CSIRT : définition, missions et fonctionnement

Qu’est-ce qu’un CSIRT (Computer Security Incident Response Team) ? 

Définition d’un CSIRT 

Un CSIRT, aussi appelé Computer Security Incident Response Team, n’est autre qu’une équipe chargée d’éviter ou de résoudre des incidents de sécurité informatique. Elle intervient, dès que nécessaire, auprès des organisations qu’elle accompagne, qu’il s’agisse d’une administration, d’une entreprise ou d’une association. 

Ses objectifs : détecter et prendre en charge les incidents de sécurité qui pourraient constituer des menaces pour les systèmes informatiques et les réseaux, ainsi que des risques pour les utilisateurs et leurs données.

À quand remonte la naissance de ces équipes de sécurité ? À 1988. Plus précisément, à la nécessité de mettre fin à la propagation dans le réseau Internet d’alors, nommé ARPANET, du tout premier « ver ». Ce logiciel malveillant, répondant au nom de « Morris », créé par inadvertance par un étudiant, avait, en effet, réussi à infecter près de 4 % des 60.000 ordinateurs connectés à ce réseau. Le DARPA (Defense Advanced Research Projets Agency) à l’origine du réseau ARPANET avait alors créé le premier CERT (Computer Emergency Response Team) pour faire face à cette menace. Puis, en 1992, le concept avait été généralisé en Europe sous la forme de CSIRT pour répondre de manière plus structurée aux cyberattaques.

Quelles sont les missions d’un CSIRT ? 

Indispensable pour préserver la sécurité des systèmes informatiques et assurer la protection des données d’entreprises ou d’organismes, un centre d’alerte de type CSIRT assure une surveillance continue des systèmes et des réseaux. Seule une telle rigueur rend possible la détection de comportements suspects, signes potentiels d’une cyberattaque imminente. Plus précisément, un CSIRT :

• aide à la veille technologique afin de permettre la détection des menaces de manière préventive à partir d’une base de données des vulnérabilités éditée et entretenue par ses soins.
• centralise les demandes d’assistance et gère les incidents de sécurité, c’est-à-dire apporte des solutions curatives pour limiter la portée des attaques et restaurer les services, évitant ainsi des dommages ultérieurs.
• analyse les incidents (propagation de virus, cyberattaque) a posteriori et leurs symptômes afin de mesurer l’impact sur le système informatique ou le réseau touché.
• identifie les données compromises.
• partage ses informations concernant les vulnérabilités détectées des systèmes avec d’autres équipes et partenaires pour réduire les risques d’incidents et la propagation de virus.
• sensibilise ses clients pour éviter les incidents et faciliter la reprise d’activité.

‍

CSIRT vs.  CERT vs. SOC : quelles différences ?

Apparus de manière échelonnée, les CERT, CSIRT et SOC (Security Operations Center) constituent désormais trois entités complémentaires et reconnues pour assurer la cybersécurité des organisations face à des menaces informatiques de plus en plus sophistiquées.

Cerveau de cet écosystème de cybersécurité, le rôle du CERT est d’analyser les tendances des menaces à l’échelle régionale, nationale et mondiale. Il élabore et coordonne les stratégies de défense pour prévenir les risques en partageant ses données avec ses partenaires. Son rôle dans la formation et la sensibilisation s’avère donc crucial.

Le CSIRT se charge, quant à lui, de la prise en charge opérationnelle au niveau des entreprises ou des organisations privées. Il gère les incidents en procédant à une évaluation et réduit les dommages en apportant une réponse rapide. Par ailleurs, il a pour mission de restaurer les services en prenant des mesures correctives. Concrètement, il met en œuvre les recommandations du CERT tout en procédant à une analyse d’impact des attaques. Il communique ses observations au CERT pour améliorer la sensibilisation en comprenant mieux le mode d’action de chaque attaque.

Quant au SOC, il veille en continu sur le réseau informatique en quête des menaces potentielles. Ses outils de prédilection : les systèmes de détection d’intrusion (IDS) et les SIEM (systèmes de gestion des informations et des événements de sécurité). Afin d’optimiser sa surveillance, cette entité se sert, par ailleurs, des données stratégiques du CERT et des retours d’analyse du CSIRT.

La distinction entre les missions et les responsabilités de ces trois entités est toutefois devenue moins claire au fur et à mesure. D’où un emploi souvent indifférencié entre ces trois sigles.

Comment fonctionnent les CSIRT en France ? 

En France, plusieurs CSIRT veillent à la cybersécurité dans le pays. Parmi ceux-ci, un CSIRT gouvernemental relevant de l’ANSSI (Agence nationale de la sécurité des systèmes d’information) doté de plusieurs antennes régionales, mais aussi des équipes œuvrant en interne au sein de grandes entreprises ou des CSIRT privés proposant leurs services aux entreprises ou aux institutions.

Les CSIRT au sein des entreprises

Si les TPE n’ont pas les moyens de disposer des compétences en cybersécurité au sein même de leur structure, de plus en plus de grandes et moyennes entreprises optent pour le développement d’un CSIRT interne pour leur défense contre les cyberattaques.

Parmi les entreprises disposant d’un CSIRT en interne, voici quelques exemples parmi les plus importants développés en France :

• le CERT interne du groupe Airbus
• le CERT du groupe AXA
• le CSIRT de la Banque de France
• le CSIRT interne du groupe BNP Paribas
• le CERT privé du Crédit Agricole et ses filiales
• le CERT-Société Générale, premier CERT « entreprise » français ayant obtenu une accréditation par le FIRST (Forum of Incident Response and Security Teams), organisation mondiale regroupant plusieurs centaines de CSIRT et CERT.
• le CERT La Poste, structure interne au groupe La Poste.
• le CERT interne d’Orange.

À noter : certains CSIRT prennent la forme de CSIRT « commerciaux ». Ce sont des prestataires externes qui mettent leurs compétences au service d’entreprises ne pouvant ou ne souhaitant pas développer un CSIRT interne, comme les petites et moyennes entreprises.

Les CSIRT régionaux 

À côté des CSIRT privés, ont vu le jour en 2021 de nombreux Computer security incident response team gouvernementaux pilotés par l’ANSSI et gérés par les régions pour soutenir les collectivités territoriales, PME et ETI. 

Ces CSIRT régionaux ont pu voir le jour grâce au plan France Relance post COVID et d’un accompagnement via un parcours d’incubation. L’objectif de leur émergence : fournir une réponse locale et gratuite en cas de cyberattaques. Ces centres de cybersécurité viennent en complément des services proposés par la plateforme Cybermalveillance.fr, les services du CERT-FR et ceux des prestataires commerciaux.

12 CSIRT régionaux sont disséminés sur le territoire :

• CSIRT Bourgogne-Franche-Comté
• Breizh Cyber (CSIRT région Bretagne)
• CSIRT CyberCorsica (région Corse)
• CybeRéponse (région Centre-Val de Loire)
• Grand Est Cybersécurité
• CSIRT Hauts-de-France
• Urgence Cyber Île-de-France
• Normandie Cyber
• Campus régional de Cybersécurité et de Confiance numérique (région Nouvelle-Aquitaine)
• Cyber’Occ (région Occitanie)
• Pays de la Loire Cyber Assistance
• Urgence Cyber région Sud (région PACA).

Autant de centres qui répondent à un vrai besoin des acteurs locaux face aux différentes cybermenaces (hameçonnage, rançongiciels, piratage de compte…), surtout grâce à leur capacité à détecter les failles de cybersécurité dans leur région. Leurs responsables connaissent toutefois une difficulté majeure : recruter des experts en cybersécurité.

Comment faire carrière dans un CSIRT ?

Comme nous venons de le voir, les débouchés en cybersécurité, notamment au sein d’un CSIRT, ne manquent pas. En effet, l’utilisation de l’informatique et d’Internet ne cesse de se développer et les menaces vont croissant. Or, le nombre de professionnels compétents en cybersécurité s’avère loin de couvrir l’ensemble des besoins, d’autant que pour constituer une équipe CSIRT performante, plusieurs métiers sont requis. En voici quelques exemples.

Les métiers d’un Computer Security Incident Response Team

Responsable de CSIRT ou Responsable de la Sécurité des Systèmes d’Information (RSSI)

Chargé de piloter les missions du CSIRT, ce professionnel supervise les interventions lors de déclarations d’incident de sécurité et coordonne les membres de son équipe. De la détection jusqu’à la résolution de l’incident, et au partage d’information, il ne laisse rien au hasard pour faciliter une prise en charge rapide et ainsi limiter les dégâts.

Ses principales missions : exploitation de services de veille, planification et intervention des interventions de son centre, échange avec les CERT, les autres CSIRT et les SOC.

Comment devenir responsable de CSIRT ? Plusieurs voies s’offrent à vous : suivre un cursus de 5 ans (Bachelor en cybersécurité et Master), ou encore suivre une formation RSSI dédiée aux personnes en reconversion. Ensuite, une expérience minimale de 5 ans au sein d’un CSIRT vous sera demandée pour briguer ce poste stratégique.

Analyste CSIRT ou analyste cybersécurité

Expert dans la protection des données numériques des entreprises, institutions et organisations, l’analyste CSIRT est constamment en veille pour détecter les menaces et les failles de sécurité correspondantes dans les systèmes d’information dont il a la charge. Il assure aussi leur mise en conformité.

Ses principales missions : veille pour anticiper des menaces potentielles, analyse technique en cas de cyberattaque, évaluation du degré de compromission, formulation de solutions de remédiation.

Comment devenir analyste cybersécurité ? Là encore, plusieurs solutions s’avèrent possibles selon votre profil : opter pour un BTS cybersécurité, informatique et réseaux, pour une Licence pro, puis un Master spécialisé. Autre option : suivre une formation professionnalisante d’Analyste en cybersécurité répondant parfaitement aux réalités du terrain.

De nombreux autres métiers qui recrutent au sein des CSIRT

• Ingénieur cybersécurité
• Pentester ou Hacker Éthique
• Cryptologue
• Consultant Gouvernance, Risques et Conformité…

Quelles formations pour travailler dans un CSIRT ?

Pour intégrer un Computer Security Incident Response Team (CSIRT), plusieurs options sont possibles :

• S’initier gratuitement à la cybersécurité sur notre plateforme pédagogique Julie. Une initiation gratuite à la cybersécurité recommandée pour les néophytes qui souhaitent découvrir ce domaine et vérifier si celui-ci peut leur correspondre. C’est une expérience parfaite avant de se lancer dans une formation à visée professionnelle.
• Suivre une formation professionnalisante pour concrétiser votre objectif : afin de vous permettre d’intégrer un CSIRT en devenant un expert en cybersécurité, vous trouverez, chez Jedha, un parcours particulièrement adapté : la Formation avancée en cybersécurité.

Grâce à cette formation Cyberscurité de Jedha, vous disposerez de compétences solides pour intégrer un CSIRT à différents niveaux.

Questions fréquentes à propos d’un CSIRT 

Faire appel à un CSIRT pour mon entreprise est-il gratuit ? 

Les CSIRT régionaux interviennent gratuitement pour une première assistance d’urgence au niveau local. Ces centres accompagnent les entreprises dans la gestion de leur incident, leur permettent de récolter des preuves de cyberattaque afin qu’elles puissent porter plainte. De plus, ces CSIRT accomplissent aussi des missions de sensibilisation et apportent leur expérience pour aider les entreprises à monter en compétences en matière de cybersécurité. 

À côté de cette prise en charge ponctuelle, il est aussi possible de se faire accompagner par un CSIRT commercial qui mettra en place une stratégie de cybersécurité sur mesure pour votre entreprise. Cette prestation est alors payante.

Quel est le salaire moyen d’un expert CSIRT ?

Comptez un salaire moyen compris entre 3 400 et 7 900 euros bruts par mois en France pour les experts en cybersécurité faisant partie de l’équipe. Ces rémunérations sont toutefois soumises à d’importantes variations selon leur métier, le degré d’expérience et le périmètre de leur mission.

Comment intégrer un CSIRT pour son entreprise ?

Intégrer un CSIRT dans une entreprise implique de réaliser un diagnostic précis et de planifier avec soin les étapes du projet. Ci-après les 5 étapes essentielles :

1. Diagnostiquer les besoins : chaque entreprise a des besoins différents en matière de cyberprotection.
2. Recruter les professionnels en cybersécurité : incontournable, l’embauche d’experts en cybersécurité doit être rigoureuse pour dénicher les profils adaptés.
3. Sélectionner les outils adaptés : pour être efficace, votre équipe CSIRT a besoin de technologies performantes : logiciel RMM, système SIEM, outils SOAR, anti-virus, EDR...
4. Former : cette étape concerne tant l’équipe CSIRT que les salariés de l’entreprise qui doivent apprendre à collaborer.
5. Déployer et tester : une fois constitué, le CSIRT doit entamer ses missions. Des tests se révèlent nécessaires pour s’assurer de l’efficacité de l’équipe.