🧭 DFIR-IRIS – Une réponse open source à un besoin bien réel
Dans la majorité des structures, la réponse à incident reste encore souvent artisanale : tickets IT mal fichus, tableurs partagés, collecte de preuves désorganisée. Quand la pression monte, la coordination devient un casse-tête.
Et si une plateforme centralisait tout ça ? DFIR-IRIS, développé par le CERT Airbus, répond pile à ce besoin. Léger, modulaire, open source, orienté analyste et CTI-ready.
🧪 Une interface pensée pour les incidents, pas pour les processus IT
Contrairement aux ITSM classiques (GLPI, ServiceNow), DFIR-IRIS est centré sur l’incident cyber, de l’alerte à la clôture. Chaque cas peut être qualifié, suivi, enrichi, documenté. Il ne s’agit pas d’un outil de support, mais d’un cockpit pour les analystes SOC et les membres du CSIRT.
📦 Fonctions à retenir
- Affectation d’analystes
- Classification par typologie, criticité, TLP
- Statuts personnalisables
- Timeline complète avec événements
- Commentaires et collaboration
🧠 La force de l’intégration CTI : MISP, STIX, TheHive
DFIR-IRIS s’interface nativement avec les outils CTI de référence :
MISP pour l’enrichissement des IOC, STIX 2.1 pour les exports structurés, TheHive pour les cas d’usage SOAR, et Cortex pour les analyses automatisées.
📦 Fonctions à retenir
- Connexion à MISP (pull/push IOC)
- Corrélation automatique d’indicateurs
- Enrichissement contextuel
- Export STIX 2.1
- Vue IOC dédiée par incident
🧰 Environnement technique maîtrisé et sécurité embarquée
Pas de dépendances obscures ni de cloud obligatoire. DFIR-IRIS est conçu pour tourner en environnement restreint, y compris sur sites sensibles ou isolés. L’installation est documentée, le code source est publié, et les permissions sont gérées finement par rôle.
📦 Fonctions à retenir
- Authentification RBAC (multi-rôle)
- API REST sécurisée
- Token d’authentification
- Mode airgap possible
- Déploiement Docker rapide
👥 Pour quels profils ? Et dans quels cas l’utiliser ?
C’est un outil multi-public, mais avec un vrai focus sur la réponse opérationnelle. Pas de fioritures : tout est là pour que l’incident soit documenté, suivi, enrichi, et réutilisable ensuite (retour d’expérience, veille…).
📦 Fonctions à retenir
- Support complet de la gestion de crise cyber
- Capitalisation des preuves techniques
- Collaboration inter-équipe (SOC, RSSI, forensic)
- Tableaux de bord synthétiques
- Vue globale et export PDF pour les comités
🧱 Ce qu’il ne fait pas (encore)
DFIR-IRIS n’est pas un SIEM ni un outil d’analyse. Il ne collecte pas de logs, ne déclenche pas de playbooks automatisés comme un SOAR. En revanche, il s’intègre parfaitement à ce type d’outils. C’est un hub de gestion et de coordination, pas un moteur de détection.
📦 Limites actuelles
- Pas de playbook intégré (à combiner avec Cortex/TheHive)
- Pas de module de reporting avancé intégré
- Besoin d’un peu de familiarisation pour les non-techs
📊 Comparatif rapide : DFIR-IRIS vs autres solutions
| Critère | DFIR-IRIS | ITSM (GLPI, SNOW) | SOAR commercial |
|---|---|---|---|
| Open source | ✅ Oui | Partiel ou non | ❌ Non |
| Focus cyber | ✅ Fort | ❌ Faible | ✅ Oui |
| CTI intégré | ✅ MISP/STIX | ❌ Non | ✅ (souvent payant) |
| Facilité de déploiement | ✅ Docker | ❌ Long | ❌ Très complexe |
| Coût | ✅ Gratuit | 💰 Variable | 💰💰💰 Élevé |
