Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

CLUSIF : gestion des incidents, n’attendez pas que l’incendie se déclare !

juin 2011 par Emmanuelle Lamandé

La gestion d’incidents SSI en entreprise ne signifie pas uniquement « éteindre l’incendie une fois qu’il est déclaré » ! Elle couvre un périmètre beaucoup plus large, allant de la veille technologique, la définition de procédures à la résolution d’incidents. Pour ce faire, elle repose le plus souvent sur une équipe dédiée, interne ou externe à l’entreprise. La gestion des incidents nécessite, en outre, une bonne maîtrise de la communication et une forte coopération entre les différents acteurs.

Le CLUSIF a publié en mai 2011 un document technique sur la « Gestion des incidents de sécurité du système d’information » (1). Selon ce rapport, la gestion des incidents a pour objectif « la détection et le traitement des incidents. Le processus de gestion des incidents inclut en général la détection de l’incident, les analyses et diagnostics, la résolution de l’incident et/ou le rétablissement du service affecté. […] Elle est également un dispositif amont essentiel du PRA, car elle définit les procédures d’escalade qui permettent d’être plus réactif pour le déclenchement du plan de secours ».

Dans le domaine de la sécurité du système d’information, un incident correspond, plus précisément, « à une action malveillante délibérée, au non-respect d’une règle de la PSSI (Politique de Sécurité du Système d’information) ou, d’une manière générale, à toute atteinte aux informations, toute augmentation des menaces sur la sécurité des informations ou toute augmentation de la probabilité de compromission des opérations liées à l’activité ».

Gestion des incidents : une organisation variable selon les entreprises

Afin de prévenir et d’affronter au mieux ce type d’incidents, chaque entreprise doit disposer d’une équipe, interne ou externe, dédiée à la gestion de ces problématiques : détection d’incident, analyse, évaluation de l’impact, actions correctives et remise en fonction du service affecté. Cette équipe revêt généralement le qualificatif de CSIRT (Computer Security Incident Response Team) ou de CERT (Computer Emergency Response Team). En fonction de la taille de l’entreprise, de ses ressources et de ses moyens, cette équipe peut avoir une organisation très différente.

« Dans le cas le plus simple, l’équipe est constituée d’employés de l’entreprise et prend en charge l’ensemble des services. Ce modèle peut être difficile à faire fonctionner à cause du large éventail de compétences exigées dans plusieurs domaines d’une part et de l’obligation d’opérer de manière continue, c’est-à-dire 24h/24 et 7j/7. Souvent seules les grandes entreprises peuvent s’offrir ces capacités ». C’est pourquoi certaines entreprises choisissent d’externaliser la gestion de leurs incidents de sécurité à des prestataires de services spécialisés : les MSSP (Managed Security Services Provider), ou, enfin, optent pour un mixte de ces deux modèles.

David Maillard est Responsable de l’activité Threat Management Services (TMS) d’Alcatel-Lucent France, un centre de supervision de la sécurité opérant en 24/7. Cette entité a pour principales missions : la collecte, l’analyse et l’archivage des journaux de logs, l’identification du non-respect de la politique de sécurité et d’une potentielle violation à cette politique, la garantie de la traçabilité et l’imputabilité des événements, la détection des attaques, ou encore le traitement des incidents.

Le TMS d’Alcatel-Lucent supervise aujourd’hui un peu moins de 2 500 équipements pour 14 clients, soit environ 5 milliards de logs chaque jour. L’équipe doit faire face quotidiennement à une cinquantaine d’alertes et identifier parmi elles celles qui ne relèvent ni de faux-positifs ni d’alertes d’ores et déjà en cours de traitement. Ce chiffre se trouve alors généralement réduit à cinq alertes par jour en moyenne.

La gestion des incidents fait partie intégrante du rôle d’un MSSP. Cela comprend aussi bien la description des incidents, des risques, la proposition de mesures palliatives, que le suivi des opérations effectuées par une exploitation.

La gestion des incidents nécessite une forte coopération entre les acteurs

Pour Olivier Caleff, Responsable du CERT-Devoteam, la gestion des incidents nécessite une coopération entre un certain nombre d’acteurs, y compris entre les différents CSIRTs, en France et à l’international.

La gestion des incidents repose sur quelques grands principes :
- une préparation en amont, à travers la définition de procédures notamment,
- la détection, l’analyse et l’identification des « incidents » ou événements corrélés,
- la restauration et la limitation des dégâts,
- l’investigation et le suivi,
- ainsi qu’une communication à bon escient.

La constitution d’un CSIRT repose à la fois sur des briques organisationnelles, juridiques, procédurales, humaines, techniques et communicationnelles. Son action ne peut toutefois se faire seul et nécessite donc également la participation à des réseaux d’échanges. Une entité doit avoir une vision globale et internationale de ce qui se passe.

La gestion des incidents s’articule autour d’aspects techniques (SIEM), d’une équipe (SOC), d’une procédure, mais aussi de remontées sporadiques et inattendues pouvant provenir d’entités tierces, et notamment des autres CERTs. Différentes organisations s’évertuent d’ailleurs à faire le lien entre ces différentes équipes, c’est le cas par exemple de FIRST (Forum of Incident Response and Security Teams) au niveau international, ou de TF-CSIRT (Task Force - Computer Security Incident Response Teams) au niveau européen. En outre, l’ENISA dresse sur son site (2) une cartographie des CERTs en Europe :

Cartographie des CERTs en Europe

Ce type de démarche démontre une réelle prise de conscience de l’intérêt d’une telle démarche au niveau international. Ces organismes ont à la fois pour rôle d’avertir mais aussi de faire le relais d’information. L’objectif final est d’établir un cercle de confiance, afin de faire avancer les problématiques de sécurité.

« Le fait d’avoir un CERT à disposition est rassurant pour les victimes »

David Bizeul est le Responsable du CERT Société Générale. Cette entité a principalement en charge la gestion des incidents, la lutte contre la cybercriminalité, la gestion des alertes et vulnérabilités, et la veille technologique. Pour lui, afin de mener à bien ces missions, l’équipe doit être avant tout être bien outillée :
- effectuer une veille technologique régulière,
- savoir comment traiter les incidents,
- avoir les bons contacts pour échanger (avocats, marketing, ...) en cas de problème : il faut créer ces interactions au préalable,
- avoir des référentiels à jour,
- ou encore, pouvoir communiquer de manière autonome.

Les incidents de sécurité se distinguent à trois niveaux : la détection, la réaction et la communication.
- La détection repose sur des composantes opérationnelles et techniques. Les indicateurs peuvent soit provenir de machines, soit d’acteurs : les employés bien sûr, mais aussi les utilisateurs, clients de la Société Générale qui peuvent directement contacter le CERT en cas de détection d’anomalie.
- Le traitement et la réponse à l’incident de sécurité : il faut répondre immédiatement et à chaque fois, notamment pour garder le contrôle sur l’aspect communication. Deuxièmement, il faut y apporter de la valeur ajoutée, c’est-à-dire amener une expertise sur un domaine non-maîtrisé par les acteurs de la banque par exemple. Enfin, être en mesure d’apporter une assistance de bout en bout.
- L’approche « communication » doit adresser trois points : la proximité (devoir répondre immédiatement), la centralisation (il s’agit d’avoir une vue globale des incidents de sécurité propres à l’entreprise), ainsi qu’un point d’interaction entre l’interne et l’externe.

Parmi les principales leçons qu’il a pu tirer de son expérience, il observe que :
- la confiance se crée avec le temps au sein même de la structure,
- le fait d’avoir un CERT à disposition est rassurant pour les victimes, mais aussi pour les « hypocondriaques de la sécurité »,
- le CERT est une structure pour les interactions entre l’entreprise et le monde extérieur,
- l’anticipation des incidents de sécurité est une réelle nécessité, afin qu’ils puissent être traités correctement. Pour ce faire, effectuer une veille globale et permanente s’avère fondamental. Avant toute chose, il faut connaître son ennemi et les armes permettant de lutter contre.

Enfin, pour ceux qui souhaiteraient de plus amples détails, le CERT Société Générale met à disposition du public sur son site (3) ses fiches IRM (Incident Response Methodologies), dédiées à la réponse sur incident.


(1) Document technique du CLUSIF sur la « Gestion des incidents de sécurité du système d’information » : www.clusif.asso.fr/fr/produc...

(2) Cartographie des CERTs en Europe : www.enisa.europa.eu/act/cert

(3) Fiches IRM du CERT Société Générale : http://cert.societegenerale.com/fr/...


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants