alfa27 - stock.adobe.com

Frédéric Le Bastard, Intercert : « nous travaillons à rendre systématique le partage d’information »

Membre de l’Intercert-France depuis 2012, Frédéric Le Bastard est désormais président de ce collectif transformé en association à l’automne 2021. Il nous en explique les nouvelles ambitions.

L’Intercert-France fait sa mue. Acteur clé dans la réponse aux incidents, l’organisation qui avait été lancée de manière informelle au début des années 2000 s’est structurée en association en octobre 2021. Une façon pour le collectif, longtemps chapeauté par l’Anssi, de prendre son envol et de se mettre en ordre de bataille pour pouvoir accueillir davantage de membres. Son président, Frédéric Le Bastard, a accepté de répondre aux questions du MagIT.

LeMagIT : Comment l’Intercert s’est-il transformé ces dernières années ?

Frédéric Le Bastard : L’Intercert a été formé au début des années 2000, avec les rares équipes qui existaient à l’époque : l’ancêtre de l’Anssi ou le réseau Renater (Réseau national de télécommunications pour la technologie, l’enseignement et la recherche) par exemple. Personnellement, j’ai rejoint en 2012 le groupe pour mon employeur, La Poste. À l’époque, nous étions la dixième organisation à intégrer le groupe de travail, sans existence formelle, et étions alors pilotés par l’Anssi.

Notre raison d’être, c’est de réunir les équipes qui ont des activités de réponse et de détection d’incidents en France, une activité très opérationnelle. Leur accueil se fait en respectant un protocole. Les candidats sont accompagnés par un sponsor dans leur démarche d’adhésion. Nous leur demandons de remplir un formulaire et de s’autoévaluer sur leur maturité. L’objectif, c’est d’encourager les candidats à faire un travail introspectif. Les candidats sont ensuite auditionnés par le conseil d’administration pour présenter leur activité et ce qu’ils viennent chercher dans l’Intercert. Nous voulons être sûrs que le candidat a bien compris notre objet et respecte nos standards de communication.

LeMagIT : Pourquoi venez-vous de vous structurer en association ?

Frédéric Le Bastard : À nos débuts, quand le groupe était plus resserré, il était assez facile de se rencontrer. Il suffisait de trouver une salle de réunion pour vingt personnes. Mais si en 2016 nous étions une trentaine, aujourd’hui nous sommes 80. Le simple fait de se voir est devenu une difficulté. Par exemple, sans personne morale, la location d’une salle est plus complexe. En 2019, nous avons commencé à réfléchir sur notre transformation en association. Une manière d’accompagner notre développement et de nous mettre en capacité d’accueillir plus d’organisations. Cette démarche s’est concrétisée après la pandémie, en octobre 2021.

Notre organisation a évolué en conséquence. Outre les deux collèges représentant les Cert internes et les organisations proposant leurs prestations de services, nous avons créé un troisième collège, celui des institutionnels. Chaque collège élit deux représentants au conseil d’administration. Il s’agit de la Société Générale et de La Poste (Cert internes), du Cert-IST et d’Atos (Cert externes) et de la Caisse des dépôts et de la Banque de France (Cert institutionnels). J’ai été élu président, tandis que la vice-présidente est Martine Giralt (Cert-IST) et le trésorier James Atack (Banque de France). La cotisation annuelle a été fixée à 4 500 euros – c’est un juste milieu entre les grandes organisations, pour qui ce n’est pas grand-chose, et les petites structures, pour qui il s’agit d’un effort important. Nous sommes également subventionnés par l’État dans le cadre de France Relance. Nous avons enfin recruté une directrice, Haude Costa, et un responsable technique, arrivé en septembre. Cette équipe sera peut-être complétée par un troisième permanent pour le travail administratif.

LeMagIT : Vous venez de rejoindre le campus cyber, pourquoi était-ce important ?

Frédéric Le Bastard : L’ouverture du Campus Cyber a coïncidé avec ce passage sous statut associatif. C’est probablement le lieu où il y a la plus grande concentration de professionnels de la cybersécurité, dont une partie de nos membres. Notre raison d’être étant la coopération, il était naturel d’y installer nos deux permanents.

LeMagIT : Comment suivez-vous la création des CSIRT régionaux ?

Frédéric Le Bastard : L’association observe leur montée en puissance et l’accompagne. Des membres sont ainsi des contributeurs au dispositif d’incubation animé par l’Anssi. Ce sont par exemple des ateliers où des membres présentent leurs pratiques, etc. Ces CSIRT se mettent progressivement en place [L’Anssi vient d’annoncer l’ouverture de deux centres, N.D.L.R.] et n’ont pas forcément encore une forte maturité. Mais ils pourront nous rejoindre, comme toute organisation ayant un centre de réponse à incidents.

LeMagIT : Quels sont les freins au partage d’informations ?

Frédéric Le Bastard : Jusqu’ici, notre association n’avait pas de moyens propres, cela limitait notre capacité d’action. Le partage d’information était opportuniste. Nous sommes en train de mettre en place des outils pour automatiser les choses, pour que cela devienne systématique. Comme sur les TTP (Techniques, tactiques et procédures) des attaquants. Le partage de ce genre d’information peut donner à nos membres des idées sur les emplacements stratégiques du système d’information à surveiller : ainsi, quels sont les événements caractéristiques de l’activité de tel groupe de cybercriminels qu’il faut surveiller dans l’Active directory ? Nous travaillons donc à la mise en place d’un portail et d’un système de messagerie. Il n’est pas question de déposer de telles informations sur un drive d’un GAFAM, cela demande donc un peu de temps pour que cela soit mis en place.

LeMagIT : Quels sont vos autres chantiers en cours ?

Frédéric Le Bastard : Nous voulons créer un incubateur au sein de l’association. Celui de l’Anssi est en effet réservé aux structures publiques. Il s’agit d’aider les organisations qui mettent en place un Cert à prendre la bonne route dès le départ. Nous voulons également communiquer davantage, avec un blog et la publication d’un document annuel sur le panorama de la menace.

Enfin, nous réfléchissons à la mise en place d’actions de formation et aussi à faire des zooms sur des thématiques ciblées à travers des présentations en ligne (ou lors de nos matinales et plénières qui ont lieu en présentiel).

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)