Équipe cyber
CSIRT : Computer Security Incident Response Team
Un CSIRT (Computer Security Incident Response Team) est une équipe d'experts en sécurité informatique organisée pour réagir en cas d'incident. Point de contact centralisé dès qu'une compromission est suspectée, le CSIRT regroupe des spécialistes du test d'intrusion, de l'analyse de logiciels malveillants, de la traçabilité numérique et de la veille stratégique. Son rôle : détecter, analyser et traiter les incidents de cybersécurité tout en minimisant leur impact opérationnel.
Origine et typologie
Le premier CSIRT a été créé en 1988 à l'université Carnegie Mellon, aux États-Unis, en réaction au ver Morris qui avait paralysé une partie d'Internet. Aujourd'hui, on compte en France près d'une centaine de CSIRT, également appelés CERT (Computer Emergency Response Team), bien que ce dernier terme soit une marque déposée par Carnegie Mellon.
On distingue plusieurs typologies : les CSIRT nationaux dédiés à la protection des infrastructures d'un État, les structures internes intégrées aux grandes entreprises, les CSIRT sectoriels ciblant des domaines précis comme l'aviation ou la santé, et les CSIRT commerciaux qui opèrent comme des prestataires externes. En France, issus du plan France Relance en 2021, les CSIRT territoriaux et Centres de ressource cyber (CRC) assurent la réponse aux incidents au plus près des entités implantées sur leurs territoires, avec 14 CSIRT territoriaux et un CRC opérationnels.
Lien avec NIS2
La directive NIS2 place les CSIRT au cœur du dispositif de cybersécurité européen. Chaque État membre doit désigner ou établir un ou plusieurs CSIRT, chargés de couvrir les secteurs essentiels et importants listés aux annexes I et II de la directive.
Les entités essentielles et importantes doivent notifier leur CSIRT ou l'autorité compétente de tout incident ayant un impact significatif, en transmettant notamment toute information permettant de déterminer l'impact transfrontalier. Les délais sont stricts : alerte précoce sous 24 heures, notification initiale sous 72 heures (Article 23 NIS2). Le CSIRT ou l'autorité compétente fournit sans retard injustifié, et si possible dans les 24 heures, une réponse initiale incluant des conseils opérationnels sur les mesures d'atténuation.
L'ANSSI a soutenu la mise en place de CSIRT aux niveaux ministériel, sectoriel et territorial, afin d'accompagner le passage à l'échelle de la directive NIS2. Ces structures renforcent les actions de prévention, détection et assistance, formant un réseau de confiance pour répondre aux obligations réglementaires de notification et d'assistance.