Cette interview de Luc Roudé, le responsable CERT-Intrinsec, a été menée par GSMag, afin de présenter les missions et les enjeux d’un CERT.
GSMag : Pouvez-vous nous présenter votre CERT et ses activités ?
Luc : Les missions principales du CERT d’Intrinsec sont d’effectuer des opérations de réponse à incident et d’investigation numérique, de maintenir une activité de veille sur les vulnérabilités critiques et les événements majeurs, et d’accompagner ses clients sur les problématiques d’anticipation, de traitement et de renforcement vis-à-vis des menaces informatiques.
Au sein d’Intrinsec à proprement parler, le CERT évolue dans une structure Services Managés de Sécurité, comprenant un SOC et une cellule de Cyber Threat Intelligence. Nous intervenons comme Niveau 3 du SOC et nous apportons notre expertise technique & sécurité aux analystes de la CTI.
GSMag : Comment se déroule la réponse à incidents ?
Nous avons plusieurs approches, la plus simple étant une ligne téléphonique directe vers le CERT permettant à quiconque subissant un incident de sécurité de nous solliciter. Une fois l’événement résolu, nous effectuons systématiquement un post-mortem et fournissons au client les clés pour déjouer les scénarios semblables. Dans la mesure du possible, nous présentons en complément des suggestions adaptées à son contexte pour entamer une démarche d’amélioration continue.
Dans le cas de clients existants, nous allons nous intégrer dans leur processus de gestion des incidents de sécurité. Cela peut passer par des mesures préliminaires de préparation de l’environnement à des opérations de réponse à incident. Nous sommes également en mesure de nous intégrer à des dispositifs déjà en place, par exemple en nous positionnant comme point d’escalade d’un SOC existant ou en mettant en place un flux d’indicateurs techniques consommé par des équipements IPS ou IDS exploités par le client.
-
GS Mag : De quelle manière collaborez-vous avec les autres CERT en France, en Europe et au-delà ?
Nous avons des circuits de communication assez informels avec des CERT internes comme privés opérant sur le territoire français. Nous échangeons aussi au sein de groupes de discussions avec des entités à l’international. Il s’agit surtout de partages d’informations sur les nouvelles menaces : derniers échantillons de malwares découverts, indicateurs techniques associés, techniques employées par certains groupes d’attaquants…
En ce qui concerne le partage d’informations avec d’autres CERT privés, nous mettons autant que possible de côté le fait que nous soyons concurrents pour nous consacrer sur notre mission commune : mettre le plus de bâtons possibles dans les roues des cybercriminels.
-
GS Mag : Qu’en est-il des autres acteurs et entités orchestrant la sécurité, tels que les SOC ?
Au sein d’Intrinsec, le CERT épaule le SOC sur plusieurs aspects. Le plus classique est son positionnement en Niveau 3, pour récupérer en escalade les incidents traités par les analystes aux Niveaux 1 et 2. En activité régulière, nous déversons dans une plateforme de partage d’indicateurs (MISP) tous les artefacts que nous pouvons extraire des malwares analysés dans le cadre de nos opérations de réponse à incident. Le CERT a également pour vocation de faire le pont entre les attaquants et les défenseurs dans le cadre de missions de Purple Team : l’objectif de ces opérations étant de tester les défenses vis-à-vis de scénarios d’attaque crédibles, le CERT peut apporter ses retours d’expériences sur les techniques offensives observées « dans la nature », et fournir son expertise technique en appui du SOC pour développer les méthodes de détection de ces tactiques. Enfin, le CERT apporte a la CTI de l’expertise technique. Les analystes CTI sont plus formés sur les aspects géopolitiques ; s’ils trouvent des fichiers inconnus associés de près ou de loin avec l’un de nos clients, nous les épaulons sur l’analyse du fichier.
-
GS Mag : Quelles sont, selon vous, les clés pour une réponse à incidents efficiente ?
On peut généralement diviser une opération de réponse à incident en six étapes : Préparation, Identification, Confinement, Eradication, Retour au Nominal et Capitalisation. Et on ne le répètera jamais assez, la clé est la préparation. D’un point de vue purement organisationnel, en premier lieu, en se posant quelques questions : quels sont les profils d’attaquants susceptibles de nous nuire ? Quels scénarios d’attaque pouvons-nous envisager vis-à-vis de ces profils ? De quelles mesures disposons-nous pour prévenir, détecter et réagir à ces scénarios ?
Ensuite, il convient de choisir les moyens à mettre en œuvre pour répondre à ces questions. Dans ce contexte, je cite régulièrement le modèle présenté dans un article publié par le SANS en 2015, The Sliding Scale of Cyber Security [1]. Différentes catégories de moyens y sont présentées, la plus importante étant concentrée sur l’architecture du SI. Une réponse à incident réalisée au sein d’une infrastructure maîtrisée aura toutes les chances d’être rapide et efficace. Un schéma d’architecture à jour, une matrice des flux cohérente, une classification des actifs métiers critiques… autant d’informations essentielles pour identifier les points à inspecter en priorité et prévoir des actions de défense de circonstance.
[1] https://www.sans.org/reading-room/whitepapers/analyst/sliding-scale-cyber-security-36240
-
GS Mag : Quels conseils pouvez-vous donner aux organisations pour renforcer leur niveau de sécurité ?
Il est primordial d’impliquer la direction générale et d’assumer les coûts engendrés. Développer une stratégie de sécurité de l’information cohérente nécessite d’engager des projets auprès de populations diverses et de porter des actions qui ne présentent à première vue pas d’intérêt immédiat pour le métier, voire introduisent des contraintes de fonctionnement. Dans ce contexte, avoir l’appui de la hiérarchie permet de porter un message fort sur la prise en compte des enjeux liés à la sécurité de l’information, et d’assurer l’allocation des moyens nécessaires à bonne conduite d’une mission d’amélioration continue.
Vous pourrez retrouver la suite de l’interview dans le N°41 du magazine Global Security Mag.