Améliorer la cyber-résilience mondial

Nous vivons à une époque où les cybermenaces font partie du quotidien. Pour protéger notre écosystème numérique, il est indispensable de continuer à promouvoir une collaboration basée sur la confiance dans la gestion des incidents de cybersécurité.

Texte: Roland Eugster, publié le 29. février 2024

Silvio Oertli, Head of the Switch Computer Emergency Response Team pour les universités suisses et le registre — Silvio Oertli, Head of Switch-CERT (Computer Emergency Response Team) pour les universités suisses et le registre. Il est également président du comité de pilotage TF-CSIRT. Photo : Switch

Dans le contexte d'un paysage de cybermenaces en constante évolution, les équipes de cybersécurité et de réponse aux incidents (CSIRT) jouent un rôle clé dans la gestion et l'atténuation des incidents de cybersécurité. À l'occasion de trois décennies de collaboration internationale au sein d'une communauté mondiale de professionnels de confiance en Europe, l'Open CSIRT Foundation a organisée fin février 2024 une conférence en bonne et due forme : l'Open Cyber Security Conference. Pour raconter l'évolution historique de la Task Force CSIRT, l'OCSC s'est entretenu avec Silvio Oertli, le président du comité de pilotage de la TF-CSIRT.

Cet entretien a été publié à l'origine sur https://www.ocsc.info/insights/news/30-years-a-look-at-the-tf-csirt-community/ en anglais et tradiut en français à l’aide de DeepL.com

OCSC : Silvio, à l'occasion du 30e anniversaire de la communauté TF-CSIRT, quels sont les principaux jalons en termes de collaboration et d'impact au sein de l'environnement de cybersécurité et de réponse aux incidents ?

Silvio Oertli : Même si je ne fais pas partie de la communauté depuis très longtemps, je peux imaginer quelles étapes ont eu une grande influence sur la manière dont la communauté travaille ensemble aujourd'hui.

Comme c'est souvent le cas dans l'histoire, les débuts de la communauté de la réponse aux incidents sont dus à un événement majeur. En 1989, l'incident "Wank Worm", qui a surtout touché la NASA, a montré que les équipes de réponse aux incidents devaient améliorer leur collaboration et leur communication entre elles. En réponse à cette question, l'organisation FIRST, le Forum of Incident Response and Security Teams, a vu le jour aux États-Unis.

L'idée de TF-CSIRT était basée sur cette idée, si bien qu'en 1993, quelques équipes CSIRT se sont réunies et ont décidé d'organiser des rencontres régulières. Ces réunions ont été initiées par CERT-NL (SURFcert) et DFN-CERT. Lorsque de plus en plus d'universités ont introduit l'Internet sur leurs sites, les CSIRT se sont établis comme une communauté nationale de réseaux de recherche et d'éducation en Europe. A l'époque, la Trans-European Research and Networking Association (TERENA), précurseur de GÉANT, souhaitait créer un EuroCERT central afin de coordonner l'interaction des équipes en Europe en cas d'incident majeur et de proposer un portefeuille unique. Lors d'une réunion à Paris en 2000, les équipes impliquées dans EuroCERT ont décidé de procéder différemment : Chaque équipe devrait avoir son propre département et travailler sur une base volontaire. Il a donc été délibérément décidé de ne pas créer un organisme central qui coordonnerait toutes les équipes et offrirait des services à part entière, soutenus par les membres. L'idée d'un EuroCERT central a donc échoué. Je pense que c'était nécessaire pour créer ce que nous avons aujourd'hui.

Au lieu de cette approche top-down prévue, un réseau peer-to-peer a été créé entre les équipes. Cette approche a perduré jusqu'à aujourd'hui. Cette task force (TF-CSIRT) a été très bien soutenue au fil des ans par TERENA et, plus tard, par GÉANT. Elle a pu grandir, accueillir de nouvelles équipes et développer des formations pour les nouveaux et anciens membres de cette communauté. Chacun pour soi, mais tous ensemble.

Bien que TF-CSIRT ait été formée à partir des CSIRT des NREN, elle ne s'est jamais limitée à ces derniers. Dès le début, TF-CSIRT a volontiers collaboré avec d'autres organisations. FIRST ou CERT/CC en faisaient partie, de sorte qu'un sens commun de la coopération s'est également développé au sein de différentes organisations dans le monde entier.

Une autre étape importante a été la création en 2004 de l'ENISA, l'agence de l'Union européenne pour la cybersécurité. En 2016, avec l'entrée en vigueur de la directive NIS 1, le "CSIRTs Network" a été créé. Il était composé des équipes nationales des États membres de l'UE et du CERT-EU. Le fait que chaque État membre de l'UE disposait désormais d'une équipe CSIRT reliée à ses pairs au sein de ce réseau formel a permis d'élargir le réseau et de faciliter davantage le traitement des incidents. Nombre de ces équipes étaient déjà membres de TF-CSIRT avant de rejoindre le réseau CSIRT.

En 2010, la communauté a mis au point un cadre d'audit appelé SIM3 pour mesurer le degré de maturité de la gestion des incidents de sécurité au sein des équipes. La communauté TF-CSIRT a commencé à certifier ses équipes à l'aide de ce cadre. D'une part, cela permet de montrer le degré d'avancement de l'organisation. Mais comme il faut se faire certifier à nouveau tous les trois ans, cela montre aussi toujours où l'on peut s'améliorer. En 2010, personne ne s'attendait à ce que de nombreuses équipes se fassent certifier. Mais de plus en plus de personnes l'ont fait.

L'étape la plus récente de la communauté TF-CSIRT a eu lieu en septembre 2022, lorsque nous avons transformé la structure organisationnelle d'une task force faisant partie de GÉANT en une fondation, l'Open CSIRT Foundation. Cette étape devait nous permettre d'offrir une valeur encore plus grande à la communauté en intégrant la formidable contribution et le soutien de GÉANT et du RIPE NCC. Oui, nous avons profité de ce déménagement pour nous rapprocher de la communauté RIPE. En effet, nous avons constaté qu'en plus des équipes universitaires, gouvernementales et commerciales, de plus en plus d'équipes de fournisseurs de services Internet nous rejoignaient.

Quelles sont les priorités stratégiques de la communauté TF-CSIRT pour l'avenir ? Et comment s'inscrivent-elles dans les tendances mondiales en matière de cybersécurité et dans les nouveaux défis auxquels les équipes de réponse aux incidents doivent faire face ?

L'accent de la communauté est mis sur l'échange d'informations, de techniques et de bonnes pratiques. Je pense qu'il n'est plus possible aujourd'hui pour un professionnel de tout savoir sur la cybersécurité. Il est bien plus important qu'elle connaisse quelqu'un qui connaît quelqu'un qui peut l'aider en cas d'incident. En outre, l'échange sur les erreurs commises et les leçons tirées aide à ne pas commettre les mêmes erreurs, que ce soit lors de la mise en place d'un service, pendant un incident ou en essayant d'analyser quelque chose. Il est donc essentiel que les gens partagent non seulement leurs réussites, mais aussi leurs échecs. C'est pourquoi nous avons introduit des formations et des ateliers de partage des connaissances lors de nos réunions. Lors de ces réunions, nous avons des sessions fermées pour les équipes membres afin de parler des échecs. Lors de la formation TRANSITS, nous aimons également nous en tenir à un modèle de bénévolat, afin que les formateurs de la communauté puissent parler du "quotidien de la réponse aux incidents".

Comme toutes les équipes ne disposent pas de beaucoup de ressources financières disponibles, l'un de nos objectifs premiers est de rendre nos réunions et nos formations aussi abordables que possible.

La collaboration est essentielle à l'efficacité de la réponse aux incidents. Comment la communauté TF-CSIRT travaille-t-elle à approfondir l'engagement et la collaboration entre ses membres et éventuellement avec d'autres organismes mondiaux de réponse aux incidents ?

Dans une telle communauté, il est toujours difficile d'instaurer la confiance nécessaire à une bonne collaboration. La plupart du temps, cette collaboration est maintenue par des contacts personnels. Nous soutenons volontiers ces ponts en intégrant des temps d'interaction sociale dans nos réunions. Il peut toutefois arriver que des équipes ne soient pas d'accord sur certaines choses ou même qu'elles se méfient les unes des autres parce qu'un problème est survenu. C'est pourquoi, depuis le début de TF-CSIRT, nous avons mis en place une procédure formelle de règlement des litiges afin de pouvoir se parler et résoudre la situation.

Dans quelle mesure la mission de TF-CSIRT coïncide-t-elle avec les discussions et les initiatives qui seront au cœur de l'Open Cyber Security Conference ? En outre, peux-tu citer quelques attentes ou résultats concrets que TF-CSIRT attend de cette conférence en termes de création de nouveaux partenariats, de partage de connaissances ou de développements stratégiques ?

Nous sommes impatients de rencontrer de nouvelles personnes lors de la conférence et d'élargir notre réseau peer-to-peer. Nous espérons accueillir des représentants d'initiatives similaires du monde entier et établir une relation de confiance. Nous sommes convaincus que le succès d'une bonne gestion des incidents est aujourd'hui le résultat d'une collaboration rapide et de qualité entre les équipes.

Liens

Open CSIRT Foundation
GÉANT
TF-CSIRT
FIRST
SURFcert
DFN-CERT
EuroCERT
ENISA
RIPE NCC
TRANSITS