Certes l’on connaît bien les CERT ! (*). Ils peuvent être publics, tel le CERTA des administrations françaises. Ou encore privés, créés par des sociétés de conseil en sécurité (Devoteam, XMCO, LEXSI..). Mais l’on n’imagine pas forcément qu’une entreprise puisse créer elle aussi son propre CERT dédié, opéré en interne. Un tel projet ne manque pourtant pas d’atout. En France, la Société Générale à par exemple ainsi ouvert la voie avec son CERT-SG, dédié à ses utilisateurs internes et externes (clients et internautes).
Il convient cependant avant tout de bien saisir la spécificité du CERT, et de comprendre notamment sa valeur ajoutée. « Il ne s’agit pas d’un SOC (Security Operation Center, ndlr) car il n’aura généralement aucune responsabilité opérationnelle », explique David Bizeul, venu présenter le CERT-SG à l’occasion d’une conférence récemment organisée à Paris par le CLUSIF.
Mais s’il n’est pas dans l’opérationnel, le CERT apporte toutefois une forte valeur ajoutée sur quatre axes complémentaires :
Veille. Son rôle est d’anticiper les menaces et de suivre l’évolution des d’attaques (notamment les méthodes d’attaques exploitées contre d’autres entreprises, en particulier dans la même industrie). Par sa veille continue le CERT est notamment l’acteur le mieux placé pour déterminer l’exposition de l’entreprise aux menaces émergentes.
Communication. Le CERT doit pouvoir communiquer librement en interne comme en externe. Sur ce dernier point, notamment, « un CERT sera toujours plus légitime pour entamer le dialogue aussi bien avec la communauté des White Hat que des Black Hat, tandis qu’il sera plus délicat pour la SSI ou la DSI d’entretenir de tels contacts », justifie David Bizeul. Le CERT facilitera également la prise de contact venant de clients ou d’utilisateurs qui feraient remonter des problèmes de sécurité sur les produits / services de l’entreprise. « Le CERT interne devient le point d’entrée de la communauté sécurité extérieure vers l’entreprise », poursuit David Bizeul.
Coordination : Le CERT centralise toutes les remontées d’incidents, qu’ils proviennent de l’interne (SSI, SOC, utilisateur) ou de l’externe (utilisateur, client, internaute). La cellule assure ensuite le suivi de l’incident jusqu’à sa remédiation et teste la validité de cette dernière.
Conformité. Le CERT est le compagnon et l’interlocuteur idéal du Correspondant Informatique & Libertés (CIL), ainsi qu’un outil précieux dans le cadre de la notification des incidents. Et il sera un allié tout aussi précieux lors de la phase d’analyse post-incident.
Les missions du CERT
Au sein de l’entreprise, le CERT aura probablement comme première responsabilité de centraliser la gestion des incidents, qu’ils soient remontés par des utilisateurs internes ou externes, des internautes, d’autres CERT ou constatés par les équipes de la SSI. « La réponse du CERT doit être immédiate, afin de ne pas laisser une autre entité s’emparer du sujet », conseille David Bizeul.
Le CERT doit alors ensuite pleinement jouer son rôle de coordinateur : suivre l’incident, proposer si nécessaire des solutions (assistance, expertise, mise en relation avec un éditeur), veiller à leur bonne mise en œuvre et valider la fin d’incident. « Il faut suivre l’affaire de bout en bout : si le CERT délègue à une autre entité en cours de route, ou si l’entité qui a corrigé la faille s’approprie l’affaire, c’est l’assurance que le CERT ne sera plus sollicité à l’avenir », met également en garde David Bizeul…
