2. Types d’équipes d’intervention en cas de cyberincidents
Face à l’augmentation significative des incidents de sécurité informatique entraînant des implications sociales, économiques et politiques, la plupart des pays africains envisagent divers mécanismes pour minimiser et atténuer l’impact de ces incidents, notamment la mise en place ou l’amélioration des équipes de coordination en charge du traitement et de la réponse aux incidents.
Intégrer : https://dig.watch/processes/un-gge/#In-context
Illustration : Carte interactive de quelques cyberattaques majeures avec contexte et conséquences politiques (Source : DiploFoundation)
Études de cas : Incidents de cybersécurité en Afrique pendant la pandémie de COVID-19
Le rapport d’Interpol Évaluation des cybermenaces en Afrique, octobre 2021 a identifié les principales menaces dans la région : escroqueries en ligne, extorsion numérique, compromission de la messagerie en entreprise (BEC, Business Email Compromise), ransomware (rançongiciel) et botnets.
Des experts au Kenya ont affirmé que la COVID-19 a déclenché “une épidémie de cybercriminalité“, avec une augmentation de 37,3 % des cyberattaques entre avril et juin 2021, par rapport à janvier et mars 2021.
Les cyberattaques, notamment par hameçonnage, diffusion de logiciels malveillants et attaques associées aux vulnérabilités du télétravail ont enregistré une nette augmentation, comme l’indique le rapport sur la cybersécurité en Afrique – Kenya, 2019/2020. Il s’agit notamment de l’accès à distance, des risques associés à une surveillance réduite et de l’exploitation des nouvelles infrastructures de télétravail.
La communauté ACE fournira d’autres cas
Il existe différents types d’équipes en charge de surveiller, alerter, coordonner les efforts de réponse et de récupération, et faciliter la collaboration entre les entités gouvernementales, les organisations individuelles, les fabricants, les secteurs tertiaires et les services publics, le monde universitaire et la communauté internationale sur les questions de cybersécurité.
Ces équipes sont désignées par des acronymes tels que CERT (Computer Emergency Response Team), CSIRT (Computer Security Incident Response Team), IRT (Incident Response Team), CIRT (Computer Incident Response Team), SERT (Security Emergency Response Team), SOC (Security Operations Centre), NCSC (National Computer Security Center), ISAC (Information Sharing and Analysis Center) et, plus récemment, CDC (Cyber Defence Centres).
En fonction du mandat et du type de circonscription, les intervenants africains peuvent employer l’un de ces termes pour désigner l’équipe en charge de la gestion des incidents de cybersécurité. Par exemple, le nom des CSIRT nationales repose souvent sur l’abréviation CSIRT/CIRT/CERT : CERT-MU, EG-CERT. Le nom des équipes en charge d’un secteur spécifique se compose d’une forme abrégée du secteur et du code pays de deux lettres : EG-FinCIRT. Le nom de l’entreprise ou de l’organisation, ou une version abrégée de celui-ci, est inclus si l’équipe fournit des services à l’entreprise, par exemple Siemens CSIRT.
Le terme CSIRT désigne normalement une CIRT, une CERT ou une SIRT. Une organisation utilisant ce terme doit fournir un service de traitement des incidents (réponse aux incidents). Un SOC désigne une équipe qui surveille les opérations de sécurité pour les réseaux et les centres de données. Il est important de noter que le terme CERT est une marque déposée au niveau mondial par le CERT Coordination Center (CERT/CC) qui relève du Software Engineering Institute (SEI) de l’Université Carnegie Mellon (CMU) aux États-Unis. Les organisations qui souhaitent utiliser le terme « CERT » dans le nom de leur équipe doivent contacter le SEI-CMU afin de demander l’autorisation (cette politique peut être modifiée à l’avenir).
Ressources : Définitions
Le RFC (Request for Comments) 2350 définit une CSIRT comme une équipe qui coordonne et appuie la réponse aux incidents de sécurité impliquant des sites au sein d’une circonscription définie. Pour être considérée comme une CSIRT, une équipe doit fournir un canal (sécurisé) permettant la réception de rapports sur des incidents présumés.
Le FIRST (Forum for Incident Response Teams) définit une CSIRT (équipe de réponse aux incidents de sécurité informatique) comme une capacité ou une unité organisationnelle (qui peut être virtuelle) fournissant des services et un soutien à une circonscription définie pour prévenir, détecter, traiter et gérer les incidents de sécurité informatique, conformément à sa mission. On appelle « circonscription » un ensemble spécifique de personnes et/ou d’organisations possédant des caractéristiques communes, auquel une CSIRT fournit des services.
La recommandation ITU-T X.1060 de l’Union internationale des télécommunications définit le centre de cyberdéfense (CDC) comme une entité au sein d’une organisation qui propose des services de sécurité dans le but de répondre aux risques liés à la cybersécurité pesant sur ses activités commerciales.
Le SEI-CMU définit une CSIRT (équipe de réponse aux incidents de sécurité informatique) comme une organisation de services en charge d’assurer la réception, l’examen et la réponse aux rapports et à l’activité des incidents de sécurité informatique. Ces services sont proposés à une circonscription définie.
Le FIRST définit un ISAC (centre de partage et d’analyse de l’information) comme une plate-forme de coopération pour les équipes de sécurité qui relèvent du même secteur ou partagent un objectif commun. Elle peut offrir la plupart des services d’une CSIRT, mais elle n’assure pas le traitement des incidents.
Un SOC (centre d’opérations de sécurité) assure la surveillance en temps réel centralisée des réseaux et systèmes d’une organisation, ainsi que la coordination de la réponse et du traitement des incidents.