Construire un langage commun pour faire face aux incidents #CSIRT #ENISA

L’agence européenne de la cyber-sécurité ENISA vient d’annoncer son projet de créer une taxonomies de classification des incidents de sécurité.

Pour information, un certain nombre d’initiatives existent déjà et en voici quelques exemple:

La «taxonomie commune pour l’application de la loi (LE) et les CSIRT», destinée à simplifier la coopération entre les CSIRT et les services répressifs. Cette taxonomie résulte d’initiatives de collaboration telles que l’atelier annuel de l’ENISA / Europol sur le Centre européen de lutte contre la cybercriminalité (EC3), auquel ont participé les CSIRT, les LEA, l’ENISA et l’EC3.

https://dcod.ch/wp-content/uploads/2018/01/amended_terms_of_reference_for_the_ec3_ags_december_2016_0.pdf

D’autres exemples incluent la taxonomie eCSIRT.net, qui a été développée en 2003:

https://www.trusted-introducer.org/Incident-Classification-Taxonomy.pdf

et la taxonomie eCSIRT.net mkVI, une adaptation de la version originale:

WP4 Clearinghouse Policy

Clearinghouse Policy of the eCSIRT.net project.

Comme le rappelle l’ENISA, la création d’une taxonomie est une tâche difficile car, par exemple, la classification des incidents de sécurité est très complexe en raison du chevauchement des catégories et des différentes facettes de tels incidents. Les organisations qui définissent les taxonomies sont généralement guidées par leurs propres besoins, et puisque les différentes CSIRT ont des attentes distinctes, ces équipes finissent souvent par développer leurs propres classifications d’incidents à usage interne.

Building a common language to face future incidents – ENISA and European CSIRTs establish a dedicated task force

ENISA and the European Computer Security Incident Response Team (CSIRT) community have jointly set up a task force with the goal of reaching a consensus on a ‘Reference Security Incident Classification Taxonomy’.