L'exploitation malveillante de la technologie de l'Internet a réellement commencé en 1988,
avec le ver de Robert Morris qui a infecté plusieurs milliers de machines, en les rendant inutilisables. Ses dommages ont été évalués par le Congrès américain à environ 100 millions de dollars (USD). Son effet immédiat a donc été la création aux États-Unis du premier CERT (Computer Emergency Response Team). La problématique de la Sécurité des Systèmes d’Information (SSI) s'est ainsi amplifiée au fur des années avec le développement des communications, des micro-ordinateurs et des réseaux de Télécommunications. Ceux-là favorisent l’augmentation du nombre de points d'accès aux ressources informatiques qui s’exposent, par conséquent, à des incidents affectant leur disponibilité, la confidentialité des informations et l’intégrité des communications. Les attaques, les menaces ainsi que les risques qui pèsent sur les systèmes d’information se sont multipliés à tel point que la cybercriminalité est devenue un fléau mondial auquel chaque pays est en train d’apporter sa contribution pour garantir un bon niveau de cyber sécurité. Parmi les conséquences d’actes à caractère cybercriminel on peut citer : - l’arrêt des sites institutionnels et des applications ; - la divulgation de secrets d’Etat ; - l’atteinte à la souveraineté nationale et au secret des communications ; - la perte de protection des données à caractère personnel ; - l’insécurité et les troubles à l’ordre public ; - des pertes financières relativement importantes. Pour faire face à cette cybercriminalité, il y a une réelle nécessité de mettre en place un ensemble de dispositifs de prévention, de correction, de protection et de dissuasion d’ordre technique, organisationnel, juridique, financier, humain et procédural. Le CERT est donc une réponse à cette lutte contre la cybercriminalité par la mise en place des moyens de protection nécessaires, incluant la veille technique ainsi que la centralisation des demandes d’assistance, et la réponse efficacement aux incidents ou aux attaques informatiques dont sont victimes les organismes nationaux.
Un CERT est donc une équipe d’experts en sécurité informatique chargée principalement de répondre aux incidents de sécurité sur le système d’information. Au-delà de l’objectif principal de traiter les incidents de sécurité, un CERT peut proposer d’autres services comme des actions de prévention, de l’assistance à la remise en état des systèmes compromis ou encore de la transmission d’informations sur les vulnérabilités des systèmes informatiques et des logiciels.
Dans ce contexte, les Universités ont l’ambition de mettre en place leur CERT qui aura pour rôle essentiel de renforcer la protection des réseaux contre les attaques, de coordonner la lutte contre les intrusions dans les systèmes informatiques, et de participer à la coordination des réseaux africains et mondiaux des CERT. Son objectif principal est donc de contribuer à développer la recherche appliquée et le transfert de technologies, pour mettre à la disposition du réseau snRER et des universités des outils de sécurité. De plus, le CERT interuniversitaire apportera un appui scientifique et technique pour le développement des TIC dans l’amélioration de la gouvernance et du pilotage des institutions. La mise en place d’un CERT interuniversitaire répond ainsi à une volonté de créer un cyberespace sécurisé pour les acteurs économiques et sociaux, pour attirer des investissements dans le secteur du numérique et contribuer à faire du Sénégal un hub de services régional et mondial.
2. Contexte et justifications
Au niveau international, l’Union Internationale des Télécommunications (UIT) a mis en
œuvre le programme 2 du plan d’action d’Hyderabad (Inde) de 2010 dont le but est de soutenir ses Etats membres, en particulier les pays en développement, dans la lutte contre la cybercriminalité. La Conférence Mondiale de Développement des Télécommunications (CMDT) tenue à Dubaï en 2014 a également retenu comme thème prioritaire les questions relatives à la cybercriminalité. Elle a recommandé la création de structures organisationnelles, telles que les CERT, afin d’identifier, de gérer et de répondre aux problématiques de cybersécurité en instaurant des mécanismes de coopération au niveau régional et international. C’est dans ce cadre que l’UIT a assisté et accompagné plusieurs pays africains (comme le Burkina Faso, la Côte d’Ivoire, le Ghana, etc.) dans leur projet de mise en œuvre de CERT national, avec le programme IMPACT (partenariat multilatéral international contre les cybers crimes). Le Sénégal a bénéficié de cette dynamique avec l’organisation en 2011 à Dakar, d’un atelier de formation sur les CERT qui a permis de lancer le projet de mise en place d’un CERT au Sénégal. Au niveau régional, le Sénégal a signé la convention de l’Union Africaine (UA), sur la Cybersécurité et la protection des données à caractère personnel, qui a été adoptée par la 23ème Session Ordinaire de la Conférence de l’Union qui s’est tenue le 27 juin 2014 à Malabo en Guinée Equatoriale. Cette convention en son article 28 stipule que : « Les États Parties s’engagent à encourager la mise en place des institutions qui échangent des informations sur les cybermenaces et sur l'évaluation de la vulnérabilité telles que les équipes de réaction d'urgence en informatique (CERT : Computer Emergency Response Teams) ou les équipes de réaction aux incidents de sécurité informatique (CSIRT : Computer Security Incident Response Teams) ». Au sein de la CEDEAO, la mise en œuvre de la Directive C/DIR/1/08/11 du 19 août 2011 portant lutte contre la cybercriminalité dans l'espace de la CEDEAO se poursuit à travers un programme pour accompagner la mise en place des équipes d'intervention informatique d'urgence (CERT) dans ses pays membres. L’Union Africaine et la CEDEAO se sont ainsi joints pour soutenir les Etats lors de l’atelier sur la politique régionale et le cadre réglementaire de l’interconnexion régionale qui s’est tenu du 23 au 28 Février 2015 à Lomé (Togo) par une assistance à la création de CSIRT et d’unités spécialisées de la police pour lutter contre la cybercriminalité Ainsi, plusieurs CSIRT nationaux ont été mis en place à travers le monde et notamment dans de nombreux pays africains comme le Burkina Faso, le Cameroun, la Côte d’Ivoire, l’Egypte, le Ghana, l’Ile Maurice, le Kenya, le Maroc, la République Sud-Africaine, le Rwanda, le Soudan et la Tunisie. Rôles du CSIRT interuniversitaire
Le CSIRT interuniversitaire est une structure de recherches, de formation, de veille, d'alerte,
et d'assistance sur l'Internet permettant de répondre efficacement aux attaques et incidents informatiques. A ce titre, il a pour rôle de : - Renforcer la protection des réseaux numériques interuniversitaires contre les attaques ; - Sensibiliser, Former les utilisateurs ; - Développer la recherche appliquée et le transfert de technologies ; - Développer de nouveaux domaines de compétences ; - Coordonner la lutte contre les intrusions dans les systèmes informatiques universitaires ; - Mener des opérations d’audit ; - Apporter son soutien en matière de gestion d’incidents dans les systèmes informatiques universitaires ; - Assurer une permanence de ses activités, en sa qualité CSIRT universitaire. - Etre le point de contact international privilégié pour tout incident de nature cyber touchant les Universités ; - Développer des compétences pour la certification matérielle et logicielle ; - Contribuer à l’établissement des normes au niveau national et international ; - Promouvoir les bonnes pratiques dans la lutte contre la cybercriminalité ; - Servir d’appui scientifique et technique au futur CSIRT National ; - Etablir une coopération avec des CSIRT interuniversitaires notamment celui de l’Agence Universitaire de la Francophonie (AUF) - Participer à la coordination des réseaux des CSIRT universitaires mondiaux et nationaux.
La création d’un CSIRT Interuniversitaire apporte donc une amélioration du niveau de sécurité des Systèmes d’Information Universitaires. Il donne également une meilleure visibilité des actions et des enjeux en matière de sécurité. De plus, il apporte une expertise technique et scientifique aux autres composantes de l’écosystème numérique national grâce au soutien de la Recherche et du Développement dans les divers domaines de la Sécurité Informatique. Par conséquent, il renforce donc la légitimité du discours autour des problématiques de sécurité.
3. Les missions du CSIRT interuniversitaire
Il existe trois niveaux de CSIRT :
- Le CSIRT de niveau 1 qui permet d’agir à posteriori ; - Le CSIRT de niveau 2 qui est plus proactif et permet d’avoir une synergie avec les autres acteurs du monde en accédant à une base de donnée mondialement partagée ; - Le CSIRT de niveau 3 quant à lui, offre le plus haut niveau d’expertise technique, et permet de pouvoir mener des actions de « forensic investigation » pour intervenir dans des actions judiciaires en apportant l’expertise nécessaire. Le CSIRT des universités permettra la collecte et la corrélation automatisées des événements de sécurité, des analyses des indicateurs techniques et métiers, qui contribueront à détecter le plus en amont possible et de déclencher les alertes de sécurité. Ainsi, ses principales missions sont de : - Le CSIRT de niveau 1 : - sensibiliser sur les vulnérabilités des systèmes, au travers notamment d’une veille technologique, - mener des opérations d’audit du réseau ; - aider à la mise en place de moyens permettant de se prémunir contre de futurs incidents ; - détecter et piloter la résolution des incidents, si besoin en coordination avec le réseau national des CSIRT, - organiser la mise en place d’un réseau de confiance. - Le CSIRT de niveau 2 : - les missions du CSIRT de niveau 1 ; - assurer la certification matérielle et logicielle des outils utilisés par les Systèmes d’Information ; - mener des activités de recherches et développement dans les divers domaines de la sécurité ; - coordonner les échanges d’information avec les autres CSIRT mondiaux ; - Le CSIRT de niveau 3 : - Les missions du CSIRT de niveau 2 ; - mener des activités de « forensic investigation » ; - assurer l’expertise technique dans les procédures judiciaires ; - intervenir au niveau international ;
4. Activités du CSIRT interuniversitaire
Compte tenu de ses objectifs, de ses rôles et de ses missions ainsi définis, les activités prioritaires du CSIRT interuniversitaire sont les suivantes : - mise en place d’une infrastructure technique en veillant constamment à son maintien en conditions opérationnelles, - formation et recherche sur la cybersécurité ; - établissement et maintenance d'une base de données des vulnérabilités ; - fourniture d’un moyen de communication commun pour la diffusion de bulletins et d'alertes sur des failles potentielles et les incidents en cours ; - prévention par la sensibilisation et la diffusion d'informations sur les précautions à prendre pour minimiser les risques d'incident ou au pire leurs conséquences ; - des informations précises et des statistiques sur les incidents traités par le CSIRT ; - des alertes lorsque certains évènements dans l’actualité font augmenter considérablement le risque d’attaque sur le SI (campagnes d’attaque en cours sur des produits potentiellement très déployés dans la communauté, informations rendues publiques sur une faille de sécurité critique d’un logiciel ou d’un équipement populaire, ...) ; - des éléments de veille juridique ; - collaboration avec les autres entités comme: - les centres de compétence réseaux ; - les opérateurs de télécommunications et les fournisseurs d'accès à Internet ; - les autorités judiciaires (police, gendarmerie, etc.) ; - les autres CSIRT universitaires et nationaux ; - le réseau africain des CSIRT (AfricaCERT) ; - établissement d’une coopération entre les équipes pour prévenir, détecter et rétablir un fonctionnement nominal en cas d'incident de sécurité informatique.
Le CSIRT interuniversitaire, en fonction de son niveau (2 ou 3) et de l'expertise de ses
membres, peut procéder à des analyses techniques d'incidents de sécurité. Des outils spécialisés, logiciels et éventuellement matériels, existent et leur utilisation permet de procéder à une analyse détaillée d’une compromission. Ce traitement se décompose souvent en deux phases :
- collectes de traces (logs, images disques etc.) ;
- analyse des traces et interprétation des informations collectées.
Cela permet de connaître l'évolution des techniques d'attaque et de mieux comprendre quelles sont les vulnérabilités qui ont permis la compromission. Il y a deux points importants à considérer :
- cette analyse est nécessite le plus souvent beaucoup de temps et oblige aussi les intervenants à se former continuellement à cette activité ; - s'il s'agit de collecter des preuves pour la justice, cela se fera dans le respect des règles du droit en veillant à garantir l’intégrité et la légalité des preuves recueillies.
5. Modalités de mise en œuvre
Le processus de mise en œuvre du CSIRT Universitaire sera mené par un comité de pilotage placé sous l’autorité du Ministère des Postes et des Télécommunications en partenariat avec le Ministère de l’Enseignement Supérieur et de la Recherche impliquant ainsi l’ensemble des parties prenantes des universités et écoles supérieures. Il s’agit de prendre en charge toutes les questions relatives aux aspects juridiques, économiques, techniques et scientifiques de la mise en place d’un CSIRT Universitaire. 5.1 Assistance des partenaires
Sur le plan bilatéral, à travers la convention de partenariat « Initiative sur la cybersécurité
Pays-Bas/Sénégal », le Pays-Bas a déjà décliné sa volonté d’assister le Sénégal dans son programme d’élaboration d’une stratégie nationale de cybersécurité et de mise en place du CSIRT national. La Corée du Sud (à travers KISA) et la France (avec l’ANSSI), ainsi que l’ambassade des Etats Unis à Dakar ont eux aussi exprimé leur volonté d’accompagner le Sénégal dans la lutte contre la cybercriminalité.
Des contacts ont été initiés avec l’Agence Universitaire de la Francophonie (AUF) avec qui un partenariat étroit sera établi pour bénéficier du retour d’expérience de son CSIRT Universitaire.
Au niveau régional et sous régional, l’Union Africaine (UA) et la CEDEAO ont mis en place des programmes d’assistance afin de soutenir les pays membres qui se sont engagés dans la lutte contre la cybercriminalité et la mise en place d’équipes d’intervention d’urgence comme les CSIRT. Ainsi AfricaCERT qui est la coordination des CSIRT africains, sous la tutelle de l’UA, contribuera également à la mise en œuvre du CSIRT Universitaire. En effet, sa mission principale est : - d’assister les organismes africains de réponses aux incidents de sécurité (CSIRT) ; - de pérenniser une cadre d’échange et de partage de connaissance ; - de promouvoir des standards et des procédures communes de gestion d’incidents de sécurité ; - de sensibiliser sur les bonnes pratiques dans la lutte contre la cybercriminalité ; - de contribuer à la formation des équipes CSIRT ; - d’aider à la mise en place de nouvelles CSIRT ; - de renforcer la collaboration en matière de recherche dans le domaine de la sécurité.
Au niveau de la coopération internationale, l’UIT/IMPACT intervient notamment dans une
stratégie globale (au niveau mondial) de cyber sécurité, en accompagnant particulièrement les pays en développement dans la mise en œuvre de politique nationale de cyber sécurité : - L'UIT travaille avec IMPACT qui son partenaire technique, pour aider les pays en développement dans la mise en place de CSIRT, - L’UIT/IMPACT apporte une assistance dans la coordination technique et la mise en œuvre en intervenant du début jusqu'à la fin du processus,
5.2 Délai de mise en œuvre
Le délai de mise en place du CSIRT interuniversitaire sera fonction de la complexité de
l’organisation locale, notamment du nombre d’acteurs qui feront partie du CSIRT à son lancement : - Si la structure retenue est celle de niveau 1, comporte peu de membres et que l’organisation reste simple, sa mise en place prendra moins de 6 mois. - En revanche, s’il s’agit d’un CSIRT de niveau 2 ou 3, ou si le nombre de futurs acteurs est élevé et que l’organisation retenue est complexe, il faudra certainement compter au moins une année de mise en œuvre. - La stratégie de mise en œuvre préconisée est de démarrer avec un CSIRT de niveau 1 relativement simple, et le faire évoluer vers un CSIRT de niveau 2 au bout de 5 ans, avant d’atteindre le niveau 3 dans 10 ans. CREATION D’UN CSIRT UNIVERSITAIRE RFC 2350 INFORMATIONS SUR LE CSIRT Nom CSIRT-INTERUNIVERSITAIRE Adresse Mail csirt@universite.sn Téléphone +221 :338232323 Fuseau Horaire GMT
Membres de l’équipe
Heures de Travail 8h – 18h du lundi au vendredi (hors jours fériés)
L M M J V S 0 8H 12 18H 24
CHARTE DU CSIRT Mission du CSIRT Sécurité des systèmes d’information des universités Périmètre Détection, Protection, Formation, Recherche Autorité Supérieure Ministère des Postes et des Télécommunications Sponsor/Association MESR CNC & CDP ADIE ARTP
SERVICES & POLITIQUE DU CSIRT
Types Code Malveillant Tentative d’Intrusion d’Incidents et (virus, Cheval de (Vulnérabilité, vol de compte) Niveau de Troie …) Support Perturbation Sécurité de l’information &Disponibilité (Dos, (Accès non-autorisé, Sabotage, spam …) Renifleur) Fraude (Mascarade, Autres : utilisation non-autorisée de Ressources …) Coopération Autres CSIRT universitaires, CSIRT National, AFRICA-CERT, Coopération étroite avec CSIRT Universitaire de l’AUF Divulgation Parties Prenantes, Partenaires d’information Moyen de Outils de chiffrement et de signature, et protocoles de communication (PGP, communications TLP, etc.) Activités Audit Analyse de virus Publication Recherche Proactives Formation, Certification et normalisation
