HERV SCHAUER CONSULTANTS

Cabinet de Consultants en Scurit Informati ue de!uis "#$# S!cialis sur Uni%& 'indo(s& TC)*I) et Internet

lis la scurit de l'information

Confrence Internationale Management de la Scurit de l'Information selon la norme IS !I"C #$%%&

Gestion des incidents

'aris( #) avril #%&#

Herv Schauer

<Herve.Schauer@hsc.fr>

Sommaire
Mesure de scurit Processus d'un SMSI Dfinitions
Incident li la scurit vs incident de production informatique

Exemples d'incidents lis la scurit !"ectifs de la #estion des incidents lis la SSI

Etapes Prparation Identification et anal$se %onfinement& endi#uement Eradication 'ecouvrement 'etour d'exprience Erreurs viter utils %onclusion 'essources

2/25

Copyright Herv Schauer Consultants 2000-2012 - Reproduction Interdite

Gestion des incidents de scurit

Mesure de scurit
)niverselle *IS Invita!le Indispensa!le Impose *IS
2+,,-/020201 /020(0a02 et /0(0(. 2+,,2 -(.

/0202 1. Mettre en 2uvre la #estion des incidents de scurit /020( a. Excuter les procdures de #estion des incidents de scurit

!"ectif
'duire les risques en scurit
Dtecter les incidents et les tra3ter Eviter que les incidents se rp4tent %ontri!uer l'apprciation des risques *IS
(/25
2+,,5 5020-0( 5020-0/.

Copyright Herv Schauer Consultants 2000-2012 - Reproduction Interdite

Gestion des incidents de scurit

Exemple de modlisation des processus d'un SMSI

//25

Copyright Herv Schauer Consultants 2000-2012 - Reproduction Interdite

*finitions Incident de scurit

"v+nement li la scurit de l'information *IS
2+,,, 202,.

ccurrence identifie de l'tat d'un service& d'un s$st6me ou d'un rseau indiquant une faille possi!le dans la politique de scurit de l'information ou un c1ec des mesures de scurit ou encore une situation inconnue "usqu'alors et pouvant relever de la scurit

Incident li la scurit de l'information *IS

2+,,, 202-.

)n ou plusieurs v6nements lis la scurit de l'information indsira!les ou innattendus prsentant une pro!a!ilit forte de compromettre les activits de l'or#anisation et de menacer la scurit de l'information

5/25

Copyright Herv Schauer Consultants 2000-2012 - Reproduction Interdite

*finitions Incident informati,ue

8out vnement est un incident Incident informati,ue *I8I9& %o!I8& IS
2,,,,& etc.

8out vnement qui ne fait pas partie du fonctionnement standard d:un service et qui cause& ou peut causer& une interruption ou une diminution de la ,ualit de ce service

'ro-l+me *I8I9& %o!I8& IS

2,,,,& etc.

%ause inconnue d:un incident si#nificatif ou la collection de plusieurs incidents prsentant les m4mes s$mpt;mes

7/25

Copyright Herv Schauer Consultants 2000-2012 - Reproduction Interdite

Incident informati,ue vs li la scurit

<e pas confondre Incident informati,ue et Incident li la scurit de l'information
=estion de l'incident IS 2+,,, =estion d'un incident IS 2,,,,/I8I9/%o!I8 =estion du pro!l6me IS 2,,,,/I8I9/%o!I8 8emps

8out incident li la scurit de l'information est un pro!l6me au sens I8I9/IS 2,,,,

Pas !esoin que l'incident se rp6te comme dans la production informatique

Evnement informatique li la scurit de l'information est un incident informatique 8ous les Incidents lis la scurit de Incident l'information ne sont pas issus des Incident IS 2+,,, IS 2,,,, Incidents informatiques I8I9
=ravit

>eaucoup quand m4me

+/25

Ev6nement IS 2+,,,

%o!I8

Copyright Herv Schauer Consultants 2000-2012 - Reproduction Interdite

*finition
Dfinition
%laire et sans am!i#?it 9ar#e correspondant la ralit

Incident li la scurit de l'informaton

Ev6nement potentiel ou avr& indsira!le ou innattendu %onsquence en scurit de l'information pour l'or#anisme& le mtier& le pro"et Impact sur un crit6re de scurit
%onfidentialit& Int#rit& Disponi!ilit& @udita!ilit

ri#ine accidentelle ou malveillante

5/25

Copyright Herv Schauer Consultants 2000-2012 - Reproduction Interdite

Incidents en scurit de l'information

Exemples
Intrusion *informatique& p1$sique. Braude informatique Dni de service %ode malfaisant
Cirus& etc

Divul#ation d'informations confidentielles Dcouverte de documents confidentiels enDli#ne Buites de donnes

%ourrier lectronique& mmoires )S>

Scan Panne informatique Planta#e lo#iciel Erreur de manipulation =r4ve& maladie de certains emplo$s& a!andon de poste

Incendie& inondation& explosion& trem!lement de terre& %oupure de courant Prvision de temp4te& d'oura#an 000

A/25

Copyright Herv Schauer Consultants 2000-2012 - Reproduction Interdite

Gestion des incidents lis la SSI

Etre or#anis Dtecter les incidents Savoir quoi faire quand un incident arrive 'a#ir rapidement et utilement Savoir trier et ordonnancer les incidents quand plusieurs incidents de scurit se !ousculent %ontenir et rparer Savoir quand passer la main la #estion de crise ou l'investi#ation inforensique Eviter la rptition de l'incident
-,/25
Copyright Herv Schauer Consultants 2000-2012 - Reproduction Interdite

-.ectifs

@voir une politique de #estion des incidents et des procdures

"ta/es Prparation Identification et anal$se %onfinement& endi#uement Eradication 'ecouvrement 'etour d'exprience

--/25

Copyright Herv Schauer Consultants 2000-2012 - Reproduction Interdite

 'r/aration
Politique de #estion des incidents lis la scurit de l'information @ppro!ation de la direction %onstitution d'une quipe
Dsi#ner un point de contact unique 'partir les r;les et responsa!ilits Prvoir d'ventuelles astreintes& rappels en ur#ence& compensations appropries Bormer

Identification des contacts qui pourront 4tre utiles l'anal$se

-2/25

Copyright Herv Schauer Consultants 2000-2012 - Reproduction Interdite

 'r/aration
Information aupr6s des utilisateurs de leur o!li#ation de remonte des incidents
Emplo$s SousDtraitants

9ier et coordonner la #estion des incidents de scurit avec

=estion de crise %ontinuit d'activit %ommunication
Prparation de l'ventuelle #estion de la communication *mdias.

Investi#ation informatique *Inforensique.

r#aniser le squestre des cls& de mots de passe& etc

-(/25
Copyright Herv Schauer Consultants 2000-2012 - Reproduction Interdite

 'r/aration
Identification des sources d'information r#anisation de la collecte des incidents

-//25

Copyright Herv Schauer Consultants 2000-2012 - Reproduction Interdite

 Sources d'incidents
EelpdesF
Mot de passe incorrect

Incidents informatiques I8I9/IS 2,,,,

%1an#ements D#radation de la performance 'amorGa#e de mac1ines

)tilisateurs H %lients et fournisseurs @nal$se des "ournaux& outils de surveillance *IDS& sondes& etc. Indicateurs *IS 2+,,- /020(0a0/. Mdias& presse& sites Ie!& etc Scurit p1$sique @utorits de tutelle& ISI'8J Mtorolo#ie
-5/25

Copyright Herv Schauer Consultants 2000-2012 - Reproduction Interdite

Affiche extraite du IS! S"#00-$0

 Identification et anal0se
%omment identifier que l'on a rellement un incident de scurit de l'information K
Baire remplir une fic1e d'incident et la contr;ler
Lui& a constat quoi& quand K Sources& contacts

Baire une premi6re valuation& pas de conclusions 1Mtives

Eventuellement dterminer le mode de propa#ation

Crifier et croiser les sources

Si source au helpdes%& vrifier dans la "ournalisation

Demander aux !onnes personnes Crifier que ce n'est pas une erreur de confi#uration ou une erreur 1umaine sans consquence

-7/25

Copyright Herv Schauer Consultants 2000-2012 - Reproduction Interdite

 Identification et anal0se
Dsi#ner un responsa!le de l'anal$se Informer les !onnes personnes devant en conna3tre
@u !esoin escalader la #estion de crise

-+/25

Copyright Herv Schauer Consultants 2000-2012 - Reproduction Interdite

 Confinement
Prendre des actions ur#entes
Securiser la N;ne Baire une sauve#arde 'ecopier les s$st6mes
=arder les ori#inaux pour des investi#ations ultrieures

Dconnecter le serveur %1an#er les mots de passe

'duire les consquences Dterminer ce qui a t perdu& compromis& divul#u Dterminer la nature des donnes en cause
Donnes nominatives& mdicale& nO de cartes !ancaires& etc
-5/25
Copyright Herv Schauer Consultants 2000-2012 - Reproduction Interdite

 1radication
'soudre le pro!l6me avant de retourner en li#ne Dterminer les causes de l'incident %ommuniquer en interne Prendre des actions de second temps
@mliorer les mo$ens de protection Baire une revue de vulnra!ilits

Si incident d'ori#ine informatique& alors verser l'incident de scurit li la scurit de l'information dans la #estion des pro!l6mes I8I9 Eventuellement passer l'investi#ation l#ale
%onserver les preuves
-A/25
Copyright Herv Schauer Consultants 2000-2012 - Reproduction Interdite

 2ecouvrement
Ptre certain de ne pas restaurer des donnes ou du lo#iciel infect Calider le s$st6me remis en ordre de marc1e Surveiller le s$st6me remis en li#ne

2,/25

Copyright Herv Schauer Consultants 2000-2012 - Reproduction Interdite

 2etour d'e3/rience
Ecrire et distri!uer un rapport Baire une runion d'anal$se de la #estion de l'incident
@u !esoin une runion de suivi

Informer les parties prenantes externes devant l'4tre

ISI'8J *%E'8. externes& P%I& etc

@"outer l'incident la !ase d'incidents Int#rer l'incident l'apprciation des risques @ffiner son processus de #estion des incidents Envo$er des recommandations la direction
JISI'8 Q Infor&ation Security Incident Response !ea&
2-/25
*IS 2+,(5 (02.

Copyright Herv Schauer Consultants 2000-2012 - Reproduction Interdite

"rreurs viter
<e pas dclarer les incidents <e pas appeler l'aide Se faire polluer par des incidents qui ne sont pas lis la scurit de l'information @voir des descriptions incompl6tes ou de mauvaise qualit des incidents Dtruire les preuves <e pas arriver restaurer un environnement sain Incapaciter contenir ou radiquer l'incident Incapaciter viter la rinfection <e pas tirer parti de l'exprience acquise
22/25
Copyright Herv Schauer Consultants 2000-2012 - Reproduction Interdite

utils
Bormulaire de dclaration d'incident =estion de ticFets >ase de donne d'incidents

Exemple de l'IS
2(/25
Copyright Herv Schauer Consultants 2000-2012 - Reproduction Interdite

2+,(5 D0/02

Conclusion
R 'ac% to the (asics S de PatricF Pailloux H #rer les incidents de scurit Mesure parmis les premi6res mettre en oeuvre pour un 'SSI
@vant politique& comits mesuels& correspondants locaux& support de la direction #nrale& etc

La rfrence complte

du RSSI ! 3e dition

4uestions 5
Herve.Schauer@hsc.fr www.hsc.fr
2//25
Copyright Herv Schauer Consultants 2000-2012 - Reproduction Interdite

2essources
Prsentation de la norme IS 2+,(5 par @lexandre BernandeND8oro& %lu! 2+,,-& "anvier 2,-2
http://www.club-27001.fr/attachments/article/109/La_Norme_ISO_27035.pdf

<orme IS /IE% 2+,(5& Infor&ation Security Incident )anage&ent& IS & septem!re 2,-=estion des incidents de scurit du s$st6me d'information& %lusif& mai 2,-http://www.clusif.fr/fr/production/ouvrages/pdf/CLUSIF-2011-Gestion-des-Incidents.pdf

<IS8 SP5,,D7-Drev-& Co&puter Security Incident Handling *uide& <IS8& mars 2,,5
http://csrc.nist.gov/publications/nistpubs/800-61-rev1/SP800-61rev1.pdf

25/25

Copyright Herv Schauer Consultants 2000-2012 - Reproduction Interdite