“A quoi sert un Computer Emergency Response Team (CERT) ?” un thème abordé durant ‘les Rencontres de la Sécurité‘ avec le CERT BNP Paribas France, en invité exceptionnel, le CERT Excellium et le CIRCL. Retour sur le fonctionnement de chacun et les points d’amélioration qu’il reste encore.

Avec un nombre toujours croissant d’attaques, de plus en plus d’entreprises développent leur propre service de CERT. Pourquoi ? Qui sont-ils ? Comment les aider à être plus efficaces ? Des questions qui ont trouvé leurs réponses pendant cette table ronde.

Securitymadein.lu marque un grand progrès dans la collaboration

Le Luxembourg a aujourd’hui 4 CERT publics et 5 CERT privés. La plateforme centrale securitymadein.lu créée en juin cette année les fédère et favorise les échanges entre les entités.

Qui sont les équipes d’un CERT ? Ce sont des personnes capables de réagir, de coordonner et de faire remonter les informations. Il n’y a pas que de la réaction, il y a aussi une veille proactive pour assurer un suivi et donc une meilleure protection. Côté privé, ce ne sont pas forcément des techniques tandis qu’au CIRCL ils le sont d’avantages, des compétences qui participent de la promotion du pays.

« Nous avons des personnes très techniques pour pouvoir fournir une analyse et un accompagnement complets aux entreprises qui justement n’auraient pas ces compétences. Il faut être réactif et proactif, » explique Pascal Steichen, Managing Director de securitymadein.lu.

Pourquoi avoir son propre CERT ?

Excellium Services donnait l’exemple de son CERT crée dès l’origine de ses activités au sein de son service ‘EyeGuard’. Le projet s’est concrétisé en partant des besoins des clients de devoir contenir rapidement les attaques. Mieux comprendre les menaces pour plus rapidement contenir leur impact. La satisfaction du client lors de situations maitrisées, est alors l’écho d’un travail bien accompli.

Aussi, un CERT est également une importante source de données, « il faut se servir des attaques subies par les clients pour mieux affronter les suivantes, améliorer notre réponse, » dit Martin Grandcolas, Responsable BU Intrusion d’Excellium (en photo).

Information lake

Cette récolte précieuse de données des attaques est très enrichissante pour tous. Le CIRCL travaille donc avec les autres CERT pour entretenir une dynamique en partageant les informations sur les attaques mais aussi ses outils de détection. Plus facile de partager à l’échelle du Luxembourg ? Étonnamment, c’est le contraire qui est observé : le CERT de BNP Paribas témoigne qu’il travaille avec beaucoup d’autres banques en France pour lutter de concert alors qu’au Luxembourg, la honte persiste.

« Il faut partager pour avancer, les entreprises attaquées ont honte d’en parler alors qu’ils devraient avoir honte de ne rien dire. Vous rencontrez tous les mêmes problèmes, il faut les partager pour avancer, » conseille Christophe Bianco, Partner Excellium.

Entre protection et partage de données

Les informations partagées se font dans un cadre de procédures et vers des personnes clés. Le CERT est avant tout un cercle de confiance qui compte sur la CNIL, la CNPD et leurs autres homologues pour maintenir une régulation et un mode opératoire dans le respect des données et des individus qu’elles concernent.

Autre différence entre public et privé, les difficultés rencontrées ne sont pas les mêmes. Un CERT public n’arrive pas toujours à avoir un contact identifié dans les entreprises, ce qui est une perte de temps pour transmettre les informations en cas d’attaque (des informations que le CIRCL arrive à récupérer grâce aux connaissances terrain des CERT privés).

Côté privé, on peut mettre en place une équipe en 24/7 pour un meilleur suivi du client mais toutes les entreprises n’ont pas quelqu’un sur le même créneau qui puisse faire le lien…encore des progrès donc.