Faire face à un incident Cyber est une épreuve parfois complexe. Faire face à plusieurs incidents Cyber en même temps dans des contextes variés est bien plus qu’une épreuve complexe. Alors comment fait-on pour gérer une équipe d’experts qui aident les organisations à faire face à ces incidents ? Marine, notre responsable CSIRT, au sein du CERT Advens, nous dit tout ce métier palpitant !
Quels sont les objectifs du Responsable CSIRT ?
Le premier objectif de mon métier ? Faire en sorte que l’équipe se porte bien ! Notre équipe est faite de professionnels de la réponse à incident, sollicités par nos clients lorsqu’ils font face à un incident Cyber. Ces « cyber-pompiers » sont fortement sollicités.
Je fais également en sorte que l’équipe dispose des outils et procédures nécessaires à la réalisation de ses missions, de l’expertise technique jusqu’aux étapes de judiciarisation – ce qui nécessite un formalisme et des méthodes adaptées.
En tant que responsable d’une activité, je dois aussi gérer le budget dans toutes ses composantes : masse salariale, dépenses externes d’outillage… mais aussi suivi du chiffre d’affaires de nos missions de CSIRT.
Etant analyste forensique et pilote de réponse à incident, je peux assurer un rôle de backup, pour remplacer un collègue ou renforcer un dispositif. C’est aussi important pour moi de participer aux activités quotidiennes de l’équipe.
La réponse à incident est un métier aux conditions très particulières. Nous sommes en permanence dans un contexte d’attaque ou d’incident, face à des structures qui ont besoin d’être aidées. La mission a beaucoup de sens et j’ai la chance d’avoir des équipes très engagées, avec plusieurs personnes ayant démarré leur carrière dans l’armée. Ils ont le sens du devoir.
Mais c’est parfois à double tranchant. Il faut connaitre ses limites et veiller à ne pas s’épuiser. C’est aussi mon rôle que de veiller à ce que les équipes se reposent, prennent les jours de récupération (après des interventions en horaire non standard notamment) et qu’elles trouvent leur équilibre « pro / perso ». Le stress existe, c’est un fait, mais il faut savoir l’évacuer au bon moment. On traite ça au bureau, en équipe, et non pas tout seul à la maison.
Quelles compétences sont nécessaires ?
Les premières compétences ne sont pas techniques : suivi des disponibilités de l‘équipe, maitrise du planning et du budget… A cela s’ajoutent l’écoute (pour détecter les problèmes) et la transparence (pour répondre avec précision aux demandes). Il faut toutes les compétences d’un manager, avec un focus « astreintes & HNO ».
Cela ne suffit pas pour une équipe d’experts qui a besoin d’être encadrés par quelqu’un qui connait le métier. On ne peut pas être expert en tout, mais il est utile d’avoir sa spécialité. Cela facilite les échanges avec tous et permet de créer des complémentarités.
Il faut aussi des compétences en gestion de crise : suivi des procédures, , connaissance de l’écosystème des CERT, compréhension des enjeux juridiques, connaissance du TLP, etc.
Vis ma vie : Quel est ton quotidien de Responsable CSIRT ?
Mon quotidien, c’est conduire sereinement alors que la route est secouée par les tornades. Ce qui me va bien car j’ai tendance à m’ennuyer très vite !
Parmi les points les plus positifs, il y a l’apprentissage permanent. Ce métier me permet d’apprendre tous les jours et de ne jamais être rattrapée par la routine. Il n’y a pas de journée type : j’interviens sur des incidents jamais vécus, impliquant de nouvelles technologies, je dois aussi redéfinir ou savoir contourner les processus. Il faut aimer être « sur le fil » en permanence et avoir confiance en ses capacités d’adaptation.
Ce qui est excitant aussi, c’est le sens de nos interventions. Maitriser une cyberattaque pour une entreprise ou une administration est une action très concrète, très utile et dont les conséquences sont immédiates. L’équipe le sait et moi aussi.
Enfin l’équipe est justement un point très précieux. Le « T » de CSIRT représente la Team. Pour moi c’est très gratifiant d’animer et de faire grandir l’équipe. Je travaille de façon très collaborative. Je ne conçois pas de mener mon travail seule.
Evidemment, comme dans tous métier, tout n’est pas toujours rose. Je suis sursollicitée en permanence. 20 appels manqués par jour ? J’en ai décroché tout autant ! Des dizaines de messages Teams, SMS, ou autre ? C’est normal : toutes les parties prenantes veulent avoir un statut de la gestion de l’incident. Il faut savoir se protéger et protéger l’équipe, face à des donneurs d’ordre en pleine tension. Etant de nature introvertie, cette sollicitation extrême me draine beaucoup d’énergie.
Plus globalement, ce métier intègre une bonne dose de stress. Avec l’équipe nous vivons au quotidien dans le stress et dans l’adversité. Même en dehors d’une réponse à incident, avec les astreintes, il est parfois difficile de se libérer l’esprit et de relâcher la pression. C’est pourtant essentiel dans mon métier… car ce stress peut avoir des impacts à moyen ou long terme.
Le point le plus difficile dans ce métier est peut-être le respect de l’équilibre « pro / perso ». Je n’ai pas d’enfants, mais si j’étais maman, ça pourrait être un frein dans mon activité.
Une femme à la tête d’un CSIRT ?
A ce propos, être une femme à la tête d’un CSIRT n’est absolument pas un point négatif. J’évolue dans la Cyber depuis des années, en ayant pratiqué différents métiers avant de découvrir le monde (merveilleux) de la réponse aux incidents. J’ai conscience de mon rôle en tant que femme dans un métier technique mais je n’aime pas être invitée ou sollicitée pour le simple fait d’être une femme.
Enfin, je tiens à souligner que c’est un milieu très respectueux et bienveillant. J’ai toujours été prise au sérieux lors de mes interventions et de mes missions. J’ai vécu des expériences moins agréables dans d’autres milieux de la Cyber. Je me sens plus en sécurité dans le milieu du DFIR.
Article initialement paru dans Cyberun
