Gestion des Incidents SSI S. Choplin D. Lazure Architectures Sécurisées Master 2 ISRI/MIAGE/2IBS Université de Picardie J. Verne
Références CLUSIF Gestion des incidents de sécurité du système d information (SSI). CLUSIF, Mai 2011.
Lignes directrices
Lignes directrices
Définition Evénement, potentiel, ou avéré, indésirable et/ou inattendu, impactant ou présentant une probabilité forte d impacter la sécurité de l information dans ses critères de Disponibilité, d Intégrité, de Confidentialité et/ou de Preuve. action malveillante délibérée, non-respect d une règle de la Politique de Sécurité du SI d une manière générale, toute atteinte aux informations, toute augmentation des menaces sur la sécurité des informations, toute augmentation de la probabilité de compromission des opérations liées à l activité.
Objectif Guide pour mise en place d un syst. de gestion des incidents SSI aide à la classification et analyse des incidents
Lignes directrices
Organisation de la gestion des incidents Il faut définir : le périmètre des objectifs (politique de gestion des incidents) des mesures (processus, bonnes pratiques,...) des moyens associés (ressources humaines / matérielles / budgétaires).
Objectifs de la politique de gestion 2 objectifs majeurs : garantir notification action corrective rapide. garantir approche cohérente et efficace pour le traitement des incidents
Mesures à mettre en place 1. Signalement des événements : dans les meilleurs délais par les circuits appropriés Bonnes pratiques : procédures formelles de signalement/réponses mise en place Service Desk tous les utilisateurs concernés (information, charte, sensibilisation)
Mesures à mettre en place 2. Tous les utilisateurs doivent signaler toute observation Bonnes pratiques : signaler au Service Desk dans les meilleurs délais mécanisme de signalement simple ne pas tenter d apporter la preuve d une faille soupçonnée.
Mesures à mettre en place 3. Résponsabilités et procédures pour garantir une réponse rapide, efficace et pertinente Bonnes pratiques : surveillance des systèmes, alertes et vulnérabilités définition des priorités de traitement des incidents description des incidents et modes opératoire de résolution par type clôture d un incident par le déclarant + appréciation qualitative par RSSI
Mesures à mettre en place 4. Quantifier et surveiller les types d incidents et coûts associés Bonnes pratiques : réévaluer les informations après la résolution d un incident évaluation à froid des incidents importants pour réévaluer les mesures à prendre revue régulière des incidents
Mesures à mettre en place 5. Assurance Protéger : personnes investissement informations Définition du périmètre analyse des risques. Couvrir la perte d exploitation Bonnes pratiques : actualiser régulièrement le périmètre à assurer démontrer l efficacité de l orgnisation en place
Mesures à mettre en place 6. Elements de preuve Action en justice être capable de recueillir, conserver et présenter des éléments de preuves (conformément aux dispositions légales) Bonnes pratiques : déclaration CNIL procédure interne des exigences de sécurité (collecte traces/conservation/protection)! seules les autorités judiciaires sont autorisées à collecter les preuvces légales.
Prise en charge de l incident Incident qualifié analyse par l équipe dédiée CSIRT (Computer Security Incident Response Team) ISIRT (Information Security Incident Response Team) But : évaluation d impact actions correctives remise en fonction du service affecté
L équipe de réponse aux incidents SSI L équipe de réponse aux incidents : clairement identifiée passage obligé dans le circuit de notification légitimité pour pouvoir agir rapidement management persuadé des intérêts des actions de l équipe management impliqué dans la définition des objectifs
Objectifs de l équipe de réponse aux incidents SSI Objectifs : rationalisation de la veille, traiter rapidement tout type d incident de sécurité par du personnel qualifié habilité et avec des modes opératoires éprouvés, avoir une vue du risque d exposition du SI en adéquation avec la stratégie de l entreprise.
Interraction des services
L Equipe Points clefs : bonne adaptation à la structure de l entreprise veille permanente bonne visibilité Compétences : techniques (analyse du contexte opérationnel et contres-mesures), contexte et enjeux métier, rédactionnelle (formalisation des actions) relationnelle
Services et périmètre Cf : pages 19-20-21 du rapport CLUSIF.
Lignes directrices
Traitement des incidents
Détection et signalement Origine : toute personne ayant eu connaissance de fait/menace, acteur de sécurité (surveillance ou constat d anomalie). Signalement à personne compét. dans les + brefs délais. Réaction rapide nécessité de moyens d alerte rapide (stopper l incident, préserver les preuves,...) 1 contact habituel : Help Desk. 2 possibilité de contacter un responsable sécurité (discretion) sensibilisation sur les niveaux d alerte.
Enregistrement de l incident 1 enregistrement de l incident dans la base de données date, heure, origine, coordonnées du déclarant description, catégorisation 2 accuser réception 3 note de l action déclenchée trace de l événement, suivi, analyse + analyse à posteriori
Qualification par l équipe de réponse aux incidents SI Catégorisation incident de sécurité à qualifier ou non. Critères utilisés issus de l analyse de risque. 1 si non confirmé équipe support 2 journal de bord précis des événements et actions
Mesures de réponses immédiates si qualification incident de sécurité potentiel incident de sécurité potentiel mesures d urgence : confinement isolation communication ciblée Mesures insuffisantes ou situation non maîtrisée ou niveau d impact important cellule de crise.
Investigations Analyse pour préciser : nature de l incident, fait générateur, périmètre concerné, impact. Et définir les actions à entreprendre, activer la cellule de crise le cas échéant.
Investigations : Préservation des traces But : remonter à la source de la manipulation frauduleuse conserver le contexte constituer des éléments de preuve Traitement des traces : Sauvegarde intégrale avant investigation pour effecture l analyse sans modifier les traces Cadre opératoire (qui, quand, qui a accès,...) analyse sur les sauvegardes des traces.
Investigations : Environnements potentiellement concernés OS, réseau et téléphonie, serveurs, applications, locaux, groupe de personnes, données, services, cliens, fournisseurs, partenaires,...
Investigations : Aide à l analyse utilisation d outils vérification des performances des systèmes, recherche de processus ou appications non autorisées recherche de connexion/tentatives dans les logs, détection de matériel non autorisé examin des groupes clefs (admin,...)...
Investigations : Identification du fait générateur et analyse de l impact vulnéaribilité ou faiblesse qui a rendu possible l incident? inventaire des dégâts? impact de l incident?
Traitement Mesures pour éviter l aggravation (en complément des réponses immédiates) grâce aux investigations cellule de crise, restrictions d accès communications ciblées Déclarations aux assurances tenue de délais (généralement 48h pour le vol, 5 jours ouvrés sinon) ne rien toucher avant la venue de l expert en assurances (sauf nécessité)
Traitement : Résolution de l incident A prendre en compte : Appels aux supports externes Détermination du point zéro de l incident Eradication (réparation, restauration/reinstallation), en fonction de : temps estimé suivant les méthodes, niveau de certitude des impacts liés à l incident, niveau de perte de données acceptables,... Délai de réapprovisionnement de matériel Retour à la normale avec communication spécifique
Traitement : Méthodes et outils Indispensable du début à la fin de l incident : Utiles : outils d enregistrement des événements et moyens d accès associés outils de supervisions outils de diagnostic, outils de confinement (VLAN, filtrage réseau,...) outils de réparation (antivirus, restauration d images systèmes,...) Moyens de communications alternatifs si impactés l incident...
Rapport de synthèse Chaque incident un rapport de synthèse. object de l incident, date, lieu, cause comment a-t-il été maîtrisé? Bilan du processus : qu est-ce qui n a pas fonctionné? bien fonctionné? évolution du système? communication réussie? Bilan financier : coût direct (impact métier), coût induit (perte d exploit.) coût de résolution, coût des contre-mesures pertes économisées grâce à la réponse à incident? Rédigé rapidement, livré aux responsables et conservé dans la base de connaissances.
Recours La resp. de l auteur d une attaque est d ordre pénal. l accès illégal à un système, la modification ou la suppression illicite de données, l entrave au fonctionnement d un système, l association de malfaiteurs informatiques. Articles 323-1 à 323-7 du Code pénal (piratage informatique). Il ne faut pas hésiter à l utiliser si vous êtes victime d une tentative de piratage, que l attaque réussisse ou non.
Recours Il faudra alors réunir les éléments suivants : faits énoncés clairement, de manière chronologique, liste de tous les préjudices subis éléments de preuve constitués lors de l analyse (en respectant des règles très strictes) Et identifier auprès de qui porter plainte, en gardant en tête que c est généralement le lieu des faits qui est l élément déterminant.
Amélioration continue Les enseignements tirés des traitements des incidents de sécurité doivent contribuer à l amélioration générale des processus et des moyens de gestion de ces incidents. L ensemble des éléments doit être revu périodiquement suite aux incidents ayant un impact fort sur le SI, et donner lieu à des évolutions politique de gestion des incidents organisation (principaux acteurs) processus processus annexes (PCA, gestion des problèmes, etc.), audit.
Lignes directrices