ISMS (Information Security Management System) Directive de la remontée d'incident de sécurité Version control please always check if you are using the latest version. Doc. Ref. :isms.051.security incident escalation directive.fr.v.1.0 Release Status Date Written by Edited by Approved by FR_1.0 Final 01/06/2014 Alain Houbaille Remarque : Ce document intègre les remarques formulées par un groupe de travail auquel ont participé les personnes suivantes : messieurs Bochart (BCSS), Costrop (Smals), Lévêque (ONVA), Houbaille (BCSS), Petit (FMP), Perot (ONSS), Quewet (SPF Santé publique), Symons (ONEm), Van Cutsem (ONSS-APL), Van der Goten (INAMI).
TABLE DES MATIÈRES 1. INTRODUCTION... 3 2. SCOPE... 3 3. GROUPE CIBLE... 3 4. POLITIQUE DE LA GESTION D INCIDENT DE SÉCURITÉ... 3 4.1. OBJECTIFS... 3 4.2. QU EST-CE QU UN INCIDENT DE SÉCURITÉ?... 3 4.3. CRITÈRES DE DÉCISION... 4 4.3.1. Définitions des critères de remontées d incident... 4 4.3.2. Tableaux de priorisation... 5 4.4. CLASSIFICATION DES INCIDENTS DE SÉCURITÉ... 5 5. PROPRIÉTAIRE DU DOCUMENT... 8 6. RÉFÉRENCES... 8 7. ANNEXE A: LIEN AVEC LA NORME ISO 27002... 8 P 2
1. Introduction Ce document fait partie des politiques de sécurité de la sécurité sociale et interagit avec plusieurs autres politiques et procédures dont elle fait partie intégrante. Ce document concerne les exigences de la norme minimale section 13 à propos de la gestion des incidents de sécurité de l'information. Le présent document décrit la classification des incidents de sécurité, telle qu'elle est utilisée par les institutions de la sécurité sociale. Cette classification est utilisée dans le processus de gestion des incidents de sécurité et fournit des directives claires relatives à la remontée d incident au sein de la sécurité sociale. 2. Scope La présente politique contient les directives relatives à la remontée d incidents de sécurité au sein de la sécurité sociale sur base d une classification. 3. Groupe cible Cette politique est d application pour toutes les institutions de la sécurité sociale. 4. Politique de la gestion d incident de sécurité 4.1. Objectifs La politique de remontée des incidents de sécurité vise à: Classifier les incidents de sécurité de l information, Garantir la notification des événements et des failles liés à la sécurité de l information aux parties prenantes. 4.2. Qu est-ce qu un incident de sécurité? Tout évènement avéré, indésirable et/ou inattendu, impactant ou présentant une probabilité d impacter de manière significative la sécurité de l information dans ses critères de disponibilité, d intégrité, de confidentialité et de non-répudiation. P 3
4.3. Critères de décision Les tableaux ci-dessous définissent les critères de décision permettant d établir le niveau de priorité de remontée d action pour chaque scénario d incident de sécurité listé dans la section 4.4. 4.3.1. Définitions des critères de remontées d incident Valeur 1 Priorité - Gravité d incident Action de remontée de sécurité d incident 3 Le conseiller en sécurité de l institution doit être informé au moins au travers un rapportage périodique (ex : statistique). 2 Le conseiller en sécurité de l institution est informé dans la journée et celui-ci s assure que l incident de sécurité est traité dans les meilleurs délais. 1 Le conseiller en sécurité est informé dans les plus brefs délais. Le conseiller en sécurité s assure que le service de sécurité de la banque carrefour et le responsable de l extranet aient été avertis et que les actions urgentes ont été prises (incident majeur selon la norme «Gestion d incidents relatifs à la sécurité de l information»). Niveau 2 Urgence = Etendue de la propagation de l incident ou des conséquences L M H Niveau Incident de sécurité isolé Incident de sécurité pouvant se propager rapidement à l institution Incident de sécurité dont les conséquences peuvent se propager rapidement à d autres institutions de la sécurité sociale Impact Potentiel L Impact mineur au niveau opérationnel (dégradation des ressources SI), peu d utilisateurs affectés, Aucune atteinte à l image de l institution. M Impact modéré au niveau opérationnel (dégradation effective des ressources du SI, risque d altération ou de perte d information), population modérée d utilisateurs affectés, risque potentiel d atteinte à l image de l institution H Impact majeur au niveau opérationnel (altération des ressources du SI, perte de confidentialité,..), population importante d utilisateurs impactés, atteinte sévère à l image de l institution. 1 Priorité 3= basse ; Priorité 1= haute 2 L= low M= Medium H=High P 4
4.3.2. Tableaux de priorisation Impact\Urgence L M H L 3 3 2 M 3 2 1 H 2 1 1 4.4. Classification des incidents de sécurité Classes d incidents Types d incidents Description /Exemples Impact Urgence P Collecte Scanning Attaques qui consistent à envoyer des requêtes L M 3 d informations à un système pour découvrir ses failles. Ceci inclut également tout type de processus de test pour collecter des informations sur les hôtes, les services et les comptes. Exemple : fingerd, requête DNS, ICMP, SMTP (EXPN, RCPT, ) Sniffing Observer et enregistrer le trafic réseau (Ecoute) Social Ingeneering Collecte d informations sur un être humain sans H L 2 utiliser de moyens techniques (ex : mensonges, menaces, ) Phishing au nom de La technique consiste à faire croire à la victime H M 1 l institution qu'elle s'adresse à un tiers de confiance dans le but de perpétrer une usurpation d'identité. Tentatives Exploiter des Une tentative pour compromettre un système ou L L 3 d intrusion Vulnérabilités connues interrompre tout service en exploitant les vulnérabilités avec des identifiants standardisés comme un nom CVE (ex : Buffer overflow, Portes dérobées, cross side scripting,etc). Tentatives de Tentatives de connexion multiples (vol ou crack de L M 3 connexion mots de passe, force brute). Signature d une Détection d un comportement anormal, spam avec nouvelle attaque contenu malvaillant non détécté par les mesures potentielle de sécurité Intrusions Compromission d un Une compromission réussie d un système ou compte privilégié 3 d une application (service). Ceci peut être causé à 3 Compte privilégié = Compte Administrateur d un système P 5
Classes d incidents Types d incidents Description /Exemples Impact Urgence P Code malicieux Compromission d un compte non privilégié Compromission d une application sans répercussion externe Compromission d une application avec répercussion externe Virus, Spyware, ver, Cheval de Troie, Dialler distance par une nouvelle vulnérabilité ou une vulnérabilité inconnue, mais aussi par un accès local non autorisé. Logiciel intentionnellement introduit dans un système pour un but nocif. L interaction d un H M 1 utilisateur est normalement nécessaire pour activer ce code. Constat d une infection réussie. Disponibilité DDOS ou DOS réussie Sabotage Dans ce type d attaque, un système est bombardé avec une grande quantité de paquets que les processus deviennent lents ou que le système crache. Exemple d un Dos distant : SYS-a, PINGflooding ou des bombes E-mails ( DDOS : TFN, Trinity,etc). M H H M 1 1 Toutefois, la disponibilité peut aussi être affectée par des actions locales (ex : destruction,interruption d alimentation électrique, etc). Panne Hardware Panne hardware qui risque de fortement impacter la continuité opérationnelle de l institution Panne Hardware Panne hardware qui risque de fortement impacter la H M 1 avec répercussion continuité opérationnelle de la sécurité sociale externe Mauvaise utilisation Accès non autorisé Un utilisateur a accès au système pour lequel il n'a des systèmes intentionnel ou non pas été officiellement autorisé ; accès inapproprié en d information, erreur un système de production ; détection d une brèche système de sécurité Affaiblissement des Un utilisateur a involontairement abaissé la sécurité mesures de sécurité d'un système de l institution. des systèmes d information Mauvais Système peu performant dû à un manque d espace L L 3 fonctionnement disque, délais de réponse important, système P 6
Classes d incidents Types d incidents Description /Exemples Impact Urgence P Activité illicite, Usage non autorisé L utilisation des ressources à des buts non H L 2 Fraude,Vol des autorisés, incluant des activités à but lucratif (ex. ressources l usage de système interne pour participer à des actions illégales, envoi vers des sites externes de données internes sensibles.) Droit d auteur Vendre ou installer illégalement des logiciels (Copyright) commerciaux ou autres matériels sous droit d auteur (ex : warez); problème de suivi des licenses Mascarade Type d attaques dans lequel, une entité assume H L 2 illégitimement l identité d un autre dans le but de bénéficier de lui. Vol ou perte de Vol ou perte d un pc portable dans le train, M L 3 dispositif mobile carjacking ou cambriolage dans la maison Cambriolage d institution Cambriolage au sein d une institution.. H L 2 Contenu Abusif Spam Une ou plusieurs adresses e-mail de l institution est trop spammée ou harcelée. M L 3 Atteinte à l image Publication ou diffusion de données diffamatoires ou gènantes envers l institution (blog de discussion, réseaux sociaux,.). Autre Tout incident qui ne Si le nombre d incidents dans cette catégorie croît, H H 1 fait pas partie des ceci indique que le schéma de classification doit catégories citées ci- être revisé. dessus. P 7
5. Propriétaire du document Le maintien, le suivi et la révision de la présente politique relèvent de la responsabilité du service Sécurité de l'information de la BCSS. 6. Références Les références utilisées sont: - les normes minimales 2014 de la BCSS - ENISA : Guide de bonne pratique pour la gestion d incident de sécurité - Les standards : o la norme ISO 27002:2013: code de bonnes pratiques pour la gestion de la sécurité de l information o la norme ISO 27035:2001: Gestion des incidents de sécurité 7. Annexe A: Lien avec la norme ISO 27002 Ci-après nous indiquons les principales clauses de la norme ISO 27002 qui ont, de manières standard, un rapport avec l objet de la présente politique. norme ISO 27002 Politique de sécurité Organisation de la sécurité de l information Gestion des ressources d entreprise Exigences de sécurité relatives au personnel Sécurité physique Sécurité opérationnelle Sécurité d'accès logique Maintenance et développement de systèmes d information Maîtrise des incidents de sécurité Protection de l'information dans le cadre de la continuité de l'entreprise Respect/audit Oui Oui Oui P 8