Le CERT Société Générale ouvre sa plateforme de réaction aux incidents

Le CERT de la Société Générale mis à la disposition de tous, en open source, sa plateforme de gestion rapide des incidents de sécurité, en début d’année. Dans un billet de blog, ses équipes expliquent : il y a deux ans, nous avons commencé à chercher un outil pour nous aider à gérer le grand nombre d’incidents auquel nous devons faire face chaque jour ». Las, comme beaucoup, « nous avons été déçus par les outils disponibles – gratuitement ou payants. Nous avons donc décidé de construire le nôtre ».

Baptisé FIR, pour Fast Incident Response, l’outil se veut donc conçu dans un esprit d’efficacité opérationnelle, pour permettre de répondre rapidement aux incidents, « plutôt que remplir des formulaires ». Avec un certain humour, les auteurs de FIR y font parfois référence comme à « l’une des seules plateformes de gestion d’incidents réellement utilisable par des humains ».

Disponible sur GitHub, et accompagné par un Wiki, FIR est écrit en Python et s’appuie sur une base de données MySQL, d’un côté, et propose une interface graphique Ajax de l’autre. Un conteneur Docker est proposé pour un déploiement rapide. La plateforme supporte des extensions, notamment pour définir des artefacts qu’elle devra chercher et corréler automatiquement, ou encore pour créer des modèles et envoyer des e-mails d’alerte via son interface Web. Outre une gestion et un suivi des incidents, FIR permet de produire des rapports statistiques sur les incidents.

Avec cette publication, le Cert de la Société Générale entend à la fois contribuer et recevoir, « pour apprendre de nos pairs et leur donner l’opportunité de partager leurs workflows et méthodes ». Il poursuit en tout cas une politique d’ouverture de longue date : ses méthodologies de réponse à incidents sont par exemple publiques, et ses contributions aux travaux d’autres, à commencer par l’Enisa, sont reconnues.

Récemment, le Cert Société Générale a également rendu public sur GitHub Kraken, un framework de collecte d’indicateurs de compromission basé sur un agent léger développé en Python, ainsi que sur un entrepôt centralisé. Les auteurs le décrivent comme un projet encore jeune, promis à d’importantes évolutions, à commencer par une couche de chiffrement des données et le support du framework OpenIOC de partage de renseignements sur les menaces.