Frédéric Le Bastard (InterCERT France) : « la rareté des compétences est un vrai défi »

Par Bertrand Lemaire | Le vendredi 2 décembre 2022 | Gouvernance

Fondée il y a un an, InterCERT France réunit aujourd’hui 80 CERT français. Frédéric Le Bastard, son président, nous présente cette association de spécialistes en cybersécurité opérationnelle.

Frédéric Le Bastard est le président de l’association InterCERT. - © InterCERT

Pouvez-vous nous présenter InterCERT France ?

Notre association a été fondée en octobre 2021. Elle regroupe des organisations dans trois collèges pour un total d’environ 80 membres. Tout d’abord, il y a les CERT [Computer emergency response teams : équipes de réaction à une urgence informatique, NDLR] internes, c’est à dire les équipes internes à des entreprises qui opèrent la cybersécurité de la même entreprise, par exemple de la Société Générale, d’EDF ou de la SNCF. Aujourd’hui, nous avons une cinquantaine de membres de ce collège. Le deuxième collège est constitué des CERT externes (une trentaine de membres à ce jour) : ce sont des sociétés qui vendent des services de CERT à d’autres entreprises, par exemple Orange Cyberdéfense ou Wavestone. Enfin, il y a les CERT institutionnels comme l’ANSSI ou le CERT de la Banque de France. S’ajoutent également à ces collèges des « membres de liaisons », c’est à dire des personnes physiques (deux adhérents à ce jour) qui appartiennent à des organisations qui ne sont pas encore membres.

Du fait de notre jeunesse, nous recrutons beaucoup en ce moment. Nous avons ainsi eu 24 nouveaux membres sur l’année 2022.

Quelles sont vos activités ?

L’essentiel de notre activité vise à la coopération entre les membres. Les échanges portent notamment sur l’actualité : procédures et techniques des adversaires [pirates informatiques, NDLR], attaques en cours, retours d’expériences sur les attaques subies… Bien évidemment, il n’y a pas nécessairement une demande d’échanges ou de coopération de la part d’un membre qui subit une attaque mais c’est une possibilité qui lui est offerte.

Nous pratiquons également des échanges sur les solutions du marché. Si un membre envisage de s’équiper d’une solution de cybersécurité, il est assez probable qu’un autre membre l’a déjà testée ou déployée.

Nous avons plusieurs canaux d’échanges. Tout d’abord, nous utilisons une messagerie instantanée où dialoguent environ 600 individus, soit en pair-à-pair, soit sur des canaux thématiques. Tous les deux mois, nous organisons des Matinales où deux ou trois membres présentent un sujet : retour d’expérience, évolution des méthodes ou techniques d’adversaires… Enfin, deux fois par an, nous organisons des plénières : nous réunissons physiquement des représentants de nos membres (environ deux cents personnes) pour cultiver notre écosystème qui repose beaucoup sur la confiance. Or, pour développer la confiance, nous pensons que nous rencontrer physiquement est utile.

Quelles différences et collaborations existent entre les CERT et les RSSI ?

La réponse peut varier selon les organisations. Les RSSI ont généralement des activités de maîtrise d’ouvrage, de gouvernance. Les CERT ont des activités beaucoup plus opérationnelles : réponse aux incidents, supervision du SIEM [security information and event management, gestion de l’information et des événements de sécurité, NDLR], anticipation des attaques avec partage de connaissances sur les menaces…

RSSI et CERT travaillent normalement en binômes, parfois avec des relations hiérarchiques, parfois pas.

Certaines organisations font le choix du CERT interne, d’autres du CERT externe, d’autres encore ont un CERT interne et confient à l’extérieur certaines tâches (comme la supervision du SIEM par exemple).

Il n’y a pas de modèle unique. Chaque modèle a ses avantages et ses inconvénients. Le seul bon modèle est donc celui qui est adapté à l’organisation.

Le choix CERT interne ou externe n’est-il pas une question d’abord de taille de l’organisation ?

C’est bien sûr l’un des paramètres, oui. Une PME de mille personnes n’a en général pas les moyens d’avoir un CERT avec plusieurs temps pleins. Les CERT internes sont donc plutôt dans les grandes organisations. Mais certaines grandes organisations peuvent très bien choisir de disposer d’un petit CERT interne, voire pas de CERT interne du tout, et d’externaliser largement des tâches à un ou des CERT externes.

A l’inverse, les CERT externes peuvent être de petites entreprises très spécialisées.

Quels sont les grands défis actuels des CERT ?

Le premier, cela ne vous surprendra pas, est la rareté des compétences. C’est un vrai défi pour nos membres qui ne parviennent pas à recruter. Bien sûr, de ce fait, nous menons une réflexion sur la formation, sur la fabrication de la compétence. Nous envisageons de relancer un incubateur pour équipes en cours de création, pour éviter « les erreurs de débutants ». Nous n’allons évidemment pas régler le problème tout seuls mais nous voulons apporter notre contribution.

Notre deuxième défi est l’infobésité. Les informations, dans notre domaine, sont très volatiles et abondantes. Il est donc difficile de traiter et de sélectionner l’information en sachant son état de fraîcheur et donc de pertinence. Le renseignement sur la menace est un enjeu clé sur la réponse aux cyber-incidents et nous menons, là aussi, une réflexion et des travaux sur ce thème.

Bien sûr, il y a aussi un enjeu sur la détection des attaques. Il s’agit de détecter au plus tôt pour réagir également au plus tôt. C’est autant vrai sur les menaces ciblées ou sectorielles, quand l’attaque d’acteurs sophistiqués va toucher des organisations précises, que sur les menaces non-ciblées qui vont frapper tous azimuts et finir par trouver quelque chose.

Est-ce que les nouvelles écoles comme l’école 2600, la Cybersécurity Business School, Oteria, etc. peuvent répondre à vos besoins de recrutement ?

Nous n’avons pas, pour l’instant, de relations concrètes avec ces établissements. L’association est encore jeune mais développer de telles relations se fera sans doute à moyen ou long terme.