Ensemble, améliorons la sécurité

Le Forum of Incident Response and Security Teams (FIRST) est une organisation mondiale qui vise à permettre à ses membres – des équipes d’intervention du monde entier – de réagir plus efficacement aux incidents de sécurité. FIRST construit son succès en se basant sur deux notions fondamentales: la confiance et la coopération. Voici pourquoi, et comment.

Texte: Michael Hausding, publié le 06.04.2018

Les membres de FIRST sont des équipes intervenant en cas d’incident de sécurité comme SWITCH-CERT, issues d’organisations gouvernementales, commerciales et éducatives. Sa déclaration de mission indique que «FIRST est une confédération internationale d’équipes de confiance, intervenant en cas d’incident informatique et qui traitent conjointement des incidents de sécurité informatique et promeuvent des programmes de prévention des incidents.» On y retrouve deux fondements essentiels d’une intervention réussie en cas d’incident de sécurité à l’échelle internationale: la confiance et la coopération. Instaurer la confiance entre les équipes de 84 pays différents est l’un des plus grands défis pour l’organisation, car cela constitue la base de tous les efforts de coopération. Les relations de travail au sein de la communauté FIRST sont fondées sur la confiance et non sur des contrats. C’est pourquoi FIRST dispose d’une procédure spéciale pour accueillir de nouveaux membres. Ces derniers doivent trouver deux "parrains" qui évaluent la nouvelle équipe lors d’une visite sur place, dont le but est double. Primo, s’assurer que cette équipe répond à toutes les exigences de la communauté FIRST. Secundo, vérifier qu’elle apporte la preuve de sa capacité à protéger les informations sensibles concernant les incidents partagées au sein de la communauté. Bâtir et développer un réseau de confiance sur des canaux sécurisés afin de partager les informations sur les incidents est un des éléments stratégiques auxquels recourt FIRST pour permettre l’intervention en cas d’incident.

Devenir un membre de FIRST n’est que le premier pas vers la communauté. Cela permet de rencontrer et de collaborer avec d’autres équipes, et de commencer à instaurer la confiance. FIRST propose un programme de formation à ses membres pour permettre aux nouvelles équipes de développer leurs capacités et aux existantes de les améliorer. De nombreux cours développés par FIRST sont disponibles gratuitement sur son site Web consacré à la formation. Bien que la mise à disposition gratuite de supports de formation permette de former de nouvelles équipes, cela n’aide pas à instaurer la confiance. C’est pourquoi FIRST propose également, pour les équipes nouvelles et en développement, des formations en présentiel sur site. Serge Droz, directeur de la formation chez FIRST, explique: "Lors d’un incident, des équipes de différentes régions doivent collaborer. Il est crucial que ces équipes, partout dans le monde, aient une compréhension commune des termes et problématiques, sans quoi la gestion des incidents devient impossible. Ainsi, la formation constitue l’une des activités stratégiques de FIRST. Toutefois, une formation FIRST doit aller bien au-delà du simple moyen de transmettre des connaissances brutes." Les formateurs comme moi sont des bénévoles de la communauté FIRST. Je suis bénévole pour dispenser des formations FIRST là où cela est nécessaire.

Après avoir dispensé une formation de base à Oulan-Bator en 2016, Otgonpurev Mendsaikhan du CERT CERT/CC de Mongolie m’a demandé d’animer une formation avancée en 2017. Avec Pawel de CERT Polska, nous avons animé une formation avancée de trois jours pour les membres du MNCERT/CC et la communauté locale d’intervention en cas d’incident. "Avoir des formateurs expérimentés qui partagent leurs connaissances avec de nouvelles équipes, c’est exactement ce que le programme de formation vise à accomplir", explique Serge Droz. "Les formateurs FIRST, tous bénévoles, aident à accueillir les participants au sein de la communauté et partagent leur vaste expérience en tant qu’exemple vivant de notre crédo 'Ensemble, améliorons la sécurité' ".

Pour illustrer les avantages de l’adhésion à la communauté FIRST, j’ai posé quelques questions à Otgonpurev Mendsaikhan du CERT MNCERT/CC de Mongolie:

Comment l’adhésion à FIRST aide-t-elle votre équipe à gérer les incidents de sécurité en Mongolie?

FIRST nous permet d’entrer directement en contact avec les différentes organisations qui disposent d’une expertise supérieure en cas d’incidents. Nous apprenons de l’interaction avec elles et exploitons FIRST comme une opportunité de nous améliorer.

Quel est le plus grand avantage d’avoir des formations en présentiel pour les membres du MNCERT/CC et la communauté de sécurité locale ?

Outre l’amélioration de la qualité résultant directement des formations, elles permettent également à la communauté de la sécurité de se rencontrer. En dehors de cette occasion, ce ne serait pas simple compte tenu du travail à plein temps et des autres engagements des membres.

A l’avenir, quels seront les principaux besoins pour la poursuite du développement du MNCERT/CC?

A mon avis, le renforcement des capacités et la stabilité financière sont les facteurs les plus importants. Je pense que les décisions et les actions que nous prendrons au cours des prochaines années définiront l’état à long terme du domaine de la sécurité de l’information en Mongolie.

Quelles autres étapes vous permettent d’améliorer votre réseau et d’instaurer la confiance au sein de la communauté FIRST?

Je pense que des événements présentiels comme les assemblées générales annuelles de FIRST ou les colloques techniques sont cruciaux pour nouer des relations et bâtir un réseau de confiance. Malheureusement, les réunions comme l’AG annuelle nécessitant de longs déplacements sont trop coûteux pour des organisations émergentes et fragiles financièrement comme la nôtre.

Site Web de la formation FIRST
L'auteur
Michael   Hausding

Michael Hausding

Michael Hausding a étudié l’informatique à l’Université technique de Darmstadt ainsi que le management, la technologie et l’économie à l’EPF de Zurich. Avant de rejoindre la Security Team de SWITCH en novembre 2008, il a travaillé pour un fournisseur de services de sécurité et pour un fournisseur internet suisse. En tant qu’expert en matière de sécurité chez SWITCH-CERT, il est aujourd’hui spécialisé dans l’abus de noms de domaines et de DNS.

E-mail

FIRST_logoW_lrg

FIRST (Forum of Incident Response and Security Teams) est une confédération internationale composée d'équipes de confiance. Elles s'occupent ensemble des interventions en cas d’incidents de sécurité informatique ainsi que de la promotion de programmes de prévention. En tant que leader mondial reconnu en matière d'intervention en cas d'incident, FIRST permet à ses membres de réagir efficacement en leur donnant accès aux meilleures pratiques, à des outils et des canaux de communications sécurisés.

https://www.first.org/

Autres articles