Frédéric Le Bastard (InterCERT) : « notre raison d’être, c’est la coopération entre CERT »

Où en est InterCERT ?

Notre association comprend aujourd’hui une centaine de membres, essentiellement des CERT (Computer Emergency Response Teams) de grandes entreprises, d’administrations ou de cabinets de conseils spécialisés en cybersécurité. Notre association regroupe donc des personnes morales même si nous avons quelques membres individuels en nom propre, des personnes assurant de la réponse à incident mais dont l’employeur n’est pas membre.

Notre siège est toujours au Campus Cyber de Paris La Défense.

Depuis un an, nous avons renforcé notre équipe de permanents avec, en plus de notre directrice, un responsable technique et un « office manager », c’est à dire un responsable administratif. Comme nous nous adressons à de très grandes structures, les process de récolte des cotisations sont parfois un peu complexes.

Comment évoluent vos activités ?

Notre raison d’être, c’est de développer la coopération entre CERT. Aujourd’hui, celle-ci prend trois formes.

Tout d’abord, nous avons un vecteur permanent de contact qui est devenu le moyen principal de communication, en l’occurrence une messagerie instantanée. Nous avons réinternalisé totalement le service en déployant une instance Mattermost sur nos propres serveurs.

Une fois tous les deux mois, nous organisons des rencontres virtuelles lors de matinales de deux heures. Des membres peuvent y réaliser des retours d’expériences et nous pouvons aussi accueillir des organisations extérieures, par exemple Signal-Spam en janvier 2024.

Enfin, une fois par semestre, nous organisons des rencontres plénières, jusqu’à présent au Campus Cyber de Paris La Défense mais cela pourrait changer. La plupart de nos adhérents étant en région parisienne, c’est plus simple.

Dans les prochains temps, nous allons développer de nouveaux canaux. Par exemple, avec le lancement de notre nouveau site web, nous allons mettre en place un blog pour prendre des positions. Les articles seront publics. Notre objectif est de faire entendre la voix des CERT. Il faut porter cette voix car on entend toujours les RSSI, les DSI, les métiers… mais moins les opérationnels des CERT/SOC.

Avez-vous d’autres moyens de relayer l’opinion des CERT ?

Nous avons mis en place un Panorama des Cyber-menaces selon le point de vue des CERT. La première publication aura lieu au premier trimestre 2024 avec un libre accès. Deux tiers de nos membres ont répondu, ce qui le rend très représentatif. Il s’agit de factualiser les perceptions avec des recueils de données consistants.

Nous comptons inclure dans le panorama une cartographie de l’activité réelle des CERT pour que chacun comprenne bien ce que nous faisons. Il faut démystifier l’action des CERT.

Ce panorama est destiné à être annuel.

Aidez-vous les entreprises à créer leur CERT ?

Nous allons lancer un « incubateur de CERT » destiné, justement, à des organisations qui veulent se doter d’un CERT. Il s’agit de les faire bénéficier de notre expérience en leur proposant des ateliers thématiques pour les aider à se mettre en place et à se développer, à prendre les bonnes décisions en s’appuyant sur l’expérience des « anciens ». Et ce même si notre métier, finalement, est récent. Nous pensons proposer ce service » plus ou moins gratuitement.

Il y a beaucoup de sujets en lien avec les ressources humaines mais aussi avec les processus et les outils.

L’ANSSI a mis en place un tel incubateur pour les structures du secteur public.

Les Jeux Olympiques constituent-ils réellement un sujet pour vous ?

C’est le marronnier du moment ! Le Comité d’Organisation des Jeux Olympiques et Paralympiques (COJOP) a d’ailleurs adhéré à InterCERT. Selon les organisations, l’intérêt pour le sujet peut être très variable. Un opérateur de transport d’une ville près d’un lieu d’épreuve sera bien sûr beaucoup plus concerné qu’un distributeur alimentaire loin des épreuves.

Nous veillons à rester raisonnables sur le sujet des JO même si, bien sûr, chacun doit faire son analyse d’impact. Il convient, cela dit, d’éviter que tous les spécialistes en cybersécurité partent en vacances durant cette manifestation… En fait, les mesures à prendre ne sont pas spécifiques. Certes, il y aura des attaques massives en lien avec les JO mais rien ne s’arrêtera à l’extinction de la flamme !

La question des ressources humaines demeure-t-elle une vraie difficulté pour les CERT ?

Il y a beaucoup d’offres d’emplois… Mais débaucher chez nos concurrents est une solution court-termiste. Le rythme de production d’experts est insuffisant pour couvrir l’accroissement de la demande. Clairement, il n’y a pas d’autre solution que de former toujours plus de spécialistes de la cybersécurité. Et cela ne doit pas se limiter à former des informaticiens mais aussi des personnels issus des métiers. Ces derniers pourront s’appuyer sur leur maîtrise du métier pour agir très concrètement au niveau de la cybersécurité. C’est, en plus, une manière de mener une vraie reconversion porteuse de personnes ayant un métier en décroissance.

Nous sommes face à des cybermenaces qui ne faiblissent pas. Et il y a un vrai risque d’épuisement des équipes sur lequel nous menons actuellement des réflexions.

Envisagez-vous, comme l’AFCDP le fait pour les DPO, de mettre en place un programme de soutien psychologique ?

C’est une des possibilités. Mais, pour l’heure, nous en sommes à étudier les différentes approches possibles. Il faut trouver les bonnes voies, les bons compromis.

Pour terminer, quels sont vos défis pour 2024 ?

Pour nous, les défis sont permanents… D’un côté, les équipes des CERT doivent être en permanence performantes, de l’autre les cybercriminels attaquent quand ils veulent. La cybersécurité n’est certes pas la dernière lors des arbitrages budgétaires mais, face à la pénurie, il faut savoir consolider les actions des uns et des autres, et savoir s’inspirer les uns les autres avec les meilleures idées.