Computer Security Incident Response Team (CSIRT)

Une équipe d'intervention en cas d'incident de sécurité informatique (en anglais, Computer Security Incident Response Team ou CSIRT) est un organisme qui reçoit des signalements d'atteintes à la sécurité, analyse les rapports concernés et répond à leurs émetteurs. Un CSIRT peut être un groupe déjà établi ou une équipe se réunissant ponctuellement.

Il en existe divers types. Un CSIRT interne fait partie d'un organisme parent, tel qu'une administration, une entreprise, une université ou un réseau de recherche. Les CSIRT nationaux (un type de CSIRT interne), par exemple, supervisent le traitement des incidents à l'échelle de tout un pays. En général, les CSIRT internes se réunissent à intervalles réguliers au cours de l'année pour réaliser des tâches proactives, telles que des tests de reprise après désastre. Ils peuvent aussi se rassembler selon les besoins en cas d'atteinte à la sécurité. Les CSIRT externes fournissent des services payants de façon régulière ou ponctuelle.

Le CERT (Computer Emergency Readiness Team) dresse la liste des rôles suivants parmi les attributions des membres d'un CSIRT :

• Directeur ou chef d'équipe.
• Directeurs adjoints, superviseurs ou responsables de groupe.
• Personnel de la hotline, du service d'assistance ou chargé du tri.
• Gestionnaires d'incidents.
• Gestionnaires de vulnérabilité.
• Personnel d'analyse des artefacts.
• Spécialiste de plateformes.
• Formateurs.
• Veille technologique.

Les services spécifiques fournis varient selon le CSIRT. Un incident de sécurité informatique peut impliquer une violation réelle ou présumée, ou bien l'acte consistant à provoquer volontairement une faille ou une violation. Les incidents les plus courants sont l'introduction de virus ou de vers dans un réseau, les attaques par déni de service (DoS, Denial of Service), la modification non autorisée de logiciels ou matériels et l'usurpation d'identité de personnes ou d'institutions. Le piratage peut être considéré comme un incident de sécurité, sauf si ses auteurs ont été volontairement embauchés dans le but précis de tester un ordinateur ou un réseau afin de détecter ses éventuelles failles. (Dans ce cas, les pirates peuvent appartenir au CSIRT et jouer un rôle préventif.) Les CSIRT peuvent proposer des services proactifs, tels que la formation des utilisateurs à la sécurité, en plus de répondre aux incidents.

Le temps de réponse est un facteur essentiel dans la constitution, la gestion et le déploiement d'un CSIRT performant. En effet, une réaction rapide, bien ciblée et efficace peut réduire les dommages financiers, matériels et logiciels provoqués par un incident donné. Une autre considération importante porte sur la capacité du CSIRT à rechercher les responsables d'un incident afin de les mettre hors d'état de nuire et de les poursuivre en justice. Enfin, un troisième aspect concerne le « renforcement » des logiciels et de l'infrastructure dans le but de réduire le nombre d'incidents susceptibles de se produire à long terme.

Les CSIRT peuvent être désignés par d'autres appellations : CIRC (Computer Incident Response Capability), CIRT (Computer Incident Response Team), IRC (Incident Response Center ou Incident Response Capability), IRT (Incident Response Team), SERT (Security Emergency Response Team) et SIRT (Security Incident Response Team). Les CSIRT internes utilisent souvent l'un de ces sigles avec un identifiant. Ainsi, le CSIRT national français, le Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques, s'appelle le CERT-FR.