HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Gestion des incidents liés à la sécurité de l'information Conférence Internationale Management de la Sécurité de l'information selon la norme ISO/IEC 27001 Paris, 25 avril 2012 Hervé Schauer <Herve.Schauer@hsc.fr>
Sommaire Mesure de sécurité Processus d'un SMSI Définitions Incident lié à la sécurité vs incident de production informatique Exemples d'incidents liés à la sécurité Objectifs de la gestion des incidents liés à la SSI Etapes Préparation Identification et analyse Confinement, endiguement Eradication Recouvrement Retour d'expérience Erreurs à éviter Outils Conclusion Ressources 2/25
Gestion des incidents de sécurité Mesure de sécurité Universelle (ISO27002 13) Inévitable Indispensable Imposée (ISO270014.2.2.h 4.2.3.a.2 et 4.3.3) 4.2.2 h) Mettre en œuvre la gestion des incidents de sécurité 4.2.3 a) Exécuter les procédures de gestion des incidents de sécurité Objectif Réduire les risques en sécurité Détecter les incidents et les traîter Eviter que les incidents se répêtent Contribuer à l'appréciation des risques (ISO27005 8.2.1.3 8.2.1.4) 3/25
Gestion des incidents de sécurité Exemple de modélisation des processus d'un SMSI 4/25
Définitions Incident de sécurité Evènement lié à la sécurité de l'information (ISO27000 2.20) Occurrence identifiée de l'état d'un service, d'un système ou d'un réseau indiquant une faille possible dans la politique de sécurité de l'information ou un échec des mesures de sécurité ou encore une situation inconnue jusqu'alors et pouvant relever de la sécurité Incident lié à la sécurité de l'information (ISO27000 2.21) Un ou plusieurs évènements liés à la sécurité de l'information indésirables ou innattendus présentant une probabilité forte de compromettre les activités de l'organisation et de menacer la sécurité de l'information 5/25
Définitions Incident informatique Tout événement est un incident Incident informatique (ITIL, CobIT, ISO20000, etc) Tout événement qui ne fait pas partie du fonctionnement standard d un service et qui cause, ou peut causer, une interruption ou une diminution de la qualité de ce service Problème (ITIL, CobIT, ISO20000, etc) Cause inconnue d un incident significatif ou la collection de plusieurs incidents présentant les mêmes symptômes 6/25
Incident informatique vs lié à la sécurité Ne pas confondre Incident informatique et Incident lié à la sécurité de l'information Gestion de l'incident ISO27000 Gestion d'un incident ISO20000/ITIL/CobIT Gestion du problème ISO20000/ITIL/CobIT Temps Tout incident lié à la sécurité de l'information est un problème au sens ITIL/ISO20000 Pas besoin que l'incident se répète comme dans la production informatique Gravité Evénement informatique lié à la sécurité de l'information est un incident informatique Tous les Incidents liés à la sécurité de Incident l'information ne sont pas issus des Incident ISO27000 ISO20000 Incidents informatiques ITIL Beaucoup quand même 7/25 Evènement ISO27000 CobIT
Définition Définition Claire et sans ambigüité Large correspondant à la réalité Incident lié à la sécurité de l'informaton Evènement potentiel ou avéré, indésirable ou innattendu Conséquence en sécurité de l'information pour l'organisme, le métier, le projet Impact sur un critère de sécurité Confidentialité, Intégrité, Disponibilité, Auditabilité Origine accidentelle ou malveillante 8/25
Incidents en sécurité de l'information Exemples Intrusion (informatique, physique) Fraude informatique Déni de service Code malfaisant Virus, etc Divulgation d'informations confidentielles Découverte de documents confidentiels en-ligne Fuites de données Courrier électronique, mémoires USB Scan Panne informatique Plantage logiciel Erreur de manipulation Grêve, maladie de certains employés, abandon de poste 9/25 Incendie, inondation, explosion, tremblement de terre, Coupure de courant Prévision de tempête, d'ouragan...
Gestion des incidents liés à la SSI Etre organisé Objectifs Avoir une politique de gestion des incidents et des procédures Détecter les incidents Savoir quoi faire quand un incident arrive Réagir rapidement et utilement Savoir trier et ordonnancer les incidents quand plusieurs incidents de sécurité se bousculent Contenir et réparer Savoir quand passer la main à la gestion de crise ou à l'investigation inforensique Eviter la répétition de l'incident 10/25
Etapes Préparation Identification et analyse Confinement, endiguement Eradication Recouvrement Retour d'expérience 11/25
Préparation Politique de gestion des incidents liés à la sécurité de l'information Approbation de la direction Constitution d'une équipe Désigner un point de contact unique Répartir les rôles et responsabilités Prévoir d'éventuelles astreintes, rappels en urgence, compensations appropriées Former Identification des contacts qui pourront être utiles à l'analyse 12/25
Préparation Information auprès des utilisateurs de leur obligation de remontée des incidents Employés Sous-traitants Lier et coordonner la gestion des incidents de sécurité avec Gestion de crise Continuité d'activité Communication Préparation de l'éventuelle gestion de la communication (médias) Investigation informatique (Inforensique) Organiser le séquestre des clés, de mots de passe, etc 13/25
Préparation Identification des sources d'information Organisation de la collecte des incidents 14/25
Sources d'incidents Helpdesk Mot de passe incorrect Incidents informatiques ITIL/ISO20000 Changements Dégradation de la performance Réamorçage de machines Utilisateurs Clients et fournisseurs Analyse des journaux, outils de surveillance (IDS, sondes, etc) Indicateurs (ISO27001 4.2.3.a.4) Médias, presse, sites web, etc Sécurité physique Autorités de tutelle, ISIRT* Météorologie 15/25 Affiche extraite du NIST SP800-50
Identification et analyse Comment identifier que l'on a réellement un incident de sécurité de l'information? Faire remplir une fiche d'incident et la contrôler Qui, a constaté quoi, quand? Sources, contacts Faire une première évaluation, pas de conclusions hâtives Eventuellement déterminer le mode de propagation Vérifier et croiser les sources Si source au helpdesk, vérifier dans la journalisation Demander aux bonnes personnes Vérifier que ce n'est pas une erreur de configuration ou une erreur humaine sans conséquence 16/25
Identification et analyse Désigner un responsable de l'analyse Informer les bonnes personnes devant en connaître Au besoin escalader à la gestion de crise 17/25
Confinement Prendre des actions urgentes Securiser la zône Faire une sauvegarde Recopier les systèmes Garder les originaux pour des investigations ultérieures Déconnecter le serveur Changer les mots de passe Réduire les conséquences Déterminer ce qui a été perdu, compromis, divulgué Déterminer la nature des données en cause Données nominatives, médicale, n de cartes bancaires, etc 18/25
Éradication Résoudre le problème avant de retourner en ligne Déterminer les causes de l'incident Communiquer en interne Prendre des actions de second temps Améliorer les moyens de protection Faire une revue de vulnérabilités Si incident d'origine informatique, alors verser l'incident de sécurité lié à la sécurité de l'information dans la gestion des problèmes ITIL Eventuellement passer à l'investigation légale Conserver les preuves 19/25
Recouvrement Être certain de ne pas restaurer des données ou du logiciel infecté Valider le système remis en ordre de marche Surveiller le système remis en ligne 20/25
Retour d'expérience Ecrire et distribuer un rapport Faire une réunion d'analyse de la gestion de l'incident Au besoin une réunion de suivi Informer les parties prenantes externes devant l'être ISIRT* (CERT) externes, PCI, etc Ajouter l'incident à la base d'incidents Intégrer l'incident à l'appréciation des risques Affiner son processus de gestion des incidents Envoyer des recommandations à la direction *ISIRT : Information Security Incident Response Team 21/25 (ISO27035 3.2)
Erreurs à éviter Ne pas déclarer les incidents Ne pas appeler à l'aide Se faire polluer par des incidents qui ne sont pas liés à la sécurité de l'information Avoir des descriptions incomplètes ou de mauvaise qualité des incidents Détruire les preuves Ne pas arriver à restaurer un environnement sain Incapaciter à contenir ou éradiquer l'incident Incapaciter à éviter la réinfection Ne pas tirer parti de l'expérience acquise 22/25
Outils Formulaire de déclaration d'incident Gestion de tickets Base de donnée d'incidents Exemple de l'iso 27035 D.4.2 23/25
Conclusion «Back to the basics» de Patrick Pailloux gérer les incidents de sécurité La référence complète du RSSI! 3e édition Mesure parmis les premières à mettre en oeuvre pour un RSSI Avant politique, comités mesuels, correspondants locaux, support de la direction générale, etc Questions? Herve.Schauer@hsc.fr www.hsc.fr 24/25
Ressources Présentation de la norme ISO27035 par Alexandre Fernandez-Toro, Club 27001, janvier 2012 http://www.club 27001.fr/attachments/article/109/La_Norme_ISO_27035.pdf Norme ISO/IEC 27035, Information Security Incident Management, ISO, septembre 2011 Gestion des incidents de sécurité du système d'information, Clusif, mai 2011 http://www.clusif.fr/fr/production/ouvrages/pdf/clusif 2011 Gestion des Incidents.pdf NIST SP800-61-rev1, Computer Security Incident Handling Guide, NIST, mars 2008 http://csrc.nist.gov/publications/nistpubs/800 61 rev1/sp800 61rev1.pdf 25/25