GESTION DES INCIDENTS DE SÉCURITÉ DE L INFORMATION

Documents pareils
ANSSI PROCEDURES DE REPORTING DES INCIDENTS AVEC LE CIRT RÔLES DES PARTIES PRENANTES 15/02/2014. SEMINAIRE DE Joly Hôtel

Rôle des FAI et des Datacenters dans les dispositifs de cyber-sécurité Ou comment tenter de rendre l Internet plus sûr.

Gestion des mises à jour logicielles

Présenté par : Mlle A.DIB

La sécurité des systèmes d information

COMMENT PROTÉGER LE FLUX SORTANT?

Dr.Web Les Fonctionnalités

Sécurité des réseaux Les attaques

Gestion des incidents de sécurité. Une approche MSSP

Connaître les Menaces d Insécurité du Système d Information

Les menaces sur internet, comment les reconnait-on? Sommaire

Internet sans risque surfez tranquillement

La sécurité périmètrique multi-niveaux. Un white paper de Daniel Fages CTO ARKOON Network Security

Gestion des incidents

ISEC. Codes malveillants

le paradoxe de l Opérateur mondial

Protection pour site web Sucuri d HostPapa

Introduction aux antivirus et présentation de ClamAV

SÉCURISATION DES CONNEXIONS À DISTANCE SUR LES RÉSEAUX DE CONTRÔLE

Indicateur et tableau de bord

Le spam introduction. Sommaire

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

CONDITIONS PARTICULIERES DE LOCATION D'UN SERVEUR DEDIE. Dernière version en date du 01/07/2014

Pourquoi se protéger? Croissance exponentielle des incidents Hades Security - Hadès Sécurité

Les menaces informatiques

Jean-Pierre Lovinfosse. En finir. avec les virus. Groupe Eyrolles,2004 ISBN

Réglement intérieur. Supélec Rézo

FORMATION PROFESSIONNELLE AU HACKING

Contrat d interface pour l enregistrement et la gestion des noms de domaine qui dépendent du domaine ".ch" et ".li" conclu entre

Gestion des Incidents SSI

sécurisation des systèmes d information BE READY FOR WHAT S NEXT. Kaspersky Open Space Security

L E S M E S S A G E S S P A M & P H I S H I N G

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

Laboratoire de Haute Sécurité. Télescope réseau et sécurité des réseaux

Sécurité informatique: introduction

Symantec MessageLabs Web Security.cloud

Bee Ware. Cible de Sécurité CSPN. Validation Fonctionnelle Validation Fonctionnelle Bon pour application AMOA BEEWARE BEEWARE

SÉCURITÉ, BANQUE ET ENTREPRISES. Prévention des risques de fraudes

Vers un nouveau modèle de sécurité

CONDITIONS PARTICULIERES DE LOCATION D'UN SERVEUR DEDIE. Dernière version en date du 31/07/2013

Panorama général des normes et outils d audit. François VERGEZ AFAI

Contrat de Niveau de Service pour les Services en Ligne Microsoft

POUR MAC Guide de démarrage rapide. Cliquez ici pour télécharger la version la plus récente de ce document

Politique d'utilisation Acceptable de PTC relative aux Services Cloud

Tutoriel sur Retina Network Security Scanner

Guide de démarrage rapide

Sécurisation des paiements en lignes et méthodes alternatives de paiement

La sécurité informatique

Attaques ciblées : quelles évolutions dans la gestion de la crise?

BANQUE NEUFLIZE OBC LES BONNES PRATIQUES INTERNET ET MESSAGERIE

Lyon, mardi 10 décembre 2002! "#$%&"'"# &(

Cybercriminalité. les tendances pour 2015

AUDIT CONSEIL CERT FORMATION

E-réputation : protection des données en ligne. Ghislain NYAMFIT Consultant en

La protection des systèmes Mac et Linux : un besoin réel?

Une nouvelle approche globale de la sécurité des réseaux d entreprises

Licences en volume. 1. Définitions. 2. Protection des renseignements personnels. ID de la proposition

Virtualisation et sécurité Retours d expérience

Club des Responsables d Infrastructures et de la Production

Dans la jungle des malwares : protégez votre entreprise

S Catalogue des Formations Sécurité. Présentation. Menu. Présentation P.2 Nos formations P.3 Modalités P.9 Bulletin d inscription P.

Symantec Protection Suite Small Business Edition Une solution simple, efficace et compétitive pour les petites entreprises

Sécurité. Tendance technologique

Appliance FAST360 Technical Overview. Sécurité de la VoIP. Copyright 2008 ARKOON Network Security

Atelier Sécurité / OSSIR

Messagerie. Dominique MARANT CRI Lille 1. Octobre 2006

Sécurité informatique

Guide de démarrage rapide. Microsoft Windows 7 / Vista / XP / 2000 / 2003 / 2008

Fiche Technique. Cisco Security Agent

Les Fiches thématiques courriel. L outil informatique indispensable des professionnels

Gestion des incidents Les incidents de sécurité

Linux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch

Le petit liver vert du phishing. du phishing. Le petit livre vert. w w w. n o r m a n.c o m

Créée en 2002, la société PineApp est pionnière sur le. Le siège de la société se trouve aux États-Unis, avec des

CONDITIONS PARTICULIÈRES SERVICE CDN WEBSITE Version en date du 10/10/2013

Certificat Informatique et Internet

Qu est ce qu un ?

USERGATE MAIL SERVER. Le serveur de messagerie pour les petites et moyennes entreprises :

Coupez la ligne des courriels hameçons

Conditions d'utilisation de la plateforme NFX - NEXTER FILE EXCHANGE

Règlement sur l utilisation et la gestion des actifs informationnels

Mail-SeCure sur une plateforme VMware

Internet haute vitesse - Guide de l utilisateur. Bienvenue. haute vitesse

Internets. Informatique de l Internet: le(s) Internet(s) Composantes de l internet R3LR RENATER

PHISHING/PHARMING. Les Nouvelles Techniques qui portent atteinte à l intégrité des S.I

Rappels réseaux TCP/IP

SECURIDAY 2013 Cyber War

Version en date du 01 avril 2010

Une nouvelle approche globale de la sécurité des réseaux d entreprises

Surveillance de réseau : un élément indispensable de la sécurité informatique

L'infonuagique, les opportunités et les risques v.1

Entensys Corporation UserGate Proxy & Firewall Guide du revendeur

Malveillances Téléphoniques

VoIP : Introduction à la sécurité. VoIP : Introduction à la sécurité

Mise en place d une politique de sécurité

Critères d évaluation pour les pare-feu nouvelle génération

Gestion des cyber-risques

Transcription:

GESTION DES INCIDENTS DE SÉCURITÉ DE L INFORMATION Savadogo Yassia ARCEP/CIRT-BF savadogo.yassia[at]arcep.bf

AGENDA Introduction Définition d un incident de sécurité de l information Schéma de classification des incidents de sécurité Identification des parties prenantes Gestion des incidents de sécurité Conclusion 2

INTRODUCTION Les incidents de sécurité des systèmes d information sont de plus en plus nombreux et multiformes Dans le but de mutualiser les actions pour leur résolution, un CIRT a été mis en place au Burkina Faso La gestion des incidents de sécurité doit être une activité organisée avec des étapes définies 3

DÉFINITION D UN INCIDENT DE SÉCURITÉ

INCIDENT Définition générale Evènement causant des dommages ou susceptible de le faire à des personnes ou à des organisations 5

INCIDENT INFORMATIQUE Définition utilisée en Systèmes d information Selon COBIT Tout évènement ne faisant pas partie du fonctionnement normal d un service et qui cause, ou peut causer, une interruption ou une réduction de la qualité de ce service Selon ITIL Tout évènement ne faisant pas partie du fonctionnement standard d un service et qui cause, ou peut causer, une interruption ou une diminution de la qualité de ce service 6

INCIDENT DE SÉCURITÉ DE L INFORMATION Selon l ISO 27000 (Sécurité de l information) Un ou plusieurs évènements intéressant la sécurité de l information, indésirable(s) ou inattendu(s) présentant une probabilité forte de compromettre les opérations liées à l activité de l organisme et de menacer la sécurité de l information [ISO/IEC TR 18044:2004] 7

INCIDENT DE SÉCURITÉ DU SYSTÈME D INFORMATION Incident SSI Tout évènement potentiel ou avéré, indésirable et/ou inattendu, impactant ou présentant une probabilité forte d impacter la sécurité de l information dans ses critères de Disponibilité, d Intégrité, de Confidentialité et/ou de Preuve 8

SCHÉMA DE CLASSIFICATION DES INCIDENTS DE SÉCURITÉ

SCHÉMA DE CLASSIFICATION ADOPTÉ PAR LES CIRTS Classes d incidents Types d incidents Description/Exemples Contenu Abusif Spam pourriel ou polluriel est une communication électronique non sollicitée, en premier lieu via le courrier électronique. Il s'agit en général d'envois en grande quantité effectués à des fins publicitaires. Harcèlement Discrédits, ou discrimination contre une personne d un point de vue cyber Enfant/Sexe/Violence/ Pornographie infantile, glorification de la violence 10

SCHÉMA DE CLASSIFICATION ADOPTÉ PAR LES CIRTS Classes d incidents Types d incidents Description/Exemples Code malicieux Virus Logiciel intentionnellement introduit dans un Ver système pour un but nocif. L interaction d un Cheval de Troie utilisateur est normalement nécessaire pour Spyware activer ce code. Dialler Collecte Scanning Attaques qui consistent à envoyer des requêtes d informations à un système pour découvrir ses failles. Ceci inclut également tout type de processus de test pour collecter des informations sur les hôtes, les services et les comptes. Exemple : fingerd, requête DNS, ICMP, SMTP (EXPN, RCPT, ) Sniffing Observer et enregistrer le trafic réseau (Ecoute) Ingénierie sociale Collecte d informations sur un être humain sans utiliser de moyens techniques (ex : mensonges, menaces, ) 11

SCHÉMA DE CLASSIFICATION ADOPTÉ PAR LES CIRTS Classes d incidents Tentatives d intrusion Intrusions Types d incidents Exploiter des Vulnérabilités connues Tentatives de connexion Signature d une nouvelle attaque Compromission d un compte privilégié Compromission d un compte non privilégié Compromission d une application Description/Exemples Une tentative pour compromettre un système ou interrompre tout service en exploitant les vulnérabilités avec des identifiants standardisés comme un nom CVE (ex : Buffer overflow, Portes dérobées, cross side scripting,etc). Tentatives de connexion multiples (vol ou crack de mots de passe, force brute). Une tentative pour exploiter une vulnérabilité inconnue. Une compromission réussie d un système ou d une application (service). Ceci peut être causé à distance par une nouvelle vulnérabilité ou une vulnérabilité inconnue, mais aussi par un accès local nonauthorisé. 12

SCHÉMA DE CLASSIFICATION ADOPTÉ PAR LES CIRTS Classes d incidents Types Description/Exemples d incidents Disponibilité DoS Dans ce type d attaque, un système est bombardé DDoS avec une grande quantité de paquets que les Sabotage processus deviennent lents ou que le système crache. Exemple d un Dos distant : SYS-a, PINGflooding ou des bombes E-mails ( DDOS : TFN, Trinity, etc). Toutefois, la disponibilité peut aussi être affectée par des actions locales (ex : destruction, interruption d alimentation électrique, etc). Sécurité de Accès non En plus d un abus local des données et des systèmes, l information autorisé la sécurité de l information peut être mise en mal aux informations par un compte ou une application compromise. Modification nonaussi, les attaques qui interceptent et accèdent aux autorisée aux informations pendant leur transmission sont informations possibles (écoute, usurpation, ou hijacking). 13

SCHÉMA DE CLASSIFICATION ADOPTÉ PAR LES CIRTS Classes d incidents Types d incidents Description/Exemples Fraud Usage non autorisé des L utilisation des ressources à des buts non ressources autorisés, incluant des activités à but lucratif (ex. l usage d email pour participer dans des transactions illégales. Droit d auteur Vendre ou installer des copies de logiciels (Copyright) commerciaux illégalement ou d autres matériels sous droit d auteur (Warez). Mascarade Type d attaques dans lequel, une entité assume illégitimement l identité d un autre dans le but de bénéficier de lui. Autres Tout incident qui ne faitsi le nombre d incidents dans cette catégorie pas partie des croit, ceci indique que le schéma de catégories citées cidessus. classification doit être révisé. 14

IDENTIFICATION DES PARTIES PRENANTES

INDENTIFICATION DES PARTIES PRENANTES Pour mieux gérer les incidents, un CIRT doit identifier ses parties prenantes Les parties prenantes sont les entités dont les incidents sont traités par le CIRT On peut identifier une partie prenante par: Les plages d adresses IPv4 et IPv6 Le(s) numéro(s) de Système Autonome (AS) Les nom(s) de domaine Simple description 16

IDENTIFICATION DES PARTIES PRENANTES Types d identifications des parties prenantes recommandés Type d identification Institutions Plage d adresses IP Numéro AS Noms de domaine Simple description Gouvernement ale Financière Recherche et Enseignement FAI Intégrateur/ Constructeur Industrie 17

GESTION DES INCIDENTS DE SÉCURITÉ

GESTION DES INCIDENTS Processus de gestion et de traitement des incidents 19

WORKFLOW DE TRAITEMENT D INCIDENTS Processus de gestion et de traitement des incidents 20

PROCESSUS DE TRAITEMENT D INCIDENTS 1. Rapporter un incident Communication avec le CIRT Pour des communications ne contenant pas des informations sensibles, le CIRT utilisera des courriels non chiffrés Pour les communications sécurisées, les courriels chiffrés avec PGP ou le téléphone seront utilisés 21

PROCESSUS DE TRAITEMENT D INCIDENTS 1. Rapporter un incident Tâches de la partie prenante La partie prenante doit fournir des informations de contact Nom et organisation E-mail Numéro de téléphone L adresse IP et le type d incident (spam, scanning, Dos, etc.) doivent être précisés Si l incident concerne le scanning, joindre une partie des logs montrant le problème 22

PROCESSUS DE TRAITEMENT D INCIDENTS 1. Rapporter un incident Tâches de la partie prenante Si l incident concerne un spam ou un malware, joindre une copie entière de l entête du courriel considéré comme spam et malware Si l incident concernant l hameçonnage (phishing), joindre l URL 23

PROCESSUS DE TRAITEMENT D INCIDENTS 1. Rapporter un incident Le CIRT reçoit un incident rapporté par une de ses parties prenantes Via : Courriel (e-mail) : incidents[at]cirt.bf Formulaire web : http://www.cirt.bf/index.php/signaler-unincident/ Téléphone : 50375360 Fax : 50375364 24

PROCESSUS DE TRAITEMENT D INCIDENTS 1. Rapporter un incident Formulaire web 25

PROCESSUS DE TRAITEMENT D INCIDENTS 1. Enregistrement Un incident rapporté est automatiquement enregistré dans le système de traitement des incidents 2. Triage Dans le processus de traitement des incidents, la phase de triage consiste en étapes: Vérification Classification initiale Assignation 26

PROCESSUS DE TRAITEMENT D INCIDENTS 2. Triage 2.1. Vérification d un incident L incident rapporté est-il un vrai? L incident a-t-il été rapporté par une des parties prenantes? 2.2. Classification initiale d un incident L incident doit être classé selon le schéma de classification ci-dessous Beaucoup d informations sont nécessaires à cette étape 27

PROCESSUS DE TRAITEMENT D INCIDENTS 2. Triage 2.3. Comment prioriser les actions entre les parties prenantes Pour différencier les niveaux de services Le CIRT repartira les parties prenantes en différentes catégories en fonction des priorités Un autre facteur à prendre en compte dans la priorisation est la sévérité de l incident à traiter 28

PROCESSUS DE TRAITEMENT D INCIDENTS 2. Triage 2.3. Comment prioriser les actions entre les parties prenantes? Exemple Pour un CIRT qui en fonction de sa mission, doit protéger l administration publique et a en plus un contrat avec des institutions financières pour la fourniture de services de traitement d incidents. Dans ce cas, on doit diviser les incidents potentiels en trois groupes en fonction de leur sévérité. 29

PROCESSUS DE TRAITEMENT D INCIDENTS 2. Triage 2.3. Comment prioriser les actions entre les parties prenantes? Groupe Sévérité Exemple d incidents Rouge Orange Jaune Elevé Moyen Faible Disponibilité Code Malicieux Intrusions Tentatives d intrusion Sécurité de l information Fraude Contenu abusif Collecte d informations Temps de réponse 3heures 24heures 3jours 30

PROCESSUS DE TRAITEMENT D INCIDENTS 2. Triage 2.4. Assigner un incident Un incident est assigné au responsable du traitement d incident Cette personne peut être celle qui est la première à prendre l incident à partir de la boite de réception des incidents Une personne peut être spécialiste du traitement d un incident donné (spam, malware) Un incident peut être assigné à une personne en fonction de sa disponibilité 31

PROCESSUS DE TRAITEMENT D INCIDENTS 3. Résolution d incidents La phase la plus longue pour la résolution de l incident S effectue selon le cycle suivant Eradication et Récupération Analyse de données Actions executées Recherche de solutions Actions proposées 32

PROCESSUS DE TRAITEMENT D INCIDENTS 3. Résolution d incidents 3.1. Analyse de données Pour débuter l analyse de données, les parties prenantes concernées seront contactées pour collecter plus d informations sur l incident Des conseils et informations initiaux seront inclus dans cette notification pour mieux orienter la résolution de l incident 33

PROCESSUS DE TRAITEMENT D INCIDENTS 3. Résolution d incidents 3.2. Recherche de solutions Les informations collectées pendant la phase d analyse sont utilisées dans cette phase 3.3. Actions proposées Une liste de tâches concrètes et pratiques sont élaborées pour chaque partie prenante. Par ex. Comment stopper ou réduire une attaque en cours Monitorer le trafic réseau lié à une situation ( pour les FAI et FCI) Assister les unités de police et de gendarmerie 34

PROCESSUS DE TRAITEMENT D INCIDENTS 3. Résolution d incidents 3.4. Actions exécutées Les infrastructures des parties prenantes n étant sous le contrôle du CIRT Le CIRT doit s assurer que ces parties ont exécutées les actions proposées C est la phase la complexe Le CIRT peut contacter les parties prenantes par mail, téléphone pour s assurer de l exécution des actions proposées 35

PROCESSUS DE TRAITEMENT D INCIDENTS 3. Résolution d incidents 3.5. Eradication et récupération Toutes les actions auront pour seul but d éradiquer les incidents La résolution réelle d un problème est de restaurer un service compromis dans son état normal 36

PROCESSUS DE TRAITEMENT D INCIDENTS 4. Clôture d un incident 4.1. Information finale Après la résolution d un incident, les parties concernées seront informées Deux questions à répondre ici Qui informer? Informer sur quoi? Des indications sur les procédures de réduction des incidents seront fournies à ce niveau à chacune des parties prenantes 37

PROCESSUS DE TRAITEMENT D INCIDENTS 4. Clôture d un incident 4.2. Classification finale Cette étape n est pas obligatoire Elle survient à un niveau où des informations supplémentaires ne sont plus nécessaires 4.3. Archivage de l incident Tout incident sera archivé et servir pour de futures opérations 38

PROCESSUS DE TRAITEMENT D INCIDENTS 5. Post Analyse Très utile au CIRT dans l optique de faire un bilan du traitement de l incident 6. Propositions d amélioration Le traitement d incidents est un service réactif Il peut être en 1 ère ligne pour des actions proactives et permettre des améliorations pour une bonne culture de sécurité C est l étape où il faut faire bénéficier de l expérience de traitement d incidents en fournissant des conseils et des recommandations aux parties prenantes 39

APPROCHE DU DÉTAIL DE TRAITEMENT D INCIDENTS 40

CONCLUSION Pour de meilleurs résultats, chaque partie prenante doit mettre en place des services proactifs à fin de mieux détecter les incidents de sécurité 41

Merci Beaucoup Question??? 42

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back