Le CERT, ou Computer Emergency Response Team, est chargé de gérer les incidents de sécurité informatique et de répondre aux différentes menaces en matière de cybersécurité. Découvrez son rôle et les métiers qui le composent.
Le CERT (Computer Emergency Response Team)
Le CERT peut être une organisation indépendante ou un service interne mis en place par une entreprise, un gouvernement ou une organisation internationale. Cette équipe de défense spécialisée évolue au plus près des attaques pour répondre aux incidents en temps réel, et ce, dès les premières heures.
Professionnels de la cybersécurité : quels sont les métiers du CERT ?
Les équipes de réaction aux incidents informatiques sont des professionnels de la sécurité informatique ayant des compétences pluridisciplinaires et des expériences variées. Chez Advens, le CERT se décompose en deux grandes familles d’activité : le CSIRT et la CTI.
Le CSIRT (Computer Security Incident Response Team)
Cette équipe opérationnelle intervient au début d’une attaque et se compose de trois grandes catégories de métiers.
Le pilote de crise
Un pilote de crise est chargé de mettre en œuvre et de coordonner les efforts pour gérer les incidents de sécurité informatique (ransomware, intrusion, violation de données, défacement, etc.) et minimiser leurs conséquences. Ces professionnels sont capables de prendre en charge des systèmes d’informations complexes et de résister à la pression et au stress.
Tant qu’il n’y a pas d’incident, le pilote de crise n’est pas sollicité. Ce sont d’autres professionnels des équipes conseil qui vont préparer le plan de gestion de crise, établir les procédures, les plans de communication… En cas d’incident de sécurité, le pilote de crise est chargé d’activer le plan de gestion de crise établi en amont.
En découvrant la nature des attaques, les pilotes de crise sont souvent exposés à des situations déstabilisantes, il leur est donc demandé d’avoir une forte capacité de contrôle et de maîtrise de soi. Il faut savoir prioriser et catégoriser les actions à mener dans un climat d’urgence.
L’analyste CSIRT
Travailler dans la cybersécurité en tant qu’analyste CSIRT peut présenter de nombreux avantages pour les profils plus opérationnels et techniques. Identifier le mode opératoire de l’attaquant, qualifier l’étendue des dégâts, recommander des actions de remédiation… il faut des compétences précises pour devenir un bon analyste CSIRT :
- connaissances poussées dans les systèmes et administration des réseaux,
- forte résistance au stress,
- capacité à corréler les informations pour comprendre par où l’attaquant est passé (récupérer les logs, les analyser pour pouvoir ensuite porter plainte auprès de la CNIL ou d’une autre instance juridique (CNPD, etc.)),
- compréhension du contexte de la crise et capacité d’assurer la reconstruction des systèmes attaqués.
Bon à savoir
Chez Advens, il est possible de devenir « pompier volontaire » et d’endosser le rôle du pilote de crise ou de l’analyste CSIRT.Un consultant qui prépare les gestions de crise peut devenir pilote de crise lorsqu’elle survient. Cela lui permettra d’appliquer sur le terrain les procédures précédemment établies.
L’analyste Forensic
Ce sont majoritairement des profils d’enquêteurs et d’investigateurs numériques qui ont pour but d’analyser les preuves et les traces laissées pendant ou à la suite d’une attaque informatique.
Bon à savoir
Les analystes forensic peuvent intervenir soit :
- pendant la crise : leur but est d’essayer de comprendre ce qu’il s’est passé, comment l’attaque s’est produite – c’est une véritable course contre la montre !
- après coup : lorsque le commanditaire souhaite comprendre ce qu’il s’est passé et quel a été le comportement du cyberattaquant pour voler ses données par exemple.
La CTI (Cyber Threat Intelligence)
L’analyste CTI
L’analyste CTI évolue au sein d’une équipe complémentaire au sein d’un CERT. Lorsqu’il n’y a pas de crise, son rôle est de surveiller en permanence, de détecter et d’analyser les dernières menaces ainsi que les modes opératoires des cybercriminels.
Pour ce faire, il utilise des outils et des techniques spécialisés pour collecter et analyser les données de sécurité, y compris les journaux d’événements, les alertes de sécurité et les données de trafic réseau.
Il peut également intervenir en renfort si un incident de sécurité est détecté. Il est alors chargé de l’identification de la source de la menace et de la mise en œuvre des mesures pour y remédier. Cet expert peut également être chargé de recommander des solutions pour renforcer la sécurité des systèmes informatiques et prévenir les futurs incidents.
Intégrer le CERT d’Avens est un véritable atout pour son parcours professionnel. C’est l’occasion de vivre une attaque au plus près, d’enrichir son expertise grâce à une expérience terrain et de donner du sens à son métier en apportant son aide à une organisation victime d’une attaque.