TECHNOLOGY
TF-CSIRT : les experts de la réponse sur incident se rassemblent à Luxembourg

Le but des rencontres TF CSIRT est de créer un réseau de spécialistes en réponses sur incident.

TF-CSIRT fédère les CSIRT (Computer Security Incident Response Team) européens, qu’ils soient académiques, institutionnels, commerciaux ou militaires. Les administrations et les grandes entreprises comme Siemens en possèdent un CSIRT afin d’être capable de réagir efficacement en cas d’incident. Le TF CSIRT est une grande communauté inclusive qui est née à l’aube du millénaire. A l’époque, la communauté comptait 20 personnes… Aujourd’hui, ce sont plus de 400 équipes. Ces pompiers de l’IT ont le feu sacré. Cette année, ils se sont rassemblés à Luxembourg. Le séminaire était organisé par RESTENA et hébergé par le Cybersecurity Competence Center (C3) et L’Université de Luxembourg.

Le but des rencontres TF CSIRT est de créer un réseau de spécialistes en réponses sur incident. « Cela nous permet de trouver des interlocuteurs dans tous les pays membres, si nous avons des questions dans le cadre d’un incident à traiter. Car la plupart des incidents n’ont pas de frontière», nous explique Baiba Kaskina, présidente de TF CSIRT, rencontrées lors du sommet TF CSIRT à Luxembourg, le 22 mai 2019.

L’objectif est également de créer des occasions pour l’ensemble des CSIRT européens d’échanger leurs expériences et leurs pratiques, et de nouer des contacts, quel que soit leur secteur d’activité.

Même s’il ne s’agit pas d’une conférence pour développeurs, les outils y tiennent une place importante. Il y a des ateliers dédiés à certains outils comme MISP ou IntelMQ, pour apprendre à mieux les utiliser ou bien comment y ajouter des fonctionnalités. Ce fut l’occasion également pour le C3 de promouvoir ses projets auprès de la communauté. Alexandre Dulaunoy de CIRCL a parlé du projet D4, un réseau de capteurs distribués à grande échelle permettant de surveiller les attaques DDoS et autres activités malveillantes. Quant à Fabien Mathey, il a donné un aperçu de l’approche adoptée par la MONARC pour l’optimisation de l’évaluation des risques. Le projet a identifié une approche systématique et réutilisable de l’optimisation.

Le TF CSIRT à Luxembourg fut également l’occasion de faire le point sur une discipline (la réponse sur incident) qui a beaucoup évolué et qui s’est fortement structurée et normalisée ces dernières années, avec notamment l’entrée en application de la directive NIS qui responsabilise les acteurs et formalise la réponse sur incident. Durant la dernière journée coordonnée par par Baiba Kaskina, l’approche de la maturité TF-CSIRT / Trusted Introducer a été évaluée. Le panel comprenait des équipes CSIRT ayant atteint le statut de certifié avec Trusted Introducer dans différents secteurs. Les équipes ont décrit leur approche en matière de certification, en expliquant pourquoi c’était important pour elles et en quoi consistait un défi et l’on a pu constater que de nombreuses équipes envisageaient la démarche de certification.

Les entreprises comprennent de plus en plus qu’elles doivent investir en matière de réponse sur incident. Une rencontre comme celle-ci est une charge importante pour le pays hôte, mais c’est aussi une source de reconnaissance les organisateurs et les équipes participantes. Dans un contexte où les talents se font rares, cela permet au pays hôte de se profiler comme destination potentielle attractive.