Echanges d’informations techniques, bonnes pratiques, mais aussi coopération au niveau opérationnel, partage du savoir-faire, autant de points forts pour mieux appréhender les attaques. Entretien avec Frédéric Le Bastard, président de InterCERT France, communauté d’experts en cybersécurité.
InterCERT France : Coopération, Bonnes pratiques & Incubateur au service des organisations
Détection et Réponse aux incidents cyber
Fondée en 2021, InterCERT France est une jeune association née de la volonté de pérenniser un réseau d’organisations ayant des activités de réponse à incident d’origine cyber, CERT (Computer Emergency Response Team, ou CSIRT, Computer Security Incident Response Team) sur le territoire français. « Cette association s’est créée sur la base d’un groupe préexistant de 60 experts, spécialistes œuvrant dans le domaine de la détection et de la réponse aux incidents de cybersécurité. Ce sont donc des praticiens, ces hommes et ces femmes de l’ombre tentent de faire face et d’accompagner les organisations victimes d’incidents cyber » complète le président d’InterCERT France. Des membres du premier groupe informel réunis au début des années 2000 jusqu’aux 10 équipes vers les années 2010, la croissance s’accélère ensuite « puisque nous sommes passés de 57 membres en octobre 2021 à 107 membres aujourd’hui ».
Le constat est simple : de plus en plus d’organisations s’intéressent activement au sujet de la détection et de la réponse aux incidents de sécurité. « Notre raison d’être est donc de faciliter et animer la coopération entre ces équipes, notamment pour faire face à des incidents de sécurité, souvent non ciblés et opportunistes et pouvant toucher toute organisation, artisans, banques …. En effet, toute surface d’attaque peut être mise à l’épreuve par un adversaire (phishing …), aussi ceux qui en sont victimes partagent leur expérience car la question n’est pas de savoir si on risque d’être victime d’un incident de sécurité mais quand ». L’ambition de InterCERT est donc faciliter et limiter les effets de ces attaques.
Trois vecteurs forts de coopération
Comment InterCERT France procède-t-il concrètement ?
Le premier vecteur de coopération est un service de messagerie instantanée « qui permet aux membres de communiquer entre eux, 24/24 7/7, 365 jours par an ». Plus de 900 experts qualifiés, de référence et connectés sur cette plateforme de messagerie instantanée échangent sur les vulnérabilités pouvant affecter les SI, les menaces sectorielles (énergie, finance, transport…), les faits d’actualité (JO 2024, guerre en Ukraine …). Des groupes thématiques travaillent aussi sur la sécurité des systèmes embarqués, la détection, la judiciarisation (Gendarmerie, Police nationale) et les questions opérationnelles. « L’objectif est de partager les bonnes pratiques pour accélérer l’efficacité de la réponse à incident dans toutes ses dimensions ».
Les séquences matinales (connectées), second vecteur, prônent le partage d’expertise et d’expérience. « Les sujets sont divers. Un membre présente, par exemple, un retour d’expérience sur un incident qu’il a eu à traiter, une attaque qu’il a réussi à éviter, des événements d’un nouveau type observés qu’il souhaite partager avec la communauté, les feedbacks des évolutions des normes…. A noter, il n’y pas d’activité mercantile entre les membres mais des activités techniques et opérationnelles ».
Enfin, les rencontres en présentiel appelées InterCERT Day ont lieu deux fois par an « pour partager des informations de visu, avec la présence de divers intervenants qualifiés ».
Un incubateur pour renforcer la maturité opérationnelle
Pour favoriser l’échange de connaissances et compétences, les membres vont partager leurs expertises et savoir-faire avec de jeunes CERTs ou en cours de constitution. Ainsi, dès le 21 mai 2024, est lancé l’incubateur d’InterCERT France pour accompagner le développement des CERTs. Un programme de formation a été élaboré par les experts et membres, et la première promotion ‘Cédric Blancher’ (1) pourra accueillir jusqu’à 10 équipes (sélectionnées sur dossier de candidature).
« Cet incubateur a pour ambition de proposer une vingtaine d’ateliers animés par nos membres, à destination de personnes souhaitant devenir membres, avec des retours d’expériences opérationnels sur les volets RH, outils, techniques, processus, en mai et juin, à Paris, aux formats distanciel et présentiel pour créer un effet de groupe et de partage ».
Autre actualité prochaine et non des moindres ! La publication de la première étude d’accidentologie en juin 2024, les membres ont ainsi partagé de manière anonymisée les incidents auxquels ils ont fait face, « plus d’une cinquantaine d’équipes ont répondu et ont remonté plus de 220 cas d’incidents différents, ce qui montre un paysage assez complet des incidents cyber 2023, ce point de vue du terrain des praticiens est unique ».
Le Blog, véritable manifeste
Face aux risques cyber permanents et croissants, le blog de l’InterCERT France diffuse une vision préventive de la sécurité informatique, témoigne des enjeux, et lutte contre la mésinformation et la désinformation. « Nous avons la chance d’être autonomes dans notre fonctionnement et nous ne sommes pas sous influence d’un tiers d’où une grande liberté de parole. Aussi, les volontaires souhaitant s’exprimer et porter la voix des CERT peuvent le faire dans le Blog. Loin de se cantonner au sujet de la détection et de la réponse aux incidents, nous prenons position sur des sujets d’actualité, sur les choix faits aujourd’hui sur les SI, sur les enjeux de souveraineté, sur les décisions engageantes aux conséquences pour de nombreuses années. Par exemple, les mouvements actuels vers le Cloud poussent à confier les clés de nos SI à des acteurs internationaux, dans un contexte incertain et aux risques géopolitiques non considérés lors de ces phases de choix ».
L’ambition de ce blog est d’éclairer les choix des organisations avec des angles non encore abordés pour faire réfléchir les lecteurs et les aider dans leur prise de décision.
Restons optimistes !
Face aux cyberattaques en hausse « c’est parfois démoralisant certes, mais il faut s’en occuper et être optimiste. Comme Vincent Strubel, directeur général de l’ANSSI, le souligne, et je partage cette pensée, aujourd’hui, dans la perspective des JO, les acteurs qui doivent être prêts le sont, car ils se sont préparés depuis un certain temps déjà. C’est bien plus délicat pour ceux qui n’avaient pas pris conscience du sujet avant. Par contre, le niveau d’exposition va augmenter avant et pendant les JO, d’autant que la visibilité internationale va augmenter et cristalliser toute l’attention. Il faudra continuer sur cette dynamique de préparation et de protection dans la durée, les menaces cyber ne s’arrêteront pas ». Il faut être lucide, car les adversaires vont profiter évidemment de ce moment.
Les organisations sont de plus en plus préoccupées par les questions de cybersécurité, et doivent passer de l’étape de la conscience du danger et de la menace à l’étape de mise en œuvre des moyens et défenses. Toutefois, « quand on parle d’incidents cyber en France, c’est rarement des grandes organisations, c’est bien la preuve que ces établissements ont progressé en maturité et en sécurité ! ».
(1) Hommage à l’un de ses précurseurs sur les sujets cybersécurité, Cédric Blancher
Plus d’informations sur InterCERT France
Téléchargez cette ressource
Comment lutter contre le Phishing ?
Dans un environnement cyber en constante mutation, le phishing évolue vers des attaques toujours plus sophistiquées combinant IA, automatisation et industrialisation. Une réalité complexe qui exige des mesures de sécurité avancées et repensées au-delà de l’authentification multifacteur. Découvrez les réponses technologiques préconisées par les experts Eviden et les perspectives associées à leur mise en œuvre.