Le Forum of Incident Response and Security Teams (FIRST) est une organisation mondiale qui vise à permettre à ses membres – des équipes d’intervention du monde entier – de réagir plus efficacement aux incidents de sécurité. FIRST construit son succès en se basant sur deux notions fondamentales: la confiance et la coopération. Voici pourquoi, et comment.
Les membres de FIRST sont des équipes intervenant en cas d’incident de sécurité comme SWITCH-CERT, issues d’organisations gouvernementales, commerciales et éducatives. Sa déclaration de mission indique que «FIRST est une confédération internationale d’équipes de confiance, intervenant en cas d’incident informatique et qui traitent conjointement des incidents de sécurité informatique et promeuvent des programmes de prévention des incidents.» On y retrouve deux fondements essentiels d’une intervention réussie en cas d’incident de sécurité à l’échelle internationale: la confiance et la coopération. Instaurer la confiance entre les équipes de 84 pays différents est l’un des plus grands défis pour l’organisation, car cela constitue la base de tous les efforts de coopération. Les relations de travail au sein de la communauté FIRST sont fondées sur la confiance et non sur des contrats. C’est pourquoi FIRST dispose d’une procédure spéciale pour accueillir de nouveaux membres. Ces derniers doivent trouver deux "parrains" qui évaluent la nouvelle équipe lors d’une visite sur place, dont le but est double. Primo, s’assurer que cette équipe répond à toutes les exigences de la communauté FIRST. Secundo, vérifier qu’elle apporte la preuve de sa capacité à protéger les informations sensibles concernant les incidents partagées au sein de la communauté. Bâtir et développer un réseau de confiance sur des canaux sécurisés afin de partager les informations sur les incidents est un des éléments stratégiques auxquels recourt FIRST pour permettre l’intervention en cas d’incident.
Devenir un membre de FIRST n’est que le premier pas vers la communauté. Cela permet de rencontrer et de collaborer avec d’autres équipes, et de commencer à instaurer la confiance. FIRST propose un programme de formation à ses membres pour permettre aux nouvelles équipes de développer leurs capacités et aux existantes de les améliorer. De nombreux cours développés par FIRST sont disponibles gratuitement sur son site Web consacré à la formation. Bien que la mise à disposition gratuite de supports de formation permette de former de nouvelles équipes, cela n’aide pas à instaurer la confiance. C’est pourquoi FIRST propose également, pour les équipes nouvelles et en développement, des formations en présentiel sur site. Serge Droz, directeur de la formation chez FIRST, explique: "Lors d’un incident, des équipes de différentes régions doivent collaborer. Il est crucial que ces équipes, partout dans le monde, aient une compréhension commune des termes et problématiques, sans quoi la gestion des incidents devient impossible. Ainsi, la formation constitue l’une des activités stratégiques de FIRST. Toutefois, une formation FIRST doit aller bien au-delà du simple moyen de transmettre des connaissances brutes." Les formateurs comme moi sont des bénévoles de la communauté FIRST. Je suis bénévole pour dispenser des formations FIRST là où cela est nécessaire.
Après avoir dispensé une formation de base à Oulan-Bator en 2016, Otgonpurev Mendsaikhan du CERT CERT/CC de Mongolie m’a demandé d’animer une formation avancée en 2017. Avec Pawel de CERT Polska, nous avons animé une formation avancée de trois jours pour les membres du MNCERT/CC et la communauté locale d’intervention en cas d’incident. "Avoir des formateurs expérimentés qui partagent leurs connaissances avec de nouvelles équipes, c’est exactement ce que le programme de formation vise à accomplir", explique Serge Droz. "Les formateurs FIRST, tous bénévoles, aident à accueillir les participants au sein de la communauté et partagent leur vaste expérience en tant qu’exemple vivant de notre crédo 'Ensemble, améliorons la sécurité' ".
Pour illustrer les avantages de l’adhésion à la communauté FIRST, j’ai posé quelques questions à Otgonpurev Mendsaikhan du CERT MNCERT/CC de Mongolie:
FIRST nous permet d’entrer directement en contact avec les différentes organisations qui disposent d’une expertise supérieure en cas d’incidents. Nous apprenons de l’interaction avec elles et exploitons FIRST comme une opportunité de nous améliorer.
Outre l’amélioration de la qualité résultant directement des formations, elles permettent également à la communauté de la sécurité de se rencontrer. En dehors de cette occasion, ce ne serait pas simple compte tenu du travail à plein temps et des autres engagements des membres.
A mon avis, le renforcement des capacités et la stabilité financière sont les facteurs les plus importants. Je pense que les décisions et les actions que nous prendrons au cours des prochaines années définiront l’état à long terme du domaine de la sécurité de l’information en Mongolie.
Je pense que des événements présentiels comme les assemblées générales annuelles de FIRST ou les colloques techniques sont cruciaux pour nouer des relations et bâtir un réseau de confiance. Malheureusement, les réunions comme l’AG annuelle nécessitant de longs déplacements sont trop coûteux pour des organisations émergentes et fragiles financièrement comme la nôtre.