Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Créez un CERT privé pour votre entreprise

auteur de l'article Jerome Saiz , dans la rubrique Conformité & Bonnes pratiques

Commentaires Commentaires fermés sur Créez un CERT privé pour votre entreprise

Salle de controle radar

Certes l’on connaît bien les CERT ! (*). Ils peuvent être publics, tel le CERTA des administrations françaises. Ou encore privés, créés par des sociétés de conseil en sécurité (Devoteam, XMCO, LEXSI..). Mais l’on n’imagine pas forcément qu’une entreprise puisse créer elle aussi son propre CERT dédié, opéré en interne. Un tel projet ne manque pourtant pas d’atout. En France, la Société Générale à par exemple ainsi ouvert la voie avec son CERT-SG, dédié à ses utilisateurs internes et externes (clients et internautes).

Il convient cependant avant tout de bien saisir la spécificité du CERT, et de comprendre notamment sa valeur ajoutée. « Il ne s’agit pas d’un SOC (Security Operation Center, ndlr) car il n’aura généralement aucune responsabilité opérationnelle« , explique David Bizeul, venu présenter le CERT-SG à l’occasion d’une conférence récemment organisée à Paris par le CLUSIF.

Mais s’il n’est pas dans l’opérationnel, le CERT apporte toutefois une forte valeur ajoutée sur quatre axes complémentaires :

Veille. Son rôle est d’anticiper les menaces et de suivre l’évolution des d’attaques (notamment les méthodes d’attaques exploitées contre d’autres entreprises, en particulier dans la même industrie). Par sa veille continue le CERT est notamment l’acteur le mieux placé pour déterminer l’exposition de l’entreprise aux menaces émergentes.

Communication. Le CERT doit pouvoir communiquer librement en interne comme en externe. Sur ce dernier point, notamment, « un CERT sera toujours plus légitime pour entamer le dialogue aussi bien avec la communauté des White Hat que des Black Hat, tandis qu’il sera plus délicat pour la SSI ou la DSI d’entretenir de tels contacts« , justifie David Bizeul. Le CERT facilitera également la prise de contact venant de clients ou d’utilisateurs qui feraient remonter des problèmes de sécurité sur les produits / services de l’entreprise. « Le CERT interne devient le point d’entrée de la communauté sécurité extérieure vers l’entreprise », poursuit David Bizeul.

Coordination : Le CERT centralise toutes les remontées d’incidents, qu’ils proviennent de l’interne (SSI, SOC, utilisateur) ou de l’externe (utilisateur, client, internaute). La cellule assure ensuite le suivi de l’incident jusqu’à sa remédiation et teste la validité de cette dernière.

Conformité. Le CERT est le compagnon et l’interlocuteur idéal du Correspondant Informatique & Libertés (CIL), ainsi qu’un outil précieux dans le cadre de la notification des incidents. Et il sera un allié tout aussi précieux lors de la phase d’analyse post-incident.

Les missions du CERT

Au sein de l’entreprise, le CERT aura probablement comme première responsabilité de centraliser la gestion des incidents, qu’ils soient remontés par des utilisateurs internes ou externes, des internautes, d’autres CERT ou constatés par les équipes de la SSI. « La réponse du CERT doit être immédiate, afin de ne pas laisser une autre entité s’emparer du sujet« , conseille David Bizeul.

Le CERT doit alors ensuite pleinement jouer son rôle de coordinateur : suivre l’incident, proposer si nécessaire des solutions (assistance, expertise, mise en relation avec un éditeur), veiller à leur bonne mise en oeuvre et valider la fin d’incident. « Il faut suivre l’affaire de bout en bout : si le CERT délègue à une autre entité en cours de route, ou si l’entité qui a corrigé la faille s’approprie l’affaire, c’est l’assurance que le CERT ne sera plus sollicité à l’avenir« , met également en garde David Bizeul.

Ces conseils s’expliquent parce que le CERT peut être perçu comme un intrus dans la hiérarchie de la SSI. « Il lui faudra faire ses preuves ! Et apporter des compétences qui n’existent pas encore en interne, comme par exemple de l’analyse forensique, le recours à des contacts externes très qualifiés, etc…« , conseille David Biezul. Avoir un bon carnet d’adresses et des contacts efficaces, voilà le premier service que pourra rendre le CERT à ses petits camarades !

Et des contacts, il lui en faudra ! Selon Olivier Caleff, du CERT Devoteam, le CERT interne est au centre d’un éco-système complexe qui relie des acteurs internes et externes (vois illustration ci-dessous).

Du côté de l’interne, il est en lien avec la DSI, le SOC/NOC, les métiers ou encore les entités juridiques. A l’extérieur, il est en contact aussi bien avec les experts techniques des différents fournisseurs de l’entreprise qu’avec les autorités et, bien entendu, l’ensemble des autres CERTS. Son positionnement est donc loin de celui d’un SOC, exclusivement tourné vers l’interne et l’opérationnel. A ce titre le CERT peut être vu comme le support expert du SOC, doublé d’un organe de communication et de coordination lors de la gestion des incidents de sécurité.

CERT Interne (schéma)

L'éco-système du CERT interne (publié avec l'aimable autorisation d'Olivier Caleff, Devoteam)

Créer son CERT

La procédure de création d’un CERT interne s’articule en deux parties. Il convient, déjà, de monter la cellule : définir clairement ses objectifs, obtenir l’appui de la direction et identifier les expertises nécessaires à la mission (des compétences de préférence complémentaires à celles mise en oeuvre au sein de la SSI ou du SOC). Pour être efficace et légitime le CERT doit également s’appuyer sur une entité forte, une politique de sécurité ou encore une gouvernance d’entreprise. « Sinon il passera son temps à devoir justifier ses actions« , met en garde David Bizeul.

A ce stade le CERT peut alors demander à rejoindre officiellement l’un des réseaux existants (FIRST ou CERT, par exemple). La procédure est décrite sur les sites des réseaux concernés (par exemple ici pour le FIRST). Il s’agit d’un mélange de déclaratif, de parrainage, avec une visite sur site par des représentants du réseau.

SOC ou CERT ?

Vaut-il mieux créer un SOC plutôt qu’un CERT ? Les deux entités sont parfaitement complémentaires, mais s’il faut n’en choisir qu’une cela dépendra avant tout du modèle d’organisation de l’entreprise. « Si la DSI est éclatée, le CERT aura du sens. Sinon un SOC est envisageable, et il pourra alors prendre à sa charge certaines missions d’un CERT. L’Observatoire de la Sécurité de La Poste est à la fois un SOC et un CERT, par exemple« , observe David Bizeul.

Quant aux détails de l’organisation, Olivier Caleff distingue de nombreuses typologies de CERT, selon qu’ils sotnt gouvernementaux ou privé, plus ou moins (ou pas du tout !) opérationnels, internes, externes ou mixtes, etc. Mais pour l’entreprise les contours exact du CERT qu’elle met en place dépendront essentiellement de l’activité de cette dernière (éditeur, constructeur, fournisseur de services) et de son éco-système (activité plus ou moins réglementée, industrie vitale, etc..). Mais dans tous les cas les fondamentaux ne changeront pas : le CERT doit être un pôle d’expertise, de communication, de coordination et d’assistance.

(*) CERT : Computer Emergency Response Team. L’appellation CERT est une marque déposée de l’Université Carnegie Mellon, aux Etats-Unis. Le nom générique de ces équipes est plutôt CSIRT (Computer security incident response team). Ces derniers peuvent alors demander à rejoindre l’un des réseaux existants, dont celui des CERTs ou du FIRST. Mais à l’image du bon vieux réfrigirateur que l’on appelle « Frigo » bien qu’il s’agisse d’une marque déposée, le terme CERT est devenu d’usage courant, même si l’entité en question n’est pas affiliée à l’Université Carnegie Mellon.


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.