HERVÉ SCHAUER CONSULTANTS
Cabinet de Consultants en Sécurité Informatique depuis 1989
Spécialisé sur Unix, Windows, TCP/IP et Internet
Gestion des incidents
liés à la sécurité de l'information
Conférence Internationale Management de la Sécurité de l'Information
selon la norme ISO/IEC 27001
Paris, 25 avril 2012
Hervé Schauer
<[email protected]>
Sommaire
Mesure de sécurité
Processus d'un SMSI
Définitions
Incident lié à la sécurité vs
incident de production
informatique
Exemples d'incidents liés à la
sécurité
Objectifs de la gestion des
incidents liés à la SSI
Etapes
 Préparation
 Identification et analyse
 Confinement, endiguement
 Eradication
 Recouvrement
 Retour d'expérience
Erreurs à éviter
Outils
Conclusion
Ressources
2/25
Copyright Hervé Schauer Consultants 2000-2012 - Reproduction Interdite
Gestion des incidents de sécurité
Mesure de sécurité
Universelle (ISO27002 13)
Inévitable
Indispensable
Imposée (ISO270014.2.2.h 4.2.3.a.2 et 4.3.3)
4.2.2 h) Mettre en œuvre la gestion des incidents de sécurité
4.2.3 a) Exécuter les procédures de gestion des incidents de sécurité
Objectif
Réduire les risques en sécurité
Détecter les incidents et les traîter
Eviter que les incidents se répêtent
Contribuer à l'appréciation des risques (ISO27005 8.2.1.3 8.2.1.4)
3/25
Copyright Hervé Schauer Consultants 2000-2012 - Reproduction Interdite
Gestion des incidents de sécurité
Exemple de modélisation
des processus d'un SMSI
4/25
Copyright Hervé Schauer Consultants 2000-2012 - Reproduction Interdite
Définitions Incident de sécurité
Evènement lié à la sécurité de l'information (ISO27000 2.20)
Occurrence identifiée de l'état d'un service, d'un système ou d'un
réseau indiquant une faille possible dans la politique de sécurité de
l'information ou un échec des mesures de sécurité ou encore une
situation inconnue jusqu'alors et pouvant relever de la sécurité
Incident lié à la sécurité de l'information (ISO27000 2.21)
Un ou plusieurs évènements liés à la sécurité de l'information
indésirables ou innattendus présentant une probabilité forte de
compromettre les activités de l'organisation et de menacer la sécurité
de l'information
5/25
Copyright Hervé Schauer Consultants 2000-2012 - Reproduction Interdite
Définitions Incident informatique
Tout événement est un incident
Incident informatique (ITIL, CobIT, ISO20000, etc)
Tout événement qui ne fait pas partie du fonctionnement standard d’un
service et qui cause, ou peut causer, une interruption ou une diminution
de la qualité de ce service
Problème (ITIL, CobIT, ISO20000, etc)
Cause inconnue d’un incident significatif ou la collection de plusieurs
incidents présentant les mêmes symptômes
6/25
Copyright Hervé Schauer Consultants 2000-2012 - Reproduction Interdite
Incident informatique vs lié à la sécurité
Ne pas confondre Incident
informatique et Incident lié
à la sécurité de
l'information
Gestion de l'incident
ISO27000
Gestion d'un incident
ISO20000/ITIL/CobIT
Gestion du problème
ISO20000/ITIL/CobIT
Temps
Tout incident lié à la sécurité de l'information est un problème au
sens ITIL/ISO20000
Pas besoin que l'incident se répète comme dans la production informatique
Gravité
Evénement informatique lié à la sécurité de l'information est un
incident informatique
Tous les Incidents liés à la sécurité de
Incident
l'information ne sont pas issus des
Incident
ISO27000
ISO20000
Incidents informatiques
ITIL
Beaucoup quand même
7/25
Evènement
ISO27000
Copyright Hervé Schauer Consultants 2000-2012 - Reproduction Interdite
CobIT
Définition
Définition
Claire et sans ambigüité
Large correspondant à la réalité
Incident lié à la sécurité de l'informaton
Evènement potentiel ou avéré, indésirable ou innattendu
Conséquence en sécurité de l'information pour l'organisme, le métier,
le projet
Impact sur un critère de sécurité
Confidentialité, Intégrité, Disponibilité, Auditabilité
Origine accidentelle ou malveillante
8/25
Copyright Hervé Schauer Consultants 2000-2012 - Reproduction Interdite
Incidents en sécurité de l'information
Exemples
Intrusion (informatique, physique)
Fraude informatique
Déni de service
Code malfaisant
Virus, etc
Divulgation d'informations
confidentielles
Découverte de documents
confidentiels en-ligne
Fuites de données
Courrier électronique,
mémoires USB
Scan
Panne informatique
Plantage logiciel
Erreur de manipulation
Grêve, maladie de certains
employés, abandon de poste
9/25
Incendie, inondation, explosion,
tremblement de terre,
Coupure de courant
Prévision de tempête, d'ouragan
...
Copyright Hervé Schauer Consultants 2000-2012 - Reproduction Interdite
Gestion des incidents liés à la SSI
Etre organisé
Objectifs
Avoir une politique de gestion des incidents et des procédures
Détecter les incidents
Savoir quoi faire quand un incident arrive
Réagir rapidement et utilement
Savoir trier et ordonnancer les incidents quand plusieurs
incidents de sécurité se bousculent
Contenir et réparer
Savoir quand passer la main à la gestion de crise ou à
l'investigation inforensique
Eviter la répétition de l'incident
10/25
Copyright Hervé Schauer Consultants 2000-2012 - Reproduction Interdite
Etapes
 Préparation
 Identification et analyse
 Confinement, endiguement
 Eradication
 Recouvrement
 Retour d'expérience
11/25
Copyright Hervé Schauer Consultants 2000-2012 - Reproduction Interdite
 Préparation
Politique de gestion des incidents liés à la sécurité de
l'information
Approbation de la direction
Constitution d'une équipe
Désigner un point de contact unique
Répartir les rôles et responsabilités
Prévoir d'éventuelles astreintes, rappels en urgence, compensations
appropriées
Former
Identification des contacts qui pourront être utiles à l'analyse
12/25
Copyright Hervé Schauer Consultants 2000-2012 - Reproduction Interdite
 Préparation
Information auprès des utilisateurs de leur obligation de
remontée des incidents
Employés
Sous-traitants
Lier et coordonner la gestion des incidents de sécurité avec
Gestion de crise
Continuité d'activité
Communication
Préparation de l'éventuelle gestion de la communication (médias)
Investigation informatique (Inforensique)
Organiser le séquestre des clés, de mots de passe, etc
13/25
Copyright Hervé Schauer Consultants 2000-2012 - Reproduction Interdite
 Préparation
Identification des sources d'information
Organisation de la collecte des incidents
14/25
Copyright Hervé Schauer Consultants 2000-2012 - Reproduction Interdite
 Sources d'incidents
Helpdesk
Mot de passe incorrect
Incidents informatiques
ITIL/ISO20000
Changements
Dégradation de la performance
Réamorçage de machines
Utilisateurs
→
Clients et fournisseurs
Analyse des journaux, outils de
surveillance (IDS, sondes, etc)
Indicateurs (ISO27001 4.2.3.a.4)
Médias, presse, sites web, etc
Sécurité physique
Autorités de tutelle, ISIRT*
Météorologie
15/25
Affiche extraite du NIST SP800-50
Copyright Hervé Schauer Consultants 2000-2012 - Reproduction Interdite
 Identification et analyse
Comment identifier que l'on a réellement un incident de
sécurité de l'information ?
Faire remplir une fiche d'incident et la contrôler
Qui, a constaté quoi, quand ?
Sources, contacts
Faire une première évaluation, pas de conclusions hâtives
Eventuellement déterminer le mode de propagation
Vérifier et croiser les sources
Si source au helpdesk, vérifier dans la journalisation
Demander aux bonnes personnes
Vérifier que ce n'est pas une erreur de configuration ou une erreur
humaine sans conséquence
16/25
Copyright Hervé Schauer Consultants 2000-2012 - Reproduction Interdite
 Identification et analyse
Désigner un responsable de l'analyse
Informer les bonnes personnes devant en connaître
Au besoin escalader à la gestion de crise
17/25
Copyright Hervé Schauer Consultants 2000-2012 - Reproduction Interdite
 Confinement
Prendre des actions urgentes
Securiser la zône
Faire une sauvegarde
Recopier les systèmes
Garder les originaux pour des investigations ultérieures
Déconnecter le serveur
Changer les mots de passe
Réduire les conséquences
Déterminer ce qui a été perdu, compromis, divulgué
Déterminer la nature des données en cause
Données nominatives, médicale, n° de cartes bancaires, etc
18/25
Copyright Hervé Schauer Consultants 2000-2012 - Reproduction Interdite
 Éradication
Résoudre le problème avant de retourner en ligne
Déterminer les causes de l'incident
Communiquer en interne
Prendre des actions de second temps
Améliorer les moyens de protection
Faire une revue de vulnérabilités
Si incident d'origine informatique, alors verser l'incident de
sécurité lié à la sécurité de l'information dans la gestion des
problèmes ITIL
Eventuellement passer à l'investigation légale
Conserver les preuves
19/25
Copyright Hervé Schauer Consultants 2000-2012 - Reproduction Interdite
 Recouvrement
Être certain de ne pas restaurer des données ou du logiciel
infecté
Valider le système remis en ordre de marche
Surveiller le système remis en ligne
20/25
Copyright Hervé Schauer Consultants 2000-2012 - Reproduction Interdite
 Retour d'expérience
Ecrire et distribuer un rapport
Faire une réunion d'analyse de la gestion de l'incident
Au besoin une réunion de suivi
Informer les parties prenantes externes devant l'être
ISIRT* (CERT) externes, PCI, etc
Ajouter l'incident à la base d'incidents
Intégrer l'incident à l'appréciation des risques
Affiner son processus de gestion des incidents
Envoyer des recommandations à la direction
*ISIRT : Information Security Incident Response Team
21/25
(ISO27035 3.2)
Copyright Hervé Schauer Consultants 2000-2012 - Reproduction Interdite
Erreurs à éviter
Ne pas déclarer les incidents
Ne pas appeler à l'aide
Se faire polluer par des incidents qui ne sont pas liés à la
sécurité de l'information
Avoir des descriptions incomplètes ou de mauvaise qualité des
incidents
Détruire les preuves
Ne pas arriver à restaurer un environnement sain
Incapaciter à contenir ou éradiquer l'incident
Incapaciter à éviter la réinfection
Ne pas tirer parti de l'expérience acquise
22/25
Copyright Hervé Schauer Consultants 2000-2012 - Reproduction Interdite
Outils
Formulaire de déclaration
d'incident
Gestion de tickets
Base de donnée d'incidents
Exemple de l'ISO 27035 D.4.2
23/25
Copyright Hervé Schauer Consultants 2000-2012 - Reproduction Interdite
Conclusion
« Back to the basics » de Patrick
Pailloux → gérer les incidents de
sécurité
La référence complète
du RSSI !
3e édition
Mesure parmis les premières à
mettre en oeuvre pour un RSSI
Avant politique, comités mesuels,
correspondants locaux, support de
la direction générale, etc
Questions ?
[email protected] www.hsc.fr
24/25
Copyright Hervé Schauer Consultants 2000-2012 - Reproduction Interdite
Ressources
Présentation de la norme ISO27035 par Alexandre
Fernandez-Toro, Club 27001, janvier 2012
http://www.club­27001.fr/attachments/article/109/La_Norme_ISO_27035.pdf
Norme ISO/IEC 27035, Information Security Incident
Management, ISO, septembre 2011
Gestion des incidents de sécurité du système d'information,
Clusif, mai 2011
http://www.clusif.fr/fr/production/ouvrages/pdf/CLUSIF­2011­Gestion­des­Incidents.pdf
NIST SP800-61-rev1, Computer Security Incident Handling
Guide, NIST, mars 2008
http://csrc.nist.gov/publications/nistpubs/800­61­rev1/SP800­61rev1.pdf
25/25
Copyright Hervé Schauer Consultants 2000-2012 - Reproduction Interdite