L' équipe américaine de préparation aux situations d'urgence informatique ( US-CERT ) était une équipe relevant de l' Agence de cybersécurité et de sécurité des infrastructures du Département de la sécurité intérieure .
Le 24 février 2023, la Cybersecurity and Infrastructure Security Agency (CISA) a dissous les services US-CERT et ICS-CERT et intégré ses activités opérationnelles sur le nouveau site web CISA.gov, renforçant ainsi la cohérence de sa mission. La CISA demeure chargée de coordonner les programmes de cybersécurité au sein du gouvernement américain afin de protéger l'État contre les cyberattaques, notamment celles visant les systèmes de contrôle industriels. Dans le cadre de cette mission, la CISA continue d'intervenir en cas d'incident, de fournir une assistance technique et de diffuser rapidement des notifications concernant les cybermenaces et les vulnérabilités.
L’US-CERT était une branche du Centre national d’intégration de la cybersécurité et des communications du Bureau de la cybersécurité et des communications. L’US-CERT était chargé d’analyser et de réduire les cybermenaces et les vulnérabilités, de diffuser des informations d’alerte aux cybermenaces et de coordonner les activités de réponse aux incidents.
Cette division a mis à profit son expertise en matière d'analyse de réseaux et de médias numériques de pointe pour lutter contre les activités malveillantes ciblant les réseaux aux États-Unis et à l'étranger.
Arrière-plan
L'idée d'une équipe nationale d'intervention en cas d'urgence informatique (CERT) pour les États-Unis a été proposée en 2002 par Marcus Sachs ( Université d'Auburn ), alors membre du Conseil de sécurité nationale américain. Cette équipe devait être une structure homologue aux autres CERT nationaux, tels qu'AusCERT et CERT-UK, et rattachée au futur Département de la Sécurité intérieure (DHS). À cette époque, les États-Unis ne disposaient pas d'une telle équipe nationale.
Amit Yoran ( PDG de Tenable, Inc. ), premier directeur de la Division nationale de la cybersécurité du DHS, a lancé l'équipe américaine de réponse aux urgences informatiques (US-CERT) en septembre 2003 afin de protéger l' infrastructure Internet des États-Unis en coordonnant la défense contre les cyberattaques et en y répondant . Le premier directeur de l'US-CERT était Jerry Dixon ( CISO de CrowdStrike ) ; L'équipe était initialement composée d'experts en cybersécurité, parmi lesquels Mike Witt ( NASA , RSSI), Brent Wrisley (Punch Cyber, PDG), Mike Geide (Punch Cyber, CTO), Lee Rock ( Microsoft , responsable de la gestion de crise SSIRP), Chris Sutton ( Export-Import Bank des États-Unis , RSSI et CPO), Jay Brown ( Gouvernement américain , cadre supérieur des opérations de cybersécurité), Mark Henderson ( IRS , fraude en ligne), Josh Goldfarb (consultant en sécurité), Mike Jacobs ( Trésor , directeur/chef des opérations), Rafael Nunez ( DHS / CISA ), Ron Dow ( General Dynamics , chef de programme senior), Sean McAllister (Network Defense Protection, fondateur), Kevin Winter ( Deloitte , RSSI Amériques), Todd Helfrich (Attivo, vice-président), Monica Maher ( Goldman Sachs , vice-présidente du renseignement sur les cybermenaces), Reggie McKinney (Département des Anciens Combattants ) , Robert Clark, conseiller juridique ( IBM , avocat senior en cybersécurité), et plusieurs autres. experts en cybersécurité. En janvier 2007, Mike Witt a été nommé directeur de l'US-CERT, puis remplacé par Centre national d'intégration de la cybersécurité et des communications (NCCIC).
L'US-CERT était le bras opérationnel 24 heures sur 24 du NCCIC qui recevait, triait et répondait en collaboration aux incidents, fournissait une assistance technique aux opérateurs de systèmes d'information et diffusait des notifications opportunes concernant les menaces, les exploits et les vulnérabilités de sécurité actuels et potentiels au public via son Système national de sensibilisation à la cybersécurité (NCAS).
L’US-CERT a opéré en parallèle avec l’équipe d’intervention d’urgence informatique pour les systèmes de contrôle industriels (ICS-CERT), qui s’occupe de la sécurité liée aux systèmes de contrôle industriels . Les deux entités ont opéré ensemble au sein du NCCIC afin de fournir une source unique de soutien aux acteurs des infrastructures critiques .
Capacités
Cinq aspects opérationnels ont permis à l'US-CERT d'atteindre ses objectifs d'amélioration de la posture de cybersécurité du pays, de coordination du partage d'informations cybernétiques et de gestion proactive des cyberrisques tout en protégeant les droits constitutionnels des Américains.
Analyse des menaces et partage d'informations
Cette fonctionnalité consiste à examiner, rechercher, vérifier et documenter tous les attributs de défense des réseaux informatiques (CND) disponibles pour l'US-CERT, qu'ils soient classifiés ou non.
Il contribue à promouvoir l’amélioration des ressources d’atténuation des risques des ministères et agences fédéraux à travers le réseau Einstein en demandant le déploiement de contre-mesures en réponse à des cybermenaces crédibles .
Cette fonctionnalité effectue une analyse technique des données fournies par les partenaires, les membres et les systèmes de surveillance afin de comprendre la nature des attaques, des menaces et des vulnérabilités , ainsi que de développer des conseils, des indicateurs, des avertissements et des informations exploitables pour faire progresser la mission CND de l'US-CERT.
Analyse numérique
Cette fonctionnalité effectue des examens de criminalistique numérique et une analyse des artefacts de logiciels malveillants (rétro-ingénierie) pour déterminer les vecteurs d'attaque et les techniques d'atténuation, identifie les menaces potentielles sur la base de l'analyse du code malveillant et des supports numériques, et fournit des indicateurs pour atténuer et prévenir les futures intrusions.
Opérations
Cette fonctionnalité informe la communauté CND sur les menaces potentielles, ce qui permet de renforcer les cyberdéfenses, et de développer des produits communautaires à réponse quasi instantanée /rapide (par exemple, des rapports , des livres blancs ).
Lorsqu'un événement critique survient ou est détecté, le service des opérations créera un document personnalisé décrivant l'événement et les mesures recommandées ou les techniques d'atténuation, le cas échéant, afin de garantir que les parties prenantes soient informées et puissent protéger leur organisation de manière appropriée.
Communications
Cette fonctionnalité soutient le partage d'informations, le développement et la présence web du NCCIC. Elle est chargée d'établir et de maintenir des communications sécurisées, de développer et de diffuser des informations et des produits, et de soutenir le développement et la maintenance des outils de collaboration .
International
Ce dispositif s'associe à des gouvernements et entités étrangers pour renforcer la cybersécurité mondiale . Il soutient les initiatives bilatérales, telles que le partage d'informations et le renforcement de la confiance entre CERT, l'amélioration de la collaboration internationale et les accords sur les normes de partage de données .
Critique
Un rapport de janvier 2015 du sénateur Tom Coburn , membre de rang du Comité sur la sécurité intérieure et les affaires gouvernementales , exprimait une inquiétude quant au fait que « [US-CERT] ne fournit pas toujours d’informations aussi rapidement que d’autres sociétés d’analyse des menaces du secteur privé ».