
  • le CERT-DEVOTEAM est un CSIRT commercial français ;
  • Orange-CERT-CC est le CSIRT interne de l’opérateur de télécommunication Orange ;
  • le CERT-societegenerale est le CSIRT dédié au groupe Société Générale ;
  • le CERT LA POSTE est le CSIRT du groupe La Poste, pour ses services internes et ses clients ;
  • le CERT-XMCO est un CSIRT commercial français ;
  • le CSIRT-BNP Paribas est le CSIRT interne dédié au groupe BNP Paribas ;
  • le CERT Banque de France est le CSIRT interne de la Banque de France ;
  • le CERT-Wavestone est un CSIRT commercial français ;
  • le CERT Crédit Agricole est le CSIRT interne dédié au groupe Crédit Agricole ;
  • Airbus Cybersecurity and Computer Emergency Response Team est un CSIRT commercial européen ;
  • Airbus Group CERT (ou AiG CERT) est le CSIRT interne du groupe Airbus ;
  • le CERT SEKOIA est un CSIRT commercial français ;
  • le CERT UBIK est un CSIRT commercial français ;
  • le CERT Caisse des Dépôts est le CSIRT interne du Groupe Caisse des Dépôts ;
  • le CERT-PJ est le CSIRT de la Police Judiciaire ;
  • le CERT Groupe BPCE est le CSIRT interne du Groupe BPCE ;
  • le COrSR (Centre Operationnel de Securite de RTE) est le CSIRT interne du Groupe RTE ;
  • le CERT-SNCF est le CSIRT interne de la SNCF ;
  • le CERT-Intrinsec est un CSIRT commercial français ;
  • le CSIRT ATOS est un CSIRT commercial français ;
  • le CERT SOGETI/CAPGEMINI est un CSIRT commercial français ;
  • le CERT OSIRIS est le CSIRT de l’Université de Strasbourg ;
  • le SOC FDJ est le CSIRT interne de la Française de Jeux ;
  • le GTO-CERT est le CSIRT interne du Groupe Gemalto ;
  • le CERT-Michelin est le CSIRT interne du Groupe Michelin ;
  • le STM CSIRT est le CSIRT interne du Groupe ST Microelectronics
  • le CERT Akaoma est un CSIRT commercial français ;
  • AlliaCERT est un CSIRT commercial français de la société Alliacom ;
  • le CERT-Conix est un CSIRT commercial français ;