Fondamentaux
À l’heure où les attaques cybercriminelles impactent de plus en plus de systèmes informatiques, des initiatives de coopération s’organisent à travers le monde. Le FIRST (pour Forum of Incident Response and Security Teams) est une institution internationale dont le rôle est multiple. L’objectif de ses membres : collaborer pour répondre aux cybermenaces. Le point sur le FIRST, ses actions et son impact dans la cybercriminalité.
Qu’est-ce que le FIRST ?
Le FIRST est une organisation internationale créée dans les années 90 en réponse à la première attaque informatique. Cette institution se compose de différentes équipes CERT (Computer Emergency Response Team), CSIRT (Computer Security Incident Response Team) et PSIRT (Product Security Incident Response Team). Son objectif premier est simple : centraliser les différents incidents informatiques pour communiquer, informer, prévenir et réagir ensemble.
L’origine du FIRST, l’histoire de sécurité informatique
En 1988, un étudiant de l’université de Cornell aux États-Unis développe sur son ordinateur le tout premier ver informatique de l’histoire. Il se propage dans l’ARPANET (l’ancêtre d’Internet) et crée de nombreux dégâts sur le réseau. Des équipes indépendantes se forment un peu partout pour identifier le ver et décrypter son code. Tous ont pour ambition de l’arrêter et de corriger les failles informatiques auxquelles il s’attaque.
Ces équipes d’experts travaillent selon leurs propres règles, leur budget, leur objectif et leur pays d’origine. Ce fonctionnement divers se révèle peu efficace pour traiter l’incident. Entre les conclusions contradictoires, les solutions en doublon et les avancées isolées, le ver a le temps de se propager sur le réseau. En 1989, un nouvel incident révèle les limites de ces interventions indépendantes.
Le FIRST est créé en 1990 pour répondre à des besoins de communication et de coordination des équipes CERT et CSIRT partout à travers le monde.
CERT et CSIRT : qu’est-ce que c’est ?
Le CERT et le CSIRT ne sont autres que des équipes d’experts en sécurité numérique. Le CERT est une marque déposée américaine que peu de CSIRT ont le droit d’utiliser. C’est pourquoi il est plus courant de croiser des CSIRT que des CERT. De nombreux secteurs d’activités, des entreprises privées aux institutions publiques disposent de leur CSIRT. Il s’agit soit de leur propre équipe interne, soit d’un service tiers.
Ces équipes sont missionnées pour mettre en place des processus afin d’empêcher les attaques cybercriminelles. Ils sont également présents pour intervenir contre un incident survenant sur leurs réseaux. Un service CSIRT est perçu comme une équipe d’élite dont l’intervention doit être précise et efficace. Elle enquête sur les cyberattaques, étudie les modes opératoires des hackers et bloque les atteintes à la sécurité des systèmes d’information. Les CERT, CSIRT et PSIRT sont les références en matière de cybersécurité, en France comme dans le reste du monde.
Pourquoi l’existence du FIRST est utile pour la sécurité informatique ?
Le FIRST représente la force du groupe. Chaque équipe de CSIRT présente partout dans le monde fait face aux mêmes cyberattaques. Ces attaques surviennent à un instant t sur le réseau mondial ou affecte une institution en particulier. L’objectif du FIRST est de regrouper un maximum d’information et d’expertise pour se montrer plus efficace contre les cybercriminels.
En centralisant les réponses aux incidents et les enquêtes sur les différents territoires, les CSIRT disposent plus rapidement d’outils et de méthodes pour lutter contre une cyberattaque. Le FIRST tend vers une meilleure coopération entre les équipes d’experts en cybersécurité dispersées à travers le monde.
Quels sont les rôles et les actions du FIRST ?
Les missions du FIRST sont multiples, mais aspirent à un seul et même objectif. Il s’agit d’assurer la protection des systèmes d’information à travers le monde.
Assurer la coordination des CERT et CSIRT sur la sécurité informatique
Le FIRST propose un annuaire des membres CERT, CSIRT et PSIRT accessible en ligne. Les contacts et les différentes expertises des équipes sont disponibles, afin que chaque membre puisse trouver son interlocuteur le plus rapidement. Les collaborations sont simplifiées. Les besoins de partenariat sur des incidents particuliers se créent plus facilement.
Établir une meilleure communication entre les membres du FIRST
Le FIRST met en place des outils de communication et des plateformes communes pour rassembler un historique complet des menaces et attaques. Il s’agit notamment des bulletins d’alerte, des incidents en cours et des solutions et outils existants. Chaque membre peut ainsi accéder à ses informations et les utiliser en cas de nécessité. Ces outils sont alimentés par l’ensemble des membres du FIRST et des CERT.
Dépasser les frontières et les enjeux politiques au profit de la sécurité numérique
Le FIRST tend à réunir des membres de tous les pays et de toutes les cultures. Il est donc nécessaire que chacun accepte des règles de partage et d’accessibilité aux informations afin d’améliorer la portée mondiale des interventions. FIRST met également en place des formations pour développer et doter d’outils de sécurité numérique les membres les moins experts.
Pourquoi adhérer au FIRST ?
Adhérer au FIRST compte de nombreux avantages pour les différents CSIRT à travers le monde :
- accéder à une base de données d’outils et de solutions contre les cyberattaques ;
- être en contact avec des experts dans de nombreux domaines ;
- obtenir des échanges de qualité sur des points essentiels en matière de sécurité des systèmes d’information ;
- être capable de réagir rapidement sur des cyberattaques ;
- faire de la prévention pour anticiper les failles de sécurité et développer les meilleurs outils, etc.
Rejoindre FIRST, c’est avoir la volonté de partager des connaissances et des expériences afin de lutter contre les cybercriminels. FIRST est avant tout un réseau de confiance où collaborent les professionnels de la cybersécurité.
Quels sont les autres services que propose le FIRST ?
FIRST déploie d’autres actions pour apporter une réponse plus large aux incidents informatiques. Ces services sont accessibles à tous les professionnels, experts en cybersécurité. Membre ou non du FIRST, vous avez à disposition des outils et de la documentation.
Des conférences sur la cybersécurité à travers le monde
Tous les ans, l’institution organise des conférences pour rassembler les experts du domaine de la sécurité. Il s’agit de la First Conference on Computer Security Incident Handling. Ce moment d’échange permet de réunir les idées et de développer de nouvelles solutions pour répondre aux menaces. Ces symposiums se déroulent sur plusieurs jours. Le programme se compose de débats, de retours d’expérience, mais aussi d’ateliers. Ces conférences sont accessibles à tous, que vous soyez membre ou nom de FIRST.
Des colloques techniques plus ciblés pour les experts en sécurité numérique
Les colloques techniques sont une alternative aux conférences annuelles de FIRST. Ils répondent à un besoin d’échanger autour de problématiques plus locales. Les colloques techniques sont accessibles aux membres FIRST ou non selon les souhaits de l’organisateur. Ils se déroulent généralement sur deux jours avec, au programme, une séance plénière et un atelier pratique.
Ces colloques techniques répondent aux mêmes enjeux que les grandes conférences annuelles de FIRST. Le programme et les modalités d’inscriptions sont accessibles sur le site de FIRST.
Des outils et formations sur la cybercriminalité
Le site de FIRST est une ressource inépuisable en matière de documentation. Disponible pour tous les experts en sécurité, la documentation vous donne accès aux guides de bonnes pratiques FIRST. Vous disposez d’un accompagnement pour paramétrer vos systèmes selon des directives de sécurité établies par les membres. FIRST encourage tous ses partenaires à diffuser leur expertise au plus grand public. Mieux informés, les acteurs de la sécurité peuvent répondre efficacement, à leur échelle, à leur problème de sécurité en interne.
Des cours pratiques peuvent également être dispensés par les experts en sécurité, membres de FIRST.
Des formations pour créer de nouveaux CSIRT
FIRST propose des formations complètes pour aider à la création de nouveaux CSIRT. Ces outils servent également à développer les compétences des équipes déjà en place. FIRST envoie un formateur dédié pour répondre aux exigences d’évolution des membres de l’équipe CSIRT. La liste des formations est disponible sur le site de l’institution ainsi que les formulaires d’inscription.
Des groupes de travail sur la cybersécurité ouverts à tous
Les groupes d’intérêt spéciaux sont des forums dans lesquels les membres discutent de sujets ciblés. Ces groupes ne sont pas uniquement accessibles aux seuls membres du FIRST. Ils sont donc une source d’échange riche et pertinente pour ceux désirant obtenir des informations sur un domaine spécifique. L’idée est, encore une fois, de partager des expertises pour un intérêt commun.
Combien de membres compte le FIRST ?
À l’heure actuelle, le FIRST compte plus de 670 membres répartis à travers le monde, dont le CERT-FR. Ces membres appartiennent aussi bien à des entreprises privées que des institutions gouvernementales. La France dispose à l’heure actuelle de 20 équipes, parmi lesquelles le CERT La Poste, le CERT AXA ou encore le CERT TotalEnergies.
L’adhésion au FIRST fonctionne sur un système de partenariat. L’institution est transparente sur ses modalités ainsi que sur les différentes étapes à franchir pour rejoindre ses rangs.
La Cyber Management School forme des étudiants à la cybersécurité. À la fin de leur cursus, nos étudiants disposent de compétences opérationnelles pour traiter les problèmes de sécurité informatique. le FIRST est une source d’inspiration pour chacun d’entre eux. La coopération, l’échange d’information et la communication sont des points clés pour lutter efficacement et rapidement contre les attaques cybercriminelles.