Premier ministre. Agence nationale de la sécurité des systèmes d information. Prestataires de réponse aux incidents de sécurité

Transcription

1 Premier ministre Agence natinale de la sécurité des systèmes d infrmatin Prestataires de répnse aux incidents de sécurité Référentiel d exigences Versin 1.0 du 6 ctbre 2015

2 HISTORIQUE DES VERSIONS DATE VERSION EVOLUTION DU DOCUMENT REDACTEUR 26/02/ Versin préliminaire interne ANSSI. ANSSI 29/04/ Prise en cmpte des remarques SD COSSI, SD SDE, MRR. ANSSI 7/07/ Prise en cmpte des remarques SD COSSI, SD SDE, MRR et validatin pur publicatin. ANSSI 6/10/ Versin révisée suite à l appel à cmmentaires ANSSI Les cmmentaires sur le présent dcument snt à adresser à : Agence natinale de la sécurité des systèmes d infrmatin SGDSN/ANSSI 51 bulevard de La Tur-Mauburg Paris 07 SP qualificatin@ssi.guv.fr 1.0 6/10/2015 PUBLIC 2/45

3 SOMMAIRE I. INTRODUCTION...5 I.1. Présentatin générale... 5 I.1.1. Cntexte... 5 I.1.2. Objet du dcument... 5 I.1.3. Structure du présent dcument... 5 I.2. Identificatin du dcument... 6 I.3. Définitins et acrnymes... 6 I.3.1. Acrnymes... 6 I.3.2. Définitins... 6 II. ACTIVITES VISEES PAR LE REFERENTIEL...8 II.1. Piltage technique... 8 II.2. Analyse système... 8 II.3. Analyse réseau... 8 II.4. Analyse de cdes malveillants... 8 III. QUALIFICATION DES PRESTATAIRES DE REPONSE AUX INCIDENTS DE SECURITE...9 III.1. Mdalités de la qualificatin... 9 III.2. Prtée de la qualificatin... 9 III.3. Avertissement...10 IV. EXIGENCES RELATIVES AU PRESTATAIRE DE REPONSE AUX INCIDENTS DE SECURITE IV.1. Exigences générales...11 IV.2. Charte d éthique...12 IV.3. Gestin des ressurces et des cmpétences...12 IV.4. Prtectin de l infrmatin...13 V. EXIGENCES RELATIVES AUX ANALYSTES V.1. Aptitudes générales...14 V.2. Expérience...14 V.3. Aptitudes et cnnaissances spécifiques aux activités de répnse aux incidents de sécurité...14 V.4. Engagements...14 VI. EXIGENCES RELATIVES AU DEROULEMENT D UNE PRESTATION DE REPONSE AUX INCIDENTS VI.1. Étape 1 - Qualificatin préalable d aptitude à la réalisatin de la prestatin...15 VI.2. Étape 2 - Établissement d une cnventin...16 VI.2.1. Mdalités de la prestatin VI.2.2. Organisatin VI.2.3. Respnsabilités VI.2.4. Cnfidentialité VI.2.5. Lis et réglementatins VI.2.6. Sus-traitance VI.2.7. Livrables VI.2.8. Qualificatin VI.3. Étape 3 Cmpréhensin de l incident de sécurité et de l envirnnement...19 VI.3.1. Cmpréhensin de l incident de sécurité VI.3.2. Cmpréhensin de l envirnnement VI.4. Étape 4 Élabratin de la psture initiale...20 VI.5. Étape 5 - Préparatin de la prestatin...21 VI.5.1. Mise en place de l rganisatin VI.5.2. Mise en place des myens pératinnels VI.5.3. Mise en place de mesures de sauvegarde et de préservatin /10/2015 PUBLIC 3/45

4 VI.5.4. Mise en place de prcédures d urgence VI.6. Étape 6 - Exécutin de la prestatin...23 VI.6.1. Révisin de la cmpréhensin de l incident de sécurité et de l envirnnement VI.6.2. Révisin de la psture VI.6.3. Cllecte des infrmatins VI.6.4. Analyse des infrmatins cllectées VI.6.5. Synthèse des analyses, capitalisatin et diffusin VI.6.6. Révisin des mesures de remédiatin VI.7. Étape 7- Restitutins...30 VI.8. Étape 8 - Élabratin du rapprt d analyse...31 VI.9. Étape 9 - Clôture de la prestatin...32 VI.10. Cas des enquêtes judiciaires...32 ANNEXE 1 REFERENCES DOCUMENTAIRES I. Cdes, textes législatifs et réglementaires...33 II. Nrmes et dcuments techniques...33 III. Autres références dcumentaires...34 ANNEXE 2 MISSIONS ET COMPETENCES ATTENDUES DU PERSONNEL DU PRESTATAIRE 35 I. Respnsable d équipe d analyse...35 I.1. Missins I.2. Cmpétences II. Analyste système...36 II.1. Missins II.2. Cmpétences III. Analyste réseau...37 III.1. Missins III.2. Cmpétences IV. Analyste de cdes malveillants...38 IV.1. Missins IV.2. Cmpétences ANNEXE 3 RECOMMANDATIONS AUX COMMANDITAIRES I. II. III. IV. Qualificatin...41 Avant la prestatin...42 Pendant la prestatin...42 Après la prestatin...43 ANNEXE 4 PREREQUIS A FOURNIR PAR LES COMMANDITAIRES /10/2015 PUBLIC 4/45

5 I. Intrductin I.1. Présentatin générale I.1.1. Cntexte L intercnnexin crissante des réseaux et les besins de dématérialisatin des prcessus u des dcuments expsent les systèmes d infrmatin à des risques de vl, de mdificatin u de destructin de dnnées. Ainsi, les pints d intercnnexin avec l extérieur, en particulier les accès Internet assciés à la messagerie u à des téléservices, snt autant d accès qu un attaquant peut tenter d utiliser pur s intrduire et se maintenir au sein même du système d infrmatin, pur dérber, dénaturer u encre détruire sn patrimine infrmatinnel. Lrsqu une cncrdance de signaux permet de supçnner une activité malveillante au sein d un système d infrmatin, il cnvient de faire appel à un prestataire de répnse aux incidents de sécurité afin de : - définir une méthde de répnse aux incidents de sécurité adaptée au cntexte ; - cllecter et analyser des éléments issus du système d infrmatin ; - identifier le mde pératire et l bjectif de l'attaquant ; - qualifier l étendue de la cmprmissin ; - aider à évaluer les risques et les impacts assciés ; - précniser des mesures de remédiatin. Les incidents de sécurité cncernés par ce référentiel snt les incidents de type cmprmissin et sabtage, mais il exclut les fraudes et dénis de service 1. Un prestataire de répnse aux incidents de sécurité dit être capable de traiter des incidents de tute taille et en particulier d intervenir dans le traitement d une attaque ciblée et de grande ampleur. I.1.2. Objet du dcument Ce dcument cnstitue le référentiel d exigences applicables à un prestataire de répnse aux incidents de sécurité (PRIS), ci-après dénmmé «le prestataire». Il a vcatin à permettre la qualificatin de cette famille de prestataires seln les mdalités décrites au chapitre III.1. Il permet au cmmanditaire de dispser de garanties sur les cmpétences du prestataire et de sn persnnel, sur la qualité de sa prestatin, des activités de répnse aux incidents de sécurité réalisées à sa capacité à adpter une apprche glbale de l incident de sécurité et une démarche d analyse adaptée. Il peut également être utilisé, à titre de bnnes pratiques, en dehrs de tut cntexte réglementaire. Il n exclut ni l applicatin de la législatin et de la réglementatin natinale, ni l applicatin des règles générales impsées aux prestataires en leur qualité de prfessinnels et ntamment leur devir de cnseil vis-à-vis de leurs cmmanditaires. I.1.3. Structure du présent dcument Le chapitre I crrespnd à l intrductin du présent référentiel. Le chapitre II présente les activités visées par le présent référentiel. 1 Des typlgies des incidents de sécurité snt présentes dans l annexe B de [ISO27035] et dans [ETSI_ISG_ISI] /10/2015 PUBLIC 5/45

6 Le chapitre III présente les mdalités de la qualificatin, qui atteste de la cnfrmité des prestataires de répnse aux incidents de sécurité aux exigences qui leur snt applicables. Le chapitre IV présente les exigences relatives aux prestataires. Le chapitre V présente les exigences relatives aux analystes. Le chapitre VI présente les exigences relatives au dérulement d une prestatin de répnse aux incidents de sécurité. L Annexe 1 présente les références des textes législatifs, réglementaires, nrmatifs et autres mentinnés dans le présent référentiel. L Annexe 2 présente les missins et cmpétences attendues des analystes du prestataire. L Annexe 3 présente des recmmandatins aux cmmanditaires de prestatins de répnse aux incidents de sécurité. L Annexe 4 présente les prérequis à furnir par les cmmanditaires dans le cadre d une prestatin de répnse aux incidents de sécurité. I.2. Identificatin du dcument Le présent référentiel est dénmmé «Prestataire de répnse aux incidents de sécurité référentiel d exigences». Il peut être identifié par sn nm, numér de versin et sa date de mise à jur. I.3. Définitins et acrnymes I.3.1. Acrnymes Les acrnymes utilisés dans le présent référentiel snt : I.3.2. ANSSI CERT-FR CRI PASSI PDIS PRIS Définitins Agence natinale de la sécurité des systèmes d infrmatin Centre guvernemental de veille, d alerte et de répnse aux attaques infrmatiques Crrespndant répnse à incident Prestataire d audit de la sécurité des systèmes d infrmatin Prestataire de détectin d incidents de sécurité Prestataire de répnse aux incidents de sécurité Les définitins ci-dessus s appuient sur les nrmes de la suite [ISO27000] et ntamment la nrme [ISO27035] relative à la gestin des incidents de sécurité, la nrme [ISO27037] relative à l identificatin, la cllecte, l acquisitin et la préservatin de preuves numériques ainsi que la stratégie natinale pur la sécurité du numérique [STRAT_NUM]. Analyste persnne réalisant une prestatin d analyse pur le cmpte d un prestataire (respnsable d équipe d analyse, analyse système, analyse réseau, analyse de cdes malveillants). Cmmanditaire - entité faisant appel au service de répnse aux incidents de sécurité. Cnventin de service accrd écrit entre un cmmanditaire et un prestataire pur la réalisatin de l activité de répnse aux incidents. Dans le cas ù le prestataire est un rganisme privé, la cnventin inclut le cntrat. État de l art ensemble des bnnes pratiques, des technlgies et des dcuments de référence relatifs à la sécurité des systèmes d infrmatin publiquement accessibles à un instant dnné, et des infrmatins qui en déculent de manière évidente. Ces dcuments peuvent être mis en ligne sur Internet par la 1.0 6/10/2015 PUBLIC 6/45

7 cmmunauté de la sécurité des systèmes d infrmatin, diffusés par des rganismes de référence u encre d rigine réglementaire. Évènement lié à la sécurité de l infrmatin ccurrence identifiée de l état d un système, d un service u d un réseau indiquant une vilatin pssible de la plitique de sécurité de l infrmatin u un échec des mesures de sécurité u encre une situatin incnnue jusqu alrs et puvant relever de la sécurité de l infrmatin. Incident de sécurité un u plusieurs évènement(s) de sécurité de l infrmatin indésirable(s) u inattendu(s) présentant une prbabilité frte de cmprmettre les pératins liées à l activité de l rganisme et/u de menacer la sécurité de l infrmatin. Indicateur de cmprmissin cmbinaisn d infrmatins techniques représentatives d une manifestatin de cmprmissin, qui peuvent être identifiées à partir de l analyse d un système, d un cde malveillant u de traces réseau. Investigatin prcédé visant à cllecter et analyser tut élément technique, fnctinnel u rganisatinnel du système d infrmatin permettant de cmprendre le mde pératire et l étendue d un incident de sécurité sur un système d infrmatin. Mesure de sécurité ensemble des myens techniques et nn techniques de prtectin, permettant à un système d infrmatin de réduire le risque d atteinte à la sécurité de l infrmatin. Périmètre envirnnement physique, lgique et rganisatinnel dans lequel se truve le système d infrmatin u la prtin du système d infrmatin, sur lequel la prestatin est effectuée. Psture Ensemble cmpsé de la démarche de répnse à incident, le niveau de discrétin à adpter visà-vis de l attaquant, les ressurces à engager et le calendrier des activités. Prestataire rganisme prpsant une ffre de service de répnse aux incidents de sécurité cnfrme au référentiel. Rapprt d analyse dcument de synthèse élabré par l équipe d analyse et remis au cmmanditaire à l issue de la prestatin. Référentiel le présent dcument. Respnsable d équipe d analyse persnne respnsable de la prestatin en répnse aux incidents de sécurité et de la cnstitutin de l équipe d analystes, en particulier de la cmplémentarité de leurs cmpétences. Il est chargé de définir, de prpser et de suivre une feuille de rute, de crdnner, d rienter et de cntrôler les activités d analyse assciées, ainsi que d assurer la capitalisatin des résultats. Il dit également définir une psture et prpser des mesures de remédiatin adaptées. Sécurité de l infrmatin Préservatin de la cnfidentialité, l intégrité et la dispnibilité de l infrmatin Snde dispsitif technique destiné à générer des évènements réseau et/u à repérer des activités anrmales, suspectes u malveillantes sur la cible analysée. Une snde est cnsidérée cmme une surce de cllecte dans le cadre du service de détectin des incidents de sécurité. Sus-traitance pératin par laquelle le prestataire cnfie sus sa respnsabilité à une entité tut u partie de l exécutin d un cntrat cnclu avec le cmmanditaire. Système d infrmatin ensemble rganisé de ressurces (matériel, lgiciels, persnnel, dnnées et prcédures) permettant de traiter et de diffuser de l infrmatin. Tiers persnne u rganisme recnnu cmme indépendant du prestataire et du cmmanditaire. Victime rganisme dnt tut u partie de sn système d infrmatin fait l bjet d un incident de sécurité d rigine malveillante. Le cmmanditaire de la prestatin peut être u nn la victime. Vulnérabilité faiblesse d un bien u d une mesure puvant être explitée par une menace u un grupe de menaces /10/2015 PUBLIC 7/45

8 II. Activités visées par le référentiel Ce chapitre présente les différentes activités traitées dans le référentiel. II.1. Piltage technique Le piltage technique cuvre la définitin, le piltage et le cntrôle des activités techniques nécessaires au traitement d un incident de sécurité, ainsi que la cmmunicatin avec la victime tut au lng de la prestatin. Cette activité est assurée par le respnsable de l équipe d analyse. II.2. Analyse système L analyse système cnsiste à cllecter des infrmatins techniques sur des équipements (terminaux utilisateur, serveurs, périphériques, etc.) u à l échelle d un système d infrmatin puis à les analyser et en extraire des indicateurs de cmprmissin, en vue ntamment d identifier le périmètre de la cmprmissin et le mde pératire de l attaquant puis enfin à précniser des mesures de remédiatin pur limiter la cmprmissin, enrayer l activité de l attaquant et durcir la sécurité du système d infrmatin de la victime. II.3. Analyse réseau L analyse réseau cnsiste à cllecter des évènements réseau à partir de systèmes de jurnalisatin, de supervisin et de détectin des incidents de sécurité, existants u de circnstance, puis à les analyser et en extraire des indicateurs de cmprmissin, en vue ntamment d identifier le périmètre de la cmprmissin et le mde pératire de l attaquant puis enfin à précniser des mesures de remédiatin pur limiter la cmprmissin, enrayer l activité de l attaquant et durcir la sécurité du système d infrmatin de la victime. II.4. Analyse de cdes malveillants L analyse de cdes malveillants cnsiste à identifier et analyser les cdes malveillants pur cmprendre leurs cmprtements, en extraire des indicateurs de cmprmissin puis enfin à précniser des mesures de remédiatin pur limiter la cmprmissin, enrayer l activité de l attaquant et durcir la sécurité du système d infrmatin de la victime /10/2015 PUBLIC 8/45

9 III. Qualificatin des prestataires de répnse aux incidents de sécurité III.1. Mdalités de la qualificatin Le référentiel cntient les exigences et les recmmandatins à destinatin des prestataires de répnse aux incidents de sécurité. La qualificatin d un prestataire est réalisée cnfrmément au prcessus de qualificatin d un prestataire de service de cnfiance [PROCESS_QUALIF] et permet d attester de la cnfrmité du prestataire aux exigences du référentiel. Un rganisme peut demander la qualificatin d un service de répnse aux incidents de sécurité interne, c est-à-dire un service utilisé pur répndre à tut u partie de ses prpres besins en répnse aux incidents de sécurité. Dans ce cas, le prcessus de qualificatin ainsi que les exigences applicables pur btenir la qualificatin snt strictement identiques à ceux définis dans le présent référentiel. Le terme «prestataire» désigne dnc indifféremment un rganisme ffrant des prestatins de répnse aux incidents de sécurité pur sn prpre cmpte u pur le cmpte d autres rganismes. Les exigences divent être respectées par les prestataires pur btenir la qualificatin. Les recmmandatins snt dnnées à titre de bnnes pratiques et ne fnt pas l bjet de vérificatin pur btenir la qualificatin. Le référentiel dnne également des recmmandatins aux cmmanditaires dans l Annexe 3. Ces recmmandatins ne fnt pas l bjet de vérificatin pur btenir la qualificatin. La qualificatin ne se substitue pas à l inscriptin sur une liste d experts en investigatin numérique auprès d une cur d appel et n accrde pas de drits afférents à la qualité d expert. III.2. Prtée de la qualificatin Pur être qualifié, un prestataire dit répndre à tutes les exigences du présent référentiel sur la prtée chisie. Pur être qualifié dans le cadre de la li de prgrammatin militaire, un prestataire dit, en plus des exigences du présent référentiel, répndre aux exigences supplémentaires définies dans [PRIS_LPM]. Le prestataire de répnse à incidents peut demander la qualificatin pur tut u partie des activités d analyse décrites au chapitre II : Prtée 1. pur tutes les activités définies au chapitre II ; Prtée 2. Prtée 3. pur les activités de piltage technique, d analyse système et d analyse réseau définies respectivement aux chapitres II.1, II.2 et II.3 ; pur seulement l activité d analyse de cdes malveillants décrite au chapitre II.4. Seuls les prestataires qualifiés pur les prtées 1 et 2 peuvent répndre à une demande de prestatin de répnse aux incidents de sécurité qualifiée. Ils divent s appuyer sur un autre prestataire qualifié s ils ne dispsent pas des ressurces suffisantes dans leur prtée u des cmpétences de prtée 3, pur réaliser l intégralité de la prestatin. Les prestataires qualifiés pur la prtée 3 ne peuvent intervenir qu au titre de sus-traitant d un prestataire qualifié pur les prtées 1 u 2. Est cnsidérée cmme une prestatin qualifiée au sens du référentiel, une prestatin respectant la démarche décrite au chapitre VI, dnt les activités snt réalisées par un u plusieurs analystes évalués individuellement et recnnus cmpétents pur ces activités, cnfrmément au chapitre V et à l Annexe 2 et travaillant pur un prestataire respectant les exigences du chapitre IV /10/2015 PUBLIC 9/45

10 Est cnsidérée cmme une prestatin qualifiée au sens de la li de prgrammatin militaire, une prestatin qualifiée au sens du référentiel et respectant les exigences supplémentaires définies dans [PRIS_LPM]. Les prestataires qualifiés gardent la faculté de réaliser des prestatins en dehrs du périmètre pur lequel ils snt qualifiés, mais ne peuvent, dans ce cas, se prévalir de la qualificatin sur ces prestatins. Une prestatin de répnse aux incidents de sécurité qualifiée peut être assciée à la réalisatin d autres prestatins cmplémentaires (audit, dévelppement, intégratin de prduits de sécurité, supervisin et détectin, etc.) sans perdre le bénéfice de la qualificatin. Un prestataire de répnse aux incidents de sécurité qualifié peut ntamment être qualifié pur d autres familles de prestataires de services de cnfiance (PASSI, PDIS). III.3. Avertissement Une prestatin de répnse aux incidents de sécurité nn qualifiée peut ptentiellement expser le cmmanditaire à certains risques et ntamment la fuite d infrmatins cnfidentielles, la cmprmissin, la perte u l indispnibilité de sn système d infrmatin. Ainsi, dans le cas d une prestatin nn qualifiée, il est recmmandé au cmmanditaire d exiger de la part de sn prestataire un dcument listant l ensemble des exigences de ce référentiel nn cuvertes dans le cadre de sa prestatin, afin de cnnaître les risques auxquels il s expse /10/2015 PUBLIC 10/45

11 IV. Exigences relatives au prestataire de répnse aux incidents de sécurité IV.1. Exigences générales a) Le prestataire dit être une entité u une partie d une entité dtée de la persnnalité mrale de façn à puvir être tenu juridiquement respnsable de sa prestatin. b) Le prestataire dit respecter la législatin et la réglementatin en vigueur sur le territire natinal. c) Le prestataire dit décrire l rganisatin de sn activité de répnse aux incidents auprès du cmmanditaire. d) Le prestataire dit, en sa qualité de prfessinnel, avir un devir de cnseil vis-à-vis du cmmanditaire. e) Le prestataire dit assumer la respnsabilité des activités qu il réalise pur le cmpte du cmmanditaire dans le cadre de la prestatin et en particulier les éventuels dmmages causés au cmmanditaire. f) Le prestataire dit suscrire une assurance prfessinnelle cuvrant les éventuels dmmages causés au cmmanditaire et ntamment à sn système d infrmatin dans le cadre de la prestatin. Le prestataire et le cmmanditaire peuvent préciser les types de dmmages cncernés et les mdalités de partage des respnsabilités au sein de la cnventin, en tenant cmpte de tutes les éventuelles activités sus-traitées. Le prestataire peut s exnérer de tut u partie de sa respnsabilité s il est avéré que le dmmage éventuellement subi par le cmmanditaire résulte d un défaut d infrmatin de ce dernier. Il est recmmandé que le prestataire garde, ntamment, la respnsabilité des actins qu il effectue lrs de la prestatin de sn prpre fait. g) Le prestataire dit s assurer du cnsentement du cmmanditaire avant tute cmmunicatin d infrmatins btenues u prduites dans le cadre de la prestatin. h) Le prestataire dit garantir que les infrmatins qu il furnit, y cmpris la publicité, ne snt ni fausses ni trmpeuses. i) Le prestataire dit apprter une preuve suffisante que les mdalités de sn fnctinnement, ntamment financières, ne snt pas susceptibles de cmprmettre sn impartialité et la qualité de ses prestatins à l égard du cmmanditaire u de prvquer des cnflits d intérêts. j) Le prestataire dit réaliser la prestatin de manière impartiale, en tute bnne fi et dans le respect du cmmanditaire, de sn persnnel et de sn infrastructure. k) Le prestataire dit demander au cmmanditaire de lui cmmuniquer les éventuelles exigences légales et réglementaires spécifiques auquel il est sumis et ntamment celles liées à sn secteur d activité. l) Le prestataire dit infrmer le cmmanditaire lrsque ce dernier est tenu de déclarer un incident de sécurité à une instance guvernementale et dit l accmpagner dans cette démarche si ce dernier en fait la demande. m) Le prestataire dit réaliser sa prestatin dans le cadre d un accrd de nn-divulgatin 2 et d une cnventin de répnse aux incidents de sécurité appruvée frmellement et par écrit par le cmmanditaire, et cnfrme aux exigences du chapitre VI.2. 2 Pur les étapes de qualificatin préalable d aptitude à la réalisatin de la prestatin (chapitre VI.1) et ptentiellement de cmpréhensin de l incident de sécurité et de l envirnnement (chapitre VI.3) /10/2015 PUBLIC 11/45

12 n) Le prestataire dit prévir l'enregistrement et le traitement des plaintes dépsées par les cmmanditaires, les victimes et les tiers (hébergeurs, etc.). IV.2. Charte d éthique a) Le prestataire dit dispser d une charte d éthique prévyant ntamment que : - les prestatins snt réalisées avec lyauté, discrétin et impartialité ; - les analystes ne recurent qu aux méthdes, utils et techniques validés par le prestataire ; - les analystes s engagent à ne pas divulguer d infrmatins à un tiers, même annymisés et décntextualisées, btenues u générées dans le cadre de leurs activités, y cmpris aux autres analystes du prestataire nn cncernés par la prestatin, sauf autrisatin frmelle et écrite du cmmanditaire et du centre guvernemental de veille, d alerte et de répnse aux attaques infrmatiques 3 (CERT-FR) ; - les analystes signalent au cmmanditaire tut cntenu manifestement illicite décuvert durant la prestatin ; - les analystes s engagent à respecter la législatin et la réglementatin natinale en vigueur ainsi que les bnnes pratiques liées à leurs activités. b) Le prestataire dit faire appliquer la charte d éthique. IV.3. Gestin des ressurces et des cmpétences a) Le prestataire dit emplyer un nmbre suffisant d analystes et de respnsables d équipe d analyse et éventuellement recurir à des sus-traitants pur assurer ttalement et dans tus leurs aspects les activités de répnse aux incidents de sécurité pur lesquelles il a établi des cnventins avec des cmmanditaires. Le prestataire dit s assurer, pur chaque prestatin, que les analystes désignés dispsent des qualités et des cmpétences requises. Chaque analyste dit dispser d une attestatin individuelle de cmpétence 4 pur les activités qu il réalise. b) Le prestataire dit s assurer du maintien à jur des cmpétences des analystes dans les activités pur lesquelles ils nt btenu une attestatin individuelle de cmpétence 6. Pur cela, le prestataire dit dispser d un prcessus de frmatin cntinue et permettre à ses analystes d assurer une veille technlgique. c) Le prestataire dit, en matière de recrutement, prcéder à une vérificatin des frmatins, cmpétences et références prfessinnelles des analystes candidats et de la véracité de leur curriculum vitae. d) Le prestataire est respnsable des méthdes, utils (lgiciels u matériels) et techniques utilisés par ses analystes et de leur bnne utilisatin (précautins d usage, maîtrise de la cnfiguratin, etc.) pur la réalisatin de la prestatin. Pur cela, le prestataire dit assurer une veille technlgique sur leur mise à jur et leur pertinence (efficacité et cnfiance). e) Le prestataire dit dispser des licences valides des utils (lgiciels u matériels) utilisés pur la réalisatin de la prestatin. f) Le prestataire dit dispser d une base d indicateurs de cmprmissin régulièrement mise à jur et intégrant les indicateurs de cmprmissin : - issus des prestatins réalisées ; - issus de sa veille technique sur les vulnérabilités et les cdes malveillants ; Vir [PROCESS_QUALIF] /10/2015 PUBLIC 12/45

13 - transmis par des partenaires. g) Le prestataire dit mettre en place les mesures permettant d assurer la cnfidentialité des indicateurs de cmprmissin en fnctin de leur niveau de sensibilité u de classificatin et respecter les cnditins d utilisatin assciées. h) Le prestataire dit mettre en place un prcessus de sensibilisatin des analystes à la législatin en vigueur sur le territire français applicable à leurs missins. i) Le prestataire dit s assurer que les analystes ne fnt pas l bjet d une inscriptin au bulletin n 3 du casier judiciaire. j) Le prestataire dit élabrer un prcessus disciplinaire à l intentin des analystes ayant enfreint les règles de sécurité u la charte d éthique. IV.4. Prtectin de l infrmatin a) Le prestataire dit prtéger au minimum au niveau Diffusin restreinte [IGI_1300] [II_901] les infrmatins sensibles relatives à la prestatin, et ntamment les dcuments transmis par le cmmanditaire et la victime, les infrmatins cllectées, les indicateurs de cmprmissin, les cnstats, les mains curantes, les différents registres, la feuille de rute et les rapprts d analyse. b) Le prestataire dit respecter les règles établies par l ANSSI et relatives aux mesures de prtectin des systèmes d'infrmatin traitant d'infrmatins sensibles nn classifiées de défense de niveau Diffusin Restreinte. c) Le prestataire dit hmlguer sn système d infrmatin au niveau Diffusin Restreinte. d) Il est recmmandé que le prestataire utilise la démarche décrite dans le guide [HOMOLOGATION] pur hmlguer sn système d infrmatin. e) Le prestataire dit appliquer le guide d hygiène infrmatique de l ANSSI [HYGIENE] sur le système d infrmatin utilisé par le prestataire dans le cadre de ses prestatins de répnse aux incidents de sécurité. f) Le prestataire dit mettre en œuvre des mesures de prtectin spécifiques dans le cadre de la manipulatin et du stckage des cdes malveillants. Le prestataire dit assurer au minimum un clisnnement lgique strict et une jurnalisatin des évènements réseau. Il est recmmandé de mettre en œuvre un clisnnement physique /10/2015 PUBLIC 13/45

14 V. Exigences relatives aux analystes V.1. Aptitudes générales a) Le respnsable d équipe d analyse dit psséder les qualités persnnelles identifiées au chapitre de la nrme [ISO19011]. b) L analyste dit psséder les qualités persnnelles identifiées au chapitre de la nrme [ISO19011]. c) Le respnsable d équipe d analyse dit maîtriser la législatin en vigueur sur le territire français et applicable à ses missins ainsi qu à celles des analystes. d) L analyste système, l analyste réseau et l analyste de cdes malveillants divent être sensibilisés à la législatin en vigueur sur le territire français et applicable à leurs missins. e) L analyste dit dispser de qualités rédactinnelles et de synthèse et savir s exprimer à l ral de façn claire et cmpréhensible, en langue française. f) L analyste dit régulièrement mettre à jur ses cmpétences cnfrmément aux prcessus de frmatin et de veille du prestataire (vir chapitre IV.3, paragraphe b)), par une veille active sur la méthdlgie, les techniques et les utils utilisés dans le cadre de ses missins. V.2. Il est recmmandé que l analyste participe à l évlutin de l état de l art par une participatin à des évènements prfessinnels de sn dmaine de cmpétence, à des travaux de recherche u la publicatin d articles. Expérience a) L analyste dit avir reçu une frmatin en technlgies des systèmes d infrmatin. b) Il est recmmandé que l analyste justifie : V.3. - d au mins deux années d expérience dans le dmaine de la sécurité des systèmes d infrmatin ; - d au mins une année d expérience dans le dmaine de la répnse aux incidents de sécurité. Aptitudes et cnnaissances spécifiques aux activités de répnse aux incidents de sécurité a) L analyste dit maîtriser les bnnes pratiques en matière de gestin des incidents de sécurité décrites dans la nrme [ISO27035]. b) L analyste dit maîtriser les bnnes pratiques et la méthdlgie de cllecte et de préservatin des preuves décrites dans la nrme [ISO27037]. c) L analyste dit réaliser la prestatin cnfrmément aux exigences du chapitre VI. d) L analyste dit assurer les missins seln sn prfil, telles que définies dans l Annexe 2. e) L analyste dit dispser des cmpétences requises par sn prfil, telles que définies dans l Annexe 2. f) Il est recmmandé que l analyste sit sensibilisé à l ensemble des autres activités pur lesquelles le prestataire demande la qualificatin. V.4. Engagements a) L analyste dit avir un cntrat avec le prestataire. b) L analyste dit avir signé la charte d éthique élabrée par le prestataire (vir chapitre n)) /10/2015 PUBLIC 14/45

15 VI. Exigences relatives au dérulement d une prestatin de répnse aux incidents Les exigences relatives au dérulement d une prestatin de répnse aux incidents de sécurité snt réparties seln les étapes suivantes : - étape 1 : qualificatin préalable d aptitude à la réalisatin de la prestatin ; - étape 2 : établissement d une cnventin ; - étape 3 : cmpréhensin de l incident de sécurité et de l envirnnement ; - étape 4 : élabratin d une psture initiale ; - étape 5 : préparatin de la prestatin ; - étape 6 : exécutin de la prestatin ; - étape 7 : restitutins ; - étape 8 : élabratin du rapprt d analyse ; - étape 9 : clôture de la prestatin. VI.1. Étape 1 - Qualificatin préalable d aptitude à la réalisatin de la prestatin La qualificatin préalable d aptitude à la réalisatin de la prestatin cnsiste pur le prestataire à évaluer s il est en mesure de réaliser la prestatin. a) Le prestataire dit signer un accrd de nn-divulgatin avec la victime afin d assurer la cnfidentialité des infrmatins que cette dernière lui transmet. Cet accrd dit être signé par un représentant légal de la victime et du prestataire. b) Le respnsable d équipe d analyse dit sensibiliser la victime sur l intérêt d utiliser des myens de cmmunicatin sécurisés et dédiés avec le prestataire, dans tus les cas décnnectés du système d infrmatin cmprmis, afin de ne pas permettre à l attaquant de suivre les pératins en curs (vir Annexe 3 III, paragraphe l). c) Le prestataire dit demander à la victime de lui furnir les infrmatins de cntexte sur l incident de sécurité et ntamment celles identifiées dans l Annexe 4. d) Le prestataire dit, sur la seule base des infrmatins transmises par la victime 5, évaluer de manière impartiale s il est en mesure de réaliser la prestatin en prenant en cmpte ntamment les facteurs suivants : cmplexité du système d infrmatin, cmplexité de l incident de sécurité, périmètre de la cmprmissin, types d activités à réaliser, nmbre d analystes à engager, dispnibilité des ressurces en interne, etc. e) Le prestataire dit infrmer la victime des résultats de la qualificatin préalable d aptitude à la réalisatin de la prestatin. Il dit ntamment indiquer sa capacité à répndre ttalement, partiellement u nn à la prestatin. Le cas échéant, il dit indiquer les activités envisagées et les ressurces assciées (nmbre d intervenants et durée de la prestatin). 5 Durant la phase de qualificatin préalable d aptitude à la réalisatin de la prestatin, le prestataire n intervient pas sur le système d infrmatin de la victime /10/2015 PUBLIC 15/45

16 VI.2. Étape 2 - Établissement d une cnventin a) Le prestataire dit établir une cnventin de service avec le cmmanditaire avant l exécutin de la prestatin. b) La cnventin dit être signée par un représentant légal du cmmanditaire et du prestataire. VI.2.1. Mdalités de la prestatin La cnventin de service dit : a) décrire le périmètre initial de la prestatin, la démarche générale de répnse aux incidents de sécurité, les activités et les mdalités de la prestatin (bjectifs, jalns, livrables attendus en entrée, prérequis, etc.) ; b) définir les livrables attendus en srtie, les réunins d uverture et de clôture, les publics destinataires, leur niveau de sensibilité u de classificatin et les mdalités assciées ; c) décrire les myens techniques (matériel et utils) et rganisatinnels mis en œuvre par le prestataire dans le cadre de sa prestatin ; d) décrire les méthdes de cmmunicatin qui sernt emplyés lrs de la prestatin entre le prestataire, le cmmanditaire et la victime ; e) préciser les myens lgistiques devant être mis à dispsitin du prestataire par le cmmanditaire et la victime (myens matériels, humains, techniques, etc.) ; f) définir les règles de titularité des éléments prtégés par la prpriété intellectuelle tels que les utils dévelppés spécifiquement par le prestataire dans le cadre de la prestatin, les indicateurs de cmprmissin u le rapprt d analyse ; g) préciser les actins qui ne peuvent être menées sur le système d infrmatin u sur les infrmatins cllectées sans autrisatin expresse du cmmanditaire et éventuellement accrd u présence du cmmanditaire, ainsi que les mdalités assciées (mise en œuvre, persnnes présentes, durée, plage hraire, exécutant, descriptin des dnnées sensibles et des actins autrisées, etc.) ; h) décrire le prcessus d enregistrement et de traitement des plaintes par le cmmanditaire, la victime u les tiers, ainsi que la marche à suivre pur le dépôt de plainte ; i) définir les myens assurant la traçabilité entre la victime et le prestataire des infrmatins et supprts matériels remis pur analyse. VI.2.2. Organisatin La cnventin de service dit : a) préciser le nm du crrespndant répnse à incident (CRI) en charge, chez le cmmanditaire, de mettre en relatin le prestataire avec les différents crrespndants impliqués ; b) préciser les nms, rôles, respnsabilités ainsi que les drits et besins d en cnnaître des persnnes désignées par le prestataire, le cmmanditaire et la victime. Cette exigence est d autant plus imprtante si l existence de l incident de sécurité ne dit pas être divulguée ; c) stipuler que le prestataire dit, le cas échéant, cllabrer avec des prestataires tiers qui travaillent pur le cmpte de la victime et qui aurnt été spécifiquement désignés par le cmmanditaire et distinguer clairement les respnsabilités du prestataire tiers. Cette exigence dit ntamment permettre au prestataire de cllabrer avec un prestataire de détectin d incidents de sécurité ; d) stipuler que le prestataire ne fait pas intervenir d analystes n ayant pas de relatin cntractuelle avec lui, n'ayant pas signé sa charte d éthique u ayant fait l bjet d une inscriptin au bulletin n 3 du casier judiciaire /10/2015 PUBLIC 16/45

17 VI.2.3. Respnsabilités La cnventin de service dit : a) stipuler que le prestataire ne réalisera la prestatin qu après une apprbatin frmelle et écrite du cmmanditaire ; b) stipuler que le prestataire infrme le cmmanditaire en cas de manquement à la cnventin ; c) stipuler que le prestataire s engage à ce que les actins réalisées dans le cadre de la prestatin restent strictement en adéquatin avec les bjectifs de la prestatin ; d) stipuler que le cmmanditaire dispse de l ensemble des drits de prpriété et d accès sur le périmètre de la prestatin (systèmes d infrmatin, supprts matériels, etc.) u qu il a recueilli l accrd des éventuels tiers, et ntamment de ses prestataires u partenaires, dnt les systèmes d infrmatin entrent dans le périmètre de la prestatin ; e) stipuler que le cmmanditaire et le prestataire remplissent tutes les bligatins légales et réglementaires nécessaires à la cllecte et à l analyse d infrmatins ; f) stipuler que le cmmanditaire autrise prvisirement le prestataire, aux seules fins de réaliser la prestatin, d accéder et de se maintenir dans tut u partie du périmètre et d effectuer des traitements sur les dnnées hébergées, quelle que sit la nature de ces dnnées ; g) stipuler que le cmmanditaire autrise prvisirement le prestataire à reprduire, cllecter et analyser, aux seules fins de réaliser la prestatin, des dnnées appartenant au périmètre du système d infrmatin cible; h) définir les respnsabilités et les précautins d usage à respecter par l ensemble des parties cncernant les risques ptentiels liés à la prestatin, en matière de cnfidentialité des infrmatins cllectées et analysées ainsi qu en matière de dispnibilité et d intégrité du système d infrmatin ciblé ; i) stipuler que le prestataire dispse d une assurance prfessinnelle cuvrant les éventuels dmmages causés lrs de la réalisatin des activités d analyse et, le cas échéant, préciser la cuverture de celle-ci et inclure l attestatin d assurance. VI.2.4. Cnfidentialité La cnventin de service dit : a) stipuler que le prestataire ne cllecte et n analyse que les infrmatins strictement nécessaires au bn dérulement de la prestatin ; b) stipuler les mdalités de divulgatin à un tiers d infrmatins annymisées et décntextualisées relatives à la prestatin (infrmatins et supprts matériels cllectés, livrables, etc.) : - le cmmanditaire dit autriser frmellement et par écrit la divulgatin ; - le centre guvernemental de veille, d alerte et de répnse aux attaques infrmatiques 6 (CERT-FR) dit également autriser frmellement et par écrit la divulgatin. Sans répnse de ce dernier et après un délai de 10 jurs uvrés, le prestataire dispsant de l autrisatin du cmmanditaire peut prcéder à la divulgatin ; - les infrmatins divulguées à un tiers divent être prtégées en cnfidentialité ; - tute actin de divulgatin dit être accmpagnée d une infrmatin au centre guvernemental de veille, d alerte et de répnse aux attaques infrmatiques (CERT-FR). c) préciser les mdalités d accès, de stckage, de transprt, de reprductin, de destructin et de restitutin des infrmatins et supprts matériels cllectés et analysés par le prestataire. Si besin, le /10/2015 PUBLIC 17/45

18 prestataire dit définir, en cllabratin avec le cmmanditaire, les mdalités seln les types d infrmatins u de supprts matériels ; d) stipuler que le prestataire puisse, sauf refus frmel et écrit du cmmanditaire, cnserver certains types d infrmatins liées à la prestatin une fis celle-ci terminée. Le prestataire devra identifier ces types d infrmatins dans la cnventin (ex : cdes malveillants, scénaris d attaque, indicateurs de cmprmissin, etc.) ; e) stipuler que le prestataire annymise et décntextualise (suppressin de tute infrmatin permettant d identifier le cmmanditaire, de tute infrmatin à caractère persnnel, etc.) l ensemble des infrmatins que le cmmanditaire l autrise à cnserver ; f) stipuler que le prestataire détruit l ensemble des infrmatins relatives au cmmanditaire à l issue de la prestatin à l exceptin de celles pur lesquelles il a reçu une autrisatin de cnservatin de la part du cmmanditaire ; g) stipuler que le prestataire, sauf refus frmel et écrit du cmmanditaire, transmet au centre guvernemental de veille, d alerte et de répnse aux attaques infrmatiques (CERT-FR) ces éléments annymisés et décntextualisés, ainsi que leur niveau de sensibilité u de classificatin et leurs cnditins d utilisatin. VI.2.5. Lis et réglementatins La cnventin de service dit : a) être rédigée en français. Le prestataire dit furnir une traductin de curtisie de la cnventin de service si le cmmanditaire en fait la demande ; b) stipuler que seule la versin française fait fi, ntamment dans le cadre d un litige ; c) stipuler que la législatin applicable à la cnventin de service est la législatin française ; d) préciser les myens techniques et rganisatinnels mis en œuvre par le prestataire pur le respect de la législatin française applicable ntamment ceux cncernant : - les dnnées à caractère persnnel [LOI_IL], - l abus de cnfiance [CP_ART_314-1], - le secret des crrespndances privées [CP_ART_226-15], - le secret médical [CSP_ART_L1110-4], - l atteinte à la vie privée [CP_ART_226-1], - l accès u le maintien frauduleux à un système d infrmatin [CP_ART_323-1], - le secret prfessinnel [CP_ART_226-13], le cas échéant sans préjudice de l applicatin de l article 40 alinéa 2 du Cde de prcédure pénale relatif au signalement à une autrité judiciaire ; e) préciser les éventuelles exigences légales et réglementaires spécifiques auxquelles est sumis le cmmanditaire et ntamment celles liées à sn secteur d activité ; f) prévir les exigences à respecter par le prestataire dans le cadre d une affaire judiciaire, civile u arbitrale ; g) définir la durée de cnservatin des infrmatins liées à la prestatin et ntamment les évènements cllectés et les incidents de sécurité détectés. Si besin, une distinctin de la durée de cnservatin peut être faite en fnctin des types d infrmatin. La durée minimale de cnservatin est de six mis sus réserve de la législatin et de la réglementatin française en vigueur /10/2015 PUBLIC 18/45

19 VI.2.6. Sus-traitance a) La cnventin dit préciser que le prestataire peut sus-traiter une partie des activités à un autre prestataire qualifié sur ces activités cnfrmément aux exigences du référentiel qui lui snt applicables sus réserve que : - il existe une cnventin u un cadre cntractuel dcumenté entre le prestataire et le sus-traitant ; - le recurs à la sus-traitance est cnnu et frmellement accepté par écrit par le cmmanditaire. VI.2.7. Livrables a) La cnventin dit préciser que tus les livrables de la prestatin snt furnis en langue française sauf si le cmmanditaire en fait la demande frmelle et écrite. VI.2.8. Qualificatin La cnventin de service dit : a) indiquer que la prestatin réalisée est - une prestatin qualifiée et inclure l attestatin de qualificatin 10 du prestataire et des éventuels sus-traitants ; - une prestatin nn qualifiée. Dans ce cas, le prestataire dit sensibiliser le cmmanditaire aux risques de ne pas exiger une prestatin qualifiée. b) indiquer que les analystes dispsent d une attestatin individuelle de cmpétence 10 pur les activités d analyse et inclure ces attestatins. VI.3. Étape 3 Cmpréhensin de l incident de sécurité et de l envirnnement L élabratin de la psture nécessite au préalable une phase de cmpréhensin de l incident de sécurité et de l envirnnement et des risques assciés. a) Le prestataire peut, dans certains cas d urgence et avec l accrd du cmmanditaire, réaliser les phases de cmpréhensin de l incident de sécurité et de sn envirnnement en l absence de cnventin, sur la base d un accrd de nn-divulgatin signé par le prestataire et le cmmanditaire et à la cnditin que le prestataire n intervienne pas sur le système d infrmatin de la victime. VI.3.1. Cmpréhensin de l incident de sécurité a) Les prérequis furnis et les échanges avec la victime divent permettre de réaliser une première cmpréhensin de l incident de sécurité afin d apprécier le caractère malveillant des éléments remntés par le cmmanditaire (vir chapitre VI.6.1). Si le caractère malveillant n est pas avéré, les étapes suivantes peuvent être remises en questin. VI.3.2. Cmpréhensin de l envirnnement a) Le prestataire dit adpter une visin glbale du système d infrmatin cncerné. Il dit ainsi demander à la victime des cmpléments d infrmatins techniques par rapprt à ceux déjà transmis en phase de qualificatin préalable d aptitude à la réalisatin de la prestatin (vir chapitre VI.1 et Annexe 4). b) Le prestataire dit définir et mettre en œuvre une démarche de cmpréhensin du système d infrmatin cmprmis pur mettre en évidence les éventuels écarts entre la cartgraphie furnie par la victime et l architecture réellement mise en place. c) Le prestataire dit identifier les cntraintes gégraphiques assciées au système d infrmatin (ex. : réseau lcal, multi-sites, internatinal, etc.) /10/2015 PUBLIC 19/45

20 d) Le prestataire dit demander à la victime de l infrmer des spécificités et des cntraintes du système d infrmatin ; e) Le prestataire dit identifier le(s) fuseau(x) hraire(s) utilisé(s) dans le système d infrmatin de la victime et chisir le fuseau hraire de référence qui sera utilisé tut au lng de la prestatin ; f) Le prestataire dit s assurer que le cmmanditaire a identifié crrectement tutes les dépendances et intercnnexins du système d infrmatin (partenaires, sus-traitants, etc.). VI.4. Étape 4 Élabratin de la psture initiale a) Le prestataire dit prpser au cmmanditaire une psture initiale identifiant ntamment : - le niveau de discrétin à adpter par le prestataire vis-à-vis de l attaquant : élevé : le prestataire réalise ses activités sans pssibilité de détectin infrmatique par l attaquant (cpie de disques sur systèmes éteints, cllecte d infrmatins sur des équipements inaccessibles par l attaquant, etc.). Les activités réalisées par le prestataire n entravent pas les pératins de l attaquant, ses myens et ses canaux de cmmunicatin ne snt pas mdifiés u supprimés, myen : le prestataire réalise ses activités avec une faible prbabilité de détectin infrmatique (cllecte d infrmatins cnfndues avec l activité nrmale d un administrateur, etc.). Les activités du prestataire entravent partiellement u ttalement les pératins de l attaquant, mais n apparaissent pas nécessairement dirigées cntre lui, ses myens et canaux de cmmunicatin snt restreints (limitatin de la bande passante, durcissement de la cnfiguratin, extinctin de pstes cmprmis, etc.), faible : le prestataire réalise ses activités sans se préccuper de la présence de l attaquant. Les activités du prestataire entravent partiellement u ttalement les pératins de l attaquant et ne lui laissent aucun dute quant à la détectin de sa présence. Les canaux de cmmunicatin et myens de l attaquant snt blqués u supprimés ; En cas de présence de l attaquant sur le système, si aucun myen ne permet de remédier rapidement et durablement à la cmprmissin, il est recmmandé que le prestataire adpte une démarche la plus discrète pssible vis-à-vis de l attaquant afin d éviter d éveiller ses supçns et de l amener à changer sn mde pératire au prfit d un mde plus furtif ; - la démarche générale de répnse à incident et ses grandes étapes, en cnsidératin des spécificités et cntraintes du système d infrmatin et de l incident ; - les activités à réaliser, les infrmatins à cllecter, le nmbre d analystes à engager et le calendrier asscié 7. b) Le prestataire dit établir sa psture en fnctin de sa cmpréhensin de l incident de sécurité et de l envirnnement. c) Le respnsable d équipe d analyse dit définir et tenir à jur une feuille de rute recensant l intégralité des activités envisagées, en précisant les jalns assciés. d) Le prestataire dit sumettre pur accrd la psture initiale à la victime. La décisin finale et la respnsabilité de la psture initiale appartiennent à la victime. 7 Ces éléments définis dans la cnventin peuvent être revus lrs de l élabratin de la psture initiale et au curs de la prestatin /10/2015 PUBLIC 20/45

21 VI.5. Étape 5 - Préparatin de la prestatin VI.5.1. Mise en place de l rganisatin a) Le prestataire dit désigner un respnsable d équipe d analyse afin de crdnner et suivre la prestatin. Il est l interlcuteur privilégié du cmmanditaire et de la victime et dit être désigné dans la cnventin. b) Le respnsable d équipe d analyse dit, dès le début de la préparatin de l'audit, établir un cntact avec le CRI. Ce cntact, frmel u infrmel, a ntamment pur bjectif de mettre en place les circuits de cmmunicatin et de décisin à respecter avec le cmmanditaire (vir Annexe 3, paragraphe d) et de préciser les mdalités d exécutin de la prestatin. Le respnsable d équipe d analyse dit également btenir du CRI la liste des pints de cntact nécessaires à la réalisatin de la prestatin. c) Le respnsable d équipe d analyse dit sensibiliser la victime sur l intérêt de mettre en place, si elle n existe pas, une structure prjet afin d assurer le suivi de la prestatin et d arbitrer les décisins (vir Annexe 3, paragraphe d). Cette structure peut être rattachée à une cellule de crise déjà existante. d) Le respnsable d équipe d analyse dit réaliser des pints de synchrnisatin réguliers, de niveaux techniques u stratégiques seln le besin, avec le cmmanditaire et la victime. e) Le respnsable d équipe d analyse dit sensibiliser la victime sur l intérêt d élabrer un plan de cmmunicatin relatif à l incident de sécurité (vir Annexe 3, paragraphe f). f) Le respnsable d équipe d analyse dit sensibiliser la victime sur l intérêt de l infrmer tut au lng de la prestatin des actins qu elle réalise sur le système d infrmatin et qui purraient affecter la prestatin, en explicitant les risques assciés (vir Annexe 3, paragraphe i). VI.5.2. Mise en place des myens pératinnels VI Gestin des ressurces a) Le respnsable d équipe d analyse dit cnstituer une équipe d analystes dispsant des cmpétences nécessaires à la réalisatin des activités définies dans la psture. b) Le respnsable d équipe d analyse dit s assurer que les analystes dispsent d une attestatin individuelle de cmpétence 8 pur les activités qu ils mènent. Il peut, s il dispse des cmpétences suffisantes et d une attestatin individuelle 12 de cmpétence, réaliser la prestatin de répnse aux incidents de sécurité lui-même et seul. Un analyste peut intervenir sur plusieurs types d analyses s il dispse des attestatins individuelles de cmpétences assciées. Il peut également faire appel à de la sus-traitance dans les cnditins définies dans la cnventin. c) Le respnsable d équipe d analyse dit cnstituer une équipe d analystes dnt le nmbre et les cmpétences snt adaptés à la psture. d) Le respnsable d équipe d analyse dit réévaluer régulièrement le prfil et le nmbre des analystes afin de s assurer que l engagement reste adapté à la prestatin, la cmplexité de l incident puvant s avérer en curs de prestatin plus élevée que prévue dans la psture initiale (vir chapitre VI.6.2). e) Le prestataire dit demander à la victime de lui furnir les privilèges nécessaires et suffisants pur réaliser les pératins de cllecte, en respectant la plitique de gestin des drits de la victime. Les cmptes divent être dédiés et démarqués. Le prestataire dit s assurer que l activité de ce cmpte est strictement cnfrme à celle attendue. 8 Vir [PROCESS_QUALIF] /10/2015 PUBLIC 21/45