Zeroday Cyber Academy

Métiers de la cybersécurité

Différence entre SOC et CERT : distinction 2026

Différence fonctionnelle SOC vs CERT/CSIRT 2026 : périmètre, rythme, chaîne de traitement, handoff, structures juridiques, écosystème FR CERT-FR, InterCERT-FR.

Naim Aouaichia
15 min de lecture
  • SOC
  • CERT
  • CSIRT
  • Incident Response
  • Comparatif
  • CERT-FR
  • ANSSI
  • Organisation cyber

La différence entre SOC et CERT en 2026 se joue sur trois dimensions structurelles et non pas sur la nature cybersécurité des activités (qui se recouvrent partiellement). Périmètre : le SOC (Security Operations Center) gère le flux continu d'alertes et d'incidents courants via playbooks standardisés (50-300 alertes par shift L1 typique) ; le CERT (Computer Emergency Response Team, terme marque déposée Carnegie Mellon 1988) ou CSIRT (Computer Security Incident Response Team, terme générique ENISA/FIRST.org équivalent) intervient uniquement sur les incidents majeurs confirmés qui dépassent la capacité ou la compétence du SOC. Rythme : le SOC opère en continu 24x7 ou 8x5, production stable ; le CERT a un mode activation par incident (crise → mobilisation rapide équipe dédiée, démobilisation après clôture). Activités exclusives : le CERT fait du forensic avancé, reverse engineering malware, coordination de crise inter-équipes (juridique, communication, direction générale), notification réglementaire (ANSSI CERT-FR, CNIL, SEC pour cotés US), partage d'information avec pairs via InterCERT-FR ou équivalents étrangers — activités rares ou absentes en SOC. Dans une organisation mature, la chaîne est SOC L1 triage → SOC L2 investigation → SOC L3 threat hunting → CERT réponse incident majeur + crise + forensic + notification. Cet article détaille les distinctions opérationnelles fonctionnelles, le handoff structuré SOC → CERT, les cas où un CERT est justifié en plus d'un SOC, l'écosystème français (CERT-FR ANSSI, InterCERT-FR, CERTs sectoriels), et les confusions courantes à dissiper. Pour l'angle choix de carrière spécifiquement, la ressource complémentaire SOC vs CERT compare salaires, accessibilité, trajectoires depuis débutant ou senior.

1. Les 3 distinctions structurelles

1.1 Périmètre et nature des cas traités

DimensionSOCCERT / CSIRT
Cas traitésAlertes + incidents courantsIncidents majeurs confirmés uniquement
Volume typique50-300 alertes / shift, 10-50 incidents / mois5-30 incidents majeurs / an pour une grande orga
PlaybooksStandardisés, exécutés à chaque cas similaireAdaptation à chaque crise, peu automatisable
Durée unitaireMinutes à heures par alerte3-30 jours par incident majeur

Le SOC est run-oriented : traiter efficacement un flux prévisible. Le CERT est crisis-oriented : mobiliser les bonnes ressources face à un événement unique, souvent inédit.

1.2 Rythme et activation

DimensionSOCCERT / CSIRT
Mode d'opérationProduction continueActivation par incident
Planning équipeShift 24x7 ou 8x5On-call + disponibilité rapide
Capacité cibleTraiter 100 % du flux alertesGérer 2-3 incidents majeurs simultanés
DémobilisationAucune (rotation continue)Oui, après clôture incident

1.3 Activités exclusives au CERT

Cinq activités sont structurellement exclusives au CERT et absentes d'un SOC classique :

  1. Forensic avancé : acquisition images disque/mémoire, analyse via Volatility 3, Autopsy + Sleuth Kit, KAPE, Eric Zimmerman's tools, preservation chain of custody.
  2. Reverse engineering malware : analyse samples via Ghidra, IDA Pro, x64dbg, extraction IoC depuis binaires, extraction C2 infrastructure.
  3. Coordination de crise : orchestration meeting de crise inter-équipes (juridique, communication, DG, DSI, RSSI, DPO, partenaires externes), documentation décisions, gestion timeline crise.
  4. Notification réglementaire : ANSSI CERT-FR (incidents OIV / NIS 2 entités essentielles 24-72h), CNIL (RGPD 72h), SEC 4 jours ouvrés (cotées US), DORA (services financiers), assureur cyber.
  5. Partage threat intelligence sectoriel : coordination avec pairs via InterCERT-FR, cercles sectoriels (CERT bancaire, CERT santé), échanges confidentiels STIX 2.1/TAXII.

2. La chaîne de traitement d'un incident

2.1 Parcours d'un événement de sécurité dans une organisation mature

[Log source]
    |
    v
[SIEM / EDR] ---> Alerte generee
    |
    v
[SOC L1 - Triage]
    | Faux positif -> fermeture ticket
    | Benign true positive -> documentation + fermeture
    | Incident possible -> escalade L2
    v
[SOC L2 - Investigation]
    | Timeline + correlation + scope preliminaire
    | Incident confirme, severite Low/Medium -> containment + recovery par SOC
    | Incident Critical / scope complexe -> escalade L3
    v
[SOC L3 - Threat Hunting + DFIR leger]
    | Investigation approfondie, developpement detection complementaire
    | Incident maitrisable en interne SOC -> clôture
    | Incident Critical confirme, hors scope playbook standard -> trigger CERT
    v
[CERT - Incident Majeur]
    | Coordination crise multi-equipes
    | Forensic avance + reverse engineering
    | Notification autorites (CERT-FR, CNIL, SEC)
    | Communication externe si necessaire
    | Post-mortem formel + lessons learned

2.2 Critères d'activation CERT

Une organisation mature documente les critères précis de trigger CERT — au-delà du jugement subjectif. Liste typique :

CritèreDescription
Sévérité confirmée CriticalRansomware actif, wiper, exfiltration massive
Compromise AD tier-0Domain Admin, Enterprise Admin, KRBTGT, certs CA
Persistence cross-hostLateral movement confirmé > 3 hosts
Exfiltration data sensiblePII > 10k enregistrements, secrets business, IP
Obligation de notificationNIS 2, RGPD, DORA, SEC, HDS, OIV LPM
Exposition publique probableData leak site ransomware, medias, réseaux sociaux
Hors scope playbook SOCTechnique ou vecteur inédit, 0-day suspecté
Demande DG / RSSIEscalade décision managériale

Tout incident matchant au moins un critère déclenche l'activation CERT. La décision ne relève pas du SOC L1/L2 — elle est portée par SOC Manager, RSSI ou CERT Lead selon RACI.

2.3 Le handoff structuré SOC → CERT

Le handoff est le moment critique de la chaîne. Protocole en 5 étapes recommandé NIST SP 800-61 Rev 3 et SANS PICERL :

  1. Activation formelle : SOC Manager ou RSSI valide trigger, notifie CERT Lead via canal prioritaire (pager, Slack critical channel, SMS+call).
  2. Meeting handoff (30-60 min) : SOC L3 présente timeline, IoCs, hosts impliqués, actions déjà menées, état courant. CERT Lead reçoit RACI crise.
  3. Bascule lead : CERT devient responsable de la gouvernance de crise. SOC reste en appui monitoring et exécution containment opérationnel.
  4. Journal d'activité partagé : tous les acteurs contribuent à un log unique (souvent un document Google Docs partagé, un ticket Jira Issue, ou un war room Mattermost/Slack dédié).
  5. Réunions de pilotage toutes les 2-4 heures en phase aiguë, quotidiennes ensuite jusqu'à clôture.

3. Stack technique : commune vs propre

3.1 Outils communs SOC et CERT

Beaucoup d'outils sont partagés. Le SOC fournit souvent la plateforme, le CERT utilise les mêmes avec un accès élevé et des workflows spécifiques.

OutilUsage SOCUsage CERT
SIEM (Splunk, Sentinel, Elastic)Corrélation continue + alertesInvestigation crise, timeline reconstitution
EDR/XDR (CrowdStrike, SentinelOne)Détection + response basiqueQuarantine massive, containment scripté
SOAR (XSOAR, Tines)Automatisation playbooks standardsPlaybooks crise ad-hoc
CTI platform (MISP, Mandiant)Enrichissement alertesCoordination inter-CERTs, partage IoC

3.2 Outils typiquement CERT-only

OutilUsage
Velociraptor (Rapid7, open source)Acquisition forensic à distance à grande échelle
Volatility 3Memory forensics
Autopsy + Sleuth KitDisk forensics
KAPE (Eric Zimmerman)Targeted artifact collection Windows
Ghidra, IDA Pro, Binary NinjaReverse engineering malware
ANY.RUN, Hybrid Analysis, Joe SandboxSandbox analyse dynamique
CyberChefDécodage, unpacking simple
Ghidra + x64dbg + CutterStack reverse Windows/Linux
Thinkst Canary reportsDeception analysis
Tools propriétaires bancaires / OIVAnalyse spécifique secteur

3.3 Compétences humaines distinctes

CompétenceSOCCERT
MITRE ATT&CK fluentEssentiel L2-L3Essentiel
Scripting Python / PowerShellUtile L2, essentiel L3Essentiel
Forensic avancéLight-onlyEssentiel
Reverse engineeringRarementFréquent
Gestion de criseRarement L3 managerEssentiel
Notification réglementaireTransmet au CERTEssentiel
Partage inter-CERTsRarementEssentiel
Négociation (notamment ransomware)JamaisParfois (coordination tiers)

4. Structures juridiques et obligations

4.1 Le CERT comme interlocuteur des autorités

Dans une entité régulée, le CERT est le point de contact unique avec les autorités en cas d'incident majeur. Tableau des obligations FR 2026 :

AutoritéCadreDélai notification
ANSSI CERT-FROIV (LPM), NIS 2 entités essentielles/importantes24h early warning + 72h + 1 mois rapport
CNILRGPD art. 33 si données personnelles72h après connaissance
Autorité sectorielleACPR (banque), ARCEP (télécom), ASN (nucléaire), ANS (santé)Variable
SEC (si coté US)Item 1.05 Form 8-K4 jours ouvrés
Assureur cyberContrat cyberVariable (souvent 24-72h)
Partenaires contractuelsClauses contractuelles DPA / InfoSecVariable

Le SOC n'interagit pas directement avec ces autorités — il fournit au CERT les éléments techniques. La décision de notifier est prise par RSSI et direction juridique sur recommandation CERT.

4.2 Couverture assurance cyber et CERT retainer

Les polices assurance cyber 2026 exigent de plus en plus un CERT retainer (contrat pré-payé avec prestataire IR externe) comme condition de souscription ou de réduction de prime. Raison : sans retainer, l'assureur prend le risque qu'aucun intervenant qualifié soit disponible dans les 12-72h critiques post-incident.

Prestataires retainer FR reconnus par les assureurs 2026 : Orange Cyberdefense, Thales, Airbus CyberSecurity, Capgemini, Sopra Steria, Advens, Almond, Synetis, Lexfo, I-Tracing.

5. Quand une organisation a besoin d'un CERT distinct

5.1 Grille de décision

ContexteSOC seul suffitCERT dédié justifié
Taille < 500 salariés, non-réguléOuiNon
ETI 500-5000 salariés, non-réguléOui (+ retainer)Optionnel
ETI régulé (NIS 2 entité importante)Oui (+ retainer)Recommandé
Grand compte (> 5000 salariés)NonOui
OIV (LPM)NonObligatoire de fait
Banque / assurance systémiqueNonObligatoire (DORA + ACPR)
Santé (HDS)Non (si incidents > 2/an)Recommandé
Entité cotée US (SEC Rules)NonObligatoire de fait

5.2 Modèles d'organisation CERT

Trois modèles cohérents avec le SOC :

Modèle 1 : CERT interne complet Équipe distincte (3-15 ETP selon taille) avec budget propre, rattachée CISO. Coût typique : 500 k€ - 3 M€/an. Quand : grand compte, OIV, banque.

Modèle 2 : CERT fonctionnel au sein du SOC Les analystes SOC L3 portent la fonction CERT avec activation en mode surge. Économique, mais risque de saturation quand incident Critical + flux alertes normales simultanés.

Modèle 3 : CERT externalisé (retainer) Contrat pré-payé avec un prestataire. Déclenchement sur incident Critical uniquement, équipe externe prend lead. Coût : 30-150 k€/an pour 50-200 heures. Adapté ETI.

Combinaison courante : CERT interne « léger » (1-3 ETP gérant gouvernance crise + threat intel) + retainer externe pour surge capacity forensic/reverse.

6. L'écosystème CERT français 2026

6.1 CERT-FR (ANSSI)

Service opérationnel de l'ANSSI créé en 2000, basé à Paris. Missions :

  • Coordination réponse à incident nationale pour OIV, OSE, NIS 2.
  • Publication bulletins (cert.ssi.gouv.fr) : CVE critiques, alertes APT, IoCs campagnes.
  • Partage ENISA, CERT-EU, FIRST.org.
  • Appui opérationnel crise souveraineté.

CERT-FR ne traite pas les PME/ETI non régulées — elles relèvent des CERTs privés ou du parcours cybermalveillance.gouv.fr.

6.2 InterCERT-FR

Association loi 1901 créée en 2019, regroupe les CERTs privés français opérationnels. Membres 2026 incluent CERT Orange Cyberdefense, Thales CSIRT, Airbus CyberSecurity CSIRT, Sopra Steria CERT, Capgemini CERT, Synetis, Advens, Lexfo, Digitemis, I-Tracing, CERT internes de groupes (banques CAC 40, assureurs, OIV industrie).

Objectifs : partage d'information opérationnel (IoCs, campagnes, TTPs), coordination interventions multi-acteurs, montée en compétences collective, représentation communauté CERTs privés auprès de l'ANSSI et des pouvoirs publics.

6.3 CERTs sectoriels

Secteurs régulés organisent des CERTs sectoriels spécialisés :

  • CERT bancaire : coordination FR Banques, Groupe BPCE, Crédit Agricole, BNP Paribas, Société Générale.
  • CERT santé : France Cyber Santé (ex-CERT Santé), coordinations hospitalières via GHT.
  • CERT énergie : CERT EDF, CERT Engie, coordination via France Hydrogène, RTE.
  • CERT transport : SNCF CERT, Air France, Aéroports de Paris.
  • CERT défense : Commandement Cyber (COMCYBER), DGSI cyber.

6.4 Annuaire international

  • FIRST.org (Forum of Incident Response and Security Teams) : annuaire officiel international des CERTs/CSIRTs, ~700 membres 2026.
  • CERT/CC (Carnegie Mellon SEI) : CERT originel, coordination vulnérabilités disclosure.
  • CERT-EU : CERT des institutions européennes.
  • ENISA : agence UE qui coordonne, pas un CERT opérationnel.

7. Faux amis et confusions courantes

Cinq confusions récurrentes à dissiper :

7.1 « CERT = équipe forensic »

Faux. Le CERT fait du forensic parmi d'autres activités (coordination crise, notification, CTI, coordination inter-CERT). Une équipe uniquement forensic est une équipe DFIR (Digital Forensics and Incident Response), souvent au sein d'un CERT mais pas le CERT en totalité.

7.2 « SOC + CERT = doublon »

Faux. SOC et CERT couvrent deux régimes opérationnels complémentaires (flux continu vs crise ponctuelle). Ils se nourrissent mutuellement : SOC alimente CERT en télémétrie, CERT alimente SOC en détections nouvelles post-incident.

7.3 « Analyste SOC L3 = CERT analyst »

Partiellement faux. Un SOC L3 peut progresser vers le CERT et de nombreux CERT analysts sont d'anciens SOC L3 — mais les compétences ne sont pas identiques. CERT analyst exige en plus forensic avancé + reverse + gestion de crise + notification réglementaire. Bascule typique SOC L3 → CERT analyst : 12-24 mois de formation complémentaire.

7.4 « Tous les CERTs publient des bulletins »

Faux. Seuls les CERTs gouvernementaux et certains CERTs sectoriels publient des bulletins publics. Les CERTs privés internes (CERT d'une banque, d'une assurance, d'une OIV) gèrent leurs incidents en confidentialité, ne publient que rarement, partagent parfois avec pairs via InterCERT-FR en confidence.

7.5 « CSIRT et CERT sont différents »

Faux. Fonctionnellement équivalents. Seule différence : CERT est une marque déposée Carnegie Mellon 1988 avec usage encadré (autorisation parfois nécessaire), CSIRT est le terme générique ENISA/FIRST.org. En France, usage historique CERT dominant mais CSIRT progresse.

8. Pour aller plus loin

Pour l'angle choix de carrière (salaires, accessibilité, trajectoires) entre SOC et CERT, voir la ressource dédiée SOC vs CERT. Pour comprendre en profondeur le fonctionnement d'un SOC, la ressource qu'est-ce qu'un SOC détaille la structure, la stack, les 4 modèles opérationnels et les KPIs. Pour le rôle individuel d'un analyste dans un SOC, voir qu'est-ce qu'un analyste SOC. Le positionnement SOC/CERT dans le paysage global red team / blue team est couvert par red team vs blue team.

Points clés à retenir

  • 3 distinctions structurelles : périmètre (flux continu SOC vs incidents majeurs CERT), rythme (24x7 continu vs activation par crise), activités exclusives CERT (forensic avancé, reverse, coordination crise, notification, partage inter-CERTs).
  • CERT = CSIRT fonctionnellement, seule différence légale (marque déposée Carnegie Mellon 1988 pour CERT).
  • Chaîne de traitement : SOC L1 → L2 → L3 → CERT. Trigger CERT documenté par critères précis (sévérité, compromise tier-0, exfiltration, notification obligatoire).
  • Handoff structuré NIST SP 800-61 Rev 3 / SANS PICERL : activation formelle → meeting 30-60 min → bascule lead → journal partagé → réunions pilotage régulières.
  • CERT nécessaire pour grand compte, OIV (LPM), NIS 2 entité essentielle, banque (DORA), entité cotée US (SEC). PME/ETI peuvent fonctionner SOC + retainer externe.
  • Écosystème FR 2026 : CERT-FR (ANSSI, gouvernemental), InterCERT-FR (association CERTs privés), CERTs sectoriels (bancaire, santé, énergie, transport, défense), FIRST.org (annuaire international).
  • 5 outils CERT-only récurrents : Velociraptor (forensic à distance), Volatility 3 (memory forensics), Ghidra (reverse), sandboxes (ANY.RUN, Joe Sandbox), KAPE (artefacts Windows).
  • Obligations notification portées par CERT : ANSSI 24-72h (NIS 2), CNIL 72h (RGPD), SEC 4 jours ouvrés (Item 1.05 Form 8-K), DORA financier.
  • CERT retainer externe : modèle dominant pour ETI non régulées (30-150 k€/an, 50-200h pré-payées). Prestataires FR : Orange Cyberdefense, Thales, Airbus, Capgemini, Sopra, Advens, Almond, Synetis.

Questions fréquentes

  • Quelle est la différence fondamentale entre un SOC et un CERT ?
    Trois distinctions structurelles. 1) **Périmètre et nature des cas traités** : le SOC gère le flux continu d'alertes (50-300 par shift) et d'incidents courants via playbooks standardisés ; le CERT intervient uniquement sur les incidents majeurs confirmés qui dépassent la capacité ou la compétence du SOC (ransomware actif, compromission majeure, APT confirmé, fuite de données à notifier). 2) **Rythme et activation** : le SOC opère en continu 24x7 ou 8x5, production stable ; le CERT a un mode activation par incident (crise → mobilisation rapide équipe dédiée, démobilisation après clôture). 3) **Activités exclusives** : le CERT fait du forensic avancé, du reverse engineering malware, de la coordination de crise inter-équipes (juridique, com, DG), de la notification réglementaire (ANSSI, CNIL, SEC), du partage d'information avec pairs via InterCERT-FR ou équivalents étrangers. Le SOC rarement ou jamais. Les termes CERT (Computer Emergency Response Team, marque déposée Carnegie Mellon depuis 1988) et CSIRT (Computer Security Incident Response Team, générique) sont fonctionnellement équivalents.
  • Comment se fait le handoff SOC vers CERT lors d'un incident ?
    Cinq étapes standardisées dans une organisation mature. 1) **Détection et triage initial par SOC L1/L2** : alerte confirmée, classification préliminaire sévérité (Low/Medium/High/Critical). 2) **Escalade L2 vers L3 SOC** si complexité technique ou scope inhabituel. 3) **Trigger d'activation CERT** via critères documentés : sévérité Critical confirmée, ransomware actif, compromission AD tier-0, exfiltration suspectée, incident à notifier (NIS 2, RGPD, DORA, SEC). 4) **Handoff structuré** : meeting de bascule 30-60 min avec timeline, IoCs, hosts impliqués, actions déjà menées, coordination transfert lead ; SOC reste en appui monitoring périmètre. 5) **CERT prend lead** : coordination forensic, escalade juridique/communication/DG, notification autorités, reporting post-mortem. Le SOC alimente le CERT en télémétrie, exécute les containment actions opérationnelles, mais la gouvernance de crise bascule au CERT. Durée typique d'une coordination CERT pour incident Critical : 3-30 jours selon complexité.
  • Une entreprise a-t-elle besoin d'un CERT si elle a déjà un SOC ?
    Dépend de la taille, du secteur et de la maturité. **Sans CERT dédié (SOC seul suffit)** : PME et ETI non-régulées, environnement IT limité, faible exposition réputationnelle, capacité L3 au SOC suffisante pour gérer les rares crises. Volume d'incidents majeurs < 1 par trimestre. **Avec CERT interne distinct** : grandes organisations (CAC 40, banques, assurances, OIV, santé), secteurs régulés (NIS 2 entité essentielle, DORA), exposition réputationnelle forte, volume d'incidents majeurs > 1 par mois. **Avec CERT externalisé (contrat retainer)** : ETI sans équipe sécurité dédiée, budget SOC complet pas justifié, besoin de backup expert en cas d'incident majeur (12-72 heures d'accès à équipe DFIR senior). Prestataires retainer FR : Orange Cyberdefense CERT, Thales CSIRT, Airbus CyberSecurity CSIRT, Sopra Steria CERT, Capgemini CERT, Synetis, Advens, Almond, Lexfo, I-Tracing. Coût typique retainer : 30-150 k€/an pour 50-200 heures d'intervention pré-payées.
  • Qu'est-ce que CERT-FR et quel est son rôle ?
    **CERT-FR** est le CERT gouvernemental français, service opérationnel de l'ANSSI (Agence nationale de la sécurité des systèmes d'information) créé en 2000. Quatre missions principales. 1) **Coordination nationale de la réponse à incident** pour les entités régulées : OIV (Opérateurs d'Importance Vitale au titre de la LPM), OSE (Opérateurs de Services Essentiels NIS), entités essentielles et importantes NIS 2 depuis transposition octobre 2024. 2) **Publication de bulletins** : CVE critiques actualités, campagnes d'attaque observées avec IOCs, alertes CERT-FR numérotées (format CERTFR-2026-ALE-NNN), avis hebdomadaires. Cible publication : cert.ssi.gouv.fr. 3) **Partage d'intelligence** : coordination avec ENISA, CERT-EU, CERTs nationaux européens (BSI-CERT Allemagne, NCSC UK, CCN-CERT Espagne), partenaires internationaux (FIRST.org). 4) **Appui opérationnel** aux entités victimes lors d'incidents majeurs, notamment en cadre LPM, NIS 2 ou atteinte à la souveraineté nationale. CERT-FR n'est pas un prestataire commercial — il intervient gratuitement dans son périmètre régulatoire, pas au cas par cas pour toute entreprise.
  • Quelle est la chaîne d'escalade typique d'un incident Critical ?
    Chaîne standard 2026 sur un incident Critical de type ransomware actif dans une grande organisation régulée. **T0** : alerte EDR confirmée par SOC L1 (détection chiffrement massif en cours). **T+15 min** : SOC L2 confirme périmètre (N hosts impactés, timeline 48h détection à posteriori), déclenchement protocole Critical. **T+30 min** : trigger CERT interne, premier containment opérationnel (isolation réseau segment compromis par SOC, désactivation comptes privilégiés AD). **T+1h** : CERT prend lead, première conf-call crise : RSSI, SOC Manager, CERT Lead, DSI, direction juridique, communication, DPO. **T+2h** : notification ANSSI CERT-FR si OIV ou NIS 2 entité essentielle, CNIL si données personnelles concernées (72h max). **T+4h** : activation forensic, image mémoire hosts représentatifs, extraction logs, début reverse du sample ransomware. **T+24h** : briefing direction générale, décision stratégique (négociation, recovery, communication publique), early warning NIS 2 complet. **T+72h** : notification NIS 2 complète, communication externe si requise. **T+30 jours** : post-mortem technique et organisationnel, rapport final NIS 2 (1 mois cible).
  • Faut-il dire CERT ou CSIRT ?
    Techniquement, les deux termes ne sont pas interchangeables mais ils désignent la même fonction dans l'usage courant 2026. **CERT** (Computer Emergency Response Team) est une marque déposée par Carnegie Mellon University Software Engineering Institute depuis 1988, originellement pour l'équipe CERT Coordination Center (CERT/CC) fondée post Morris Worm 1988. Son usage commercial exige en théorie une autorisation. **CSIRT** (Computer Security Incident Response Team) est le terme générique équivalent, sans contrainte de marque, promu par ENISA et FIRST.org. En pratique FR 2026 : la majorité des équipes françaises utilisent CERT (CERT-FR ANSSI, CERT Orange, CERT Thales, etc.) avec autorisation explicite ou usage historique toléré. Quelques-unes préfèrent CSIRT (Thales CSIRT plus récemment). Internationalement, CSIRT gagne du terrain, notamment via ENISA et les annuaires officiels (FIRST.org recense CERTs et CSIRTs ensemble). Pour un candidat, connaître les deux termes suffit — aucune hiérarchie technique entre eux.
Découvrir l'accompagnement cyber 6 mois

Écrit par

Naim Aouaichia

Expert cybersécurité et fondateur de Zeroday Cyber Academy

Expert cybersécurité avec un master spécialisé et un parcours hybride : développement, DevOps, DevSecOps, SOC, GRC. Fondateur de Hash24Security et Zeroday Cyber Academy. Formateur et créateur de contenu technique sur la cybersécurité appliquée, la sécurité des LLM et le DevSecOps.

À lire également