En janvier 2001, le Cert-IST était à l'initiative avec le CERT-IT d'une concertation des CERT privés européens, initiative qui visait, entre autres, à une meilleure coordination avec les services de la Commission Européenne qui traitent de la Sécurité des Systèmes d'Information, tant au plan R&D qu'au plan "opérationnel". Le groupe de concertation, baptisé EPCI (European Private CERT Initiative) a été encouragé, par ses contacts à la Commission, à soumettre un projet dans le cadre du 7^ème appel à projets du 5^ème programme de R&D connu comme 5^TH FP (5^ème Framework Programme) qui a cours jusqu'à la fin 2002.

Un groupe, composé de :

• BT Ignite (CERT commercial de BT au Royaume Uni)
• Cert-IST
• le CLUSIT (homologue italien du CLUSIF)
• esCERT (CERT créé à l'origine à l'Université de Barcelone, avec des activités "commerciales")
• I-NET (hébergeur d'applications en Italie)
• Siemens CERT (le CERT de Siemens, basé en Allemagne)

s'est constitué en consortium et a déposé 2 projets (EISPP et SABEM) dans le cadre de l'appel à candidatures. Les coordinateurs étaient esCERT pour SABEM et le Cert-IST pour EISPP, qui a seul été retenu.

Le projet

EISPP signifie : European Information Security Protection Promotion

Son domaine d'intervention est la prévention, et, si ce vocable n'a pas été retenu pour l'acronyme du projet, cela est lié aux subtilités de la langue Anglaise ("Security Prevention" pouvant être compris comme "empêchement de la sécurité").

Le contexte

Lors de ses discussions avec la Commission Européenne, le consortium a fait les deux constats suivants :

• Une expertise conséquente existe en Europe, dans le domaine de la prévention au niveau des différents CERT ; pour pouvoir bénéficier à la Communauté entière et éviter que chaque CERT refasse les mêmes efforts de validation des nouvelles vulnérabilités, un effort de coordination, de concertation et de "publicité" amènera un meilleur niveau de service et une économie de ressources en évitant la redondance.

• Le commerce électronique que la Commission essaie de promouvoir au travers d'incitations comme le "eEurope Action Plan", a du mal à se développer, particulièrement dans le secteur des PME/PMI à qui il pourrait permettre de développer leurs activités. Une des raisons majeures de cette stagnation réside dans le manque de confiance du public en général dans le réseau Internet, à cause des problèmes d'insécurité.

D'autre part, si des services sont proposés aux entreprises pour sécuriser leurs accès à Internet, ces services ne sont pas prévus pour les PME/PMI, qui ne disposent pas, la plupart du temps, du niveau d'expertise requis pour utiliser ces services, et leur coût est peu compatible avec le budget informatique des PME/PMI.

Ses objectifs

Le projet EISPP a deux objectifs qui sont en relation directe avec les deux constats établis dans le paragraphe précédent.

Le premier de ces objectifs concerne la création d'un réseau d'expertise entre CERT européens pour :

• Standardiser l'évaluation des vulnérabilités,
• Partager la charge d'évaluation des vulnérabilités,
• Préparer l'extension du réseau à d'autres CERT dès la fin du projet, en prenant en compte les leçons de l'expérimentation.

Le deuxième objectif concerne la fourniture aux PME/PMI de services de sécurité adaptés dans le domaine de la prévention. Cette mise en œuvre passe par :

• La définition des services,
• La définition des processus de diffusion,
• La proposition d'un modèle économique pour pérenniser le service.

Les dates clés

Le projet a démarré le 1^er juin 2002 et doit durer 18 mois.

Il est prévu que les premiers échanges d'avis "normalisés" entre CERT démarrent au dernier trimestre de cette année, et que les premières distributions de services adaptés aux PME/PMI débutent avant la fin 2002. Enfin, deux workshops auront lieu avant la fin du projet, de façon à présenter à la communauté les résultats du projet ; chaque workshop traitera d'un objectif, et le public invité consistera donc de CERT et de PME/PMI avec les fournisseurs de service potentiels. Ces deux événements feront l'objet de publicité en temps opportun.

Il est prévu, en fin de projet que le service aux PME/PMI soit "auto-financé".

Les utilisateurs

Dans chacun des 5 pays où se déroule le projet, les membres du consortium ont déjà identifié des utilisateurs potentiels, avec lesquels l'expérimentation de fourniture de services aura lieu. Il s'agit de PME/PMI ou d'organismes fédérateurs, tels les Chambres de Commerce et d'Industrie qui agiront en tant que point de contact d'un ensemble d'utilisateurs. On notera aussi que des fournisseurs d'accès (FAI/ISP) ou des fournisseurs de service (FAH/ASP) sont aussi partie prenante puisqu'ils fournissent déjà leurs services de base aux PME/PMI.

Le rôle des participants "contractants"

Le Cert-IST est à l'origine de la création du consortium et assure la coordination depuis l'établissement de la proposition. A ce titre il assure la gestion technique et financière de l'ensemble du projet et a la responsabilité des lots relatifs à la gestion de projet, à l'établissement du réseau d'expertise des CERT et à la diffusion d'information vers les PME/PMI et leurs organisations fédératrices. Il est par ailleurs impliqué dans l'ensemble des autres lots.

BT Ignite assure la coordination pour le lot "Fourniture de services aux PME/PMI", ainsi que pour le lot ayant trait à l'évaluation des résultats du projet pour l'ensemble de la communauté, par rapport aux objectifs proposés à la CEE. Il est impliqué dans l'ensemble des autres lots.

esCERT assure la coordination du lot "Publication des résultats", organisera les différentes actions de promotion, dont les deux workshops mentionnés plus haut et est impliqué dans l'ensemble des autres lots.

Le Cert-Siemens est impliqué dans le lot "réseau d'expertise des CERT" et dans le lot diffusion d'information vers les PME/PMI.

Enfin I-NET et le CLUSIT sont surtout impliqués dans les lots diffusion d'information vers les PME/PMI et Fourniture de services aux PME/PMI.

Les apports du projet à la communauté du Cert-IST

Depuis la création du Cert-IST, sa communauté est particulièrement sensible au mode de fonctionnement "coopératif" de l'ensemble des CERT. Avec le projet EISPP, une dimension supplémentaire est ajoutée, dans ce mode de fonctionnement, puisque l'un des objectifs du projet est de formaliser cette coopération entre CERT qui partageront leur expertise au service de leur communauté dont celle du Cert-IST. Cette dernière bénéficiera ainsi d'un meilleur niveau d'expertise et d'une évaluation des vulnérabilités (leur dangerosité, criticité, difficulté de mise en œuvre…) "normalisée" au niveau des membres du réseau.

Le deuxième apport consiste en l'étendue de la couverture d'action du Cert-IST dans le monde de l'Industrie des Services et du Tertiaire par la connaissance du secteur des PME/PMI, ce qui permettra, au niveau de la France de mieux apprécier la réalité de la menace, par une remontée d'informations plus complète du "terrain".