CSIRT pour le personnel technique

Les technologies de l'information et de la communication sont des outils essentiels

l'amlioration des communications et des prestations de services. Mais de par leur conception,
elles constituent aussi des moyens qui facilitent des usages mal intentionns avec des
consquences nfastes sur l'activit conomiques et sur la vie des individus. Les TIC induisent
ainsi des risques importants dans la vie des entreprises et celle des citoyens. Il est alors
important de ien conna!tre ces risques en vue de les contrer de mani"re efficiente. L'volution
de ces risques et en rponse celle des technologies ddis la scurit de l'information
ncessitent une vision gloale et une approche structure.
#insi, il est possile d'apprhender de mani"re simple et presque e$haustive toutes les facettes
de la scurit de l'information. %n tant que structure d'alerte et de raction au$ attaques
informatiques, le C&I'T (ou Computer &ecurity Incident 'esponse Team) est un centre qui runit
(et coordonne) plusieurs comptences indispensales pour offrir un niveau appropri de scurit
de l'information.
Objectifs de la formation
Ce cours offrira au$ participants les moyens de *
contriuer la conception la mise en +uvre de la politique de scurit de leur institution
donner un appui au$ clients et parties prenantes de leurs institutions pour la mise en +uvre
de processus ien laors, de politiques et procdures ien dfinies
donner un appui une tierce partie en mati"re de conception et de mise en +uvre de
politique de scurit
participer de mani"re efficiente au$ activits d'une quipe de rponse d'urgence au$ incidents
de scurit de l'information
de conduire des processus d'identification * identification, analyse, priorisation, gestion
concevoir, formuler et rdiger des documents techniques efficients * avis, alertes et notes
contriuer au renforcement des relations de confiance entre un C&I'T et ses mandants.
Public vis :
,estionnaires actuels de C&I'T ou gestionnaires potentiels tmoignant de connaissances
solides en informatiques *
directeurs de services informatiques
chefs de pro-ets informatiques envisageant la mise en +uvre d'un C&I'T
professionnels de l'informatique : administrateur systmes et rseaux, architecte
de rseaux, ingnieurs techniciens, consultant spcialis en scurit des rseaux
et systmes, etc.
Chefs de scurit de l'information dans les structures mandantes d'un C&I'T * ingnieurs
rseau$ . scurit, responsales de scurit informatique, etc.
Toute personne implique dans les changes entre C&I'T, et avec les mandants d'un C&I'T,
dsireuse d'approfondir ses connaissances en mati"re de cration et surtout de gestion d'un
C&I'T.
Dure
/ -ours, 0 heures par -our
Prrequis :
Connaissance des syst"mes d'e$ploitation Linu$ et 1indo2s et connaissance des rseau$
TC3.I3
Intervenants
3erptus 4acques 5oungo
-acques.houngo6auriane7etudes.com
-acques.houngo6scg.-
Charg de cours de #f89,
:
et #fri8IC
;
pour le module C%'T.
Certified %thical 5ac<er (C%5) , %C Council Certified &ecurity #nalyst (%C&# ).
Consultant &enior aupr"s de &trategic Consulting ,roup (&C,).
: #=89, 7 #frican 8et2or< 9perators ,roup, http*..222.afnog.org.
; #fri8IC 7 #frican 8et2or< Information Centre, http*..222.afrinic.net.
Contenu
!ourne "# : $enaces nom%reuses et d&origines di'erses (cessit d&une rponse glo%ale : mise en place d&un CSIRT
8> &ession 9-ectifs . Contenus Type #pproche prol"me7
solution
:. Introduction 3rise de contact
3rsentation du cours
3rcision des attentes
?changes
;. @iverses
menaces sur
l'entreprise
Importance de l'infrastructure informatique pour une
entreprise
#perAu des menaces sur le syst"me d'information
3rsentation
?changes
B. @iverses
menaces sur
l'individu
Cie prive
Implications financi"res
3rsentation
?changes
?changes sur les situations vcues, prsentes par les
participants
?changes Duelques cas seront
retenus pour illustration
dans la suite du cours
E. Cas spcifique de
l'internet
Mal2are, hergement de serveur CFC, spam,
hameAonnage, vol d'identit, otnets, Gomies, ingnieure
sociale etc.
3rsentation @finitions illustres
/. @finition de la
scurit de
l'information
Confidentialit, intgrit et disponiilit.
'eddition de compte, authenticit, non rpudiation.
3rsentation
8> &ession 9-ectifs . Contenus Type #pproche prol"me7
solution
0. 8cessit d'une
rponse gloale
la gloalisation
des menaces
=ace une multitude d'acteurs, de facteurs, et de situations
d'urgence surveiller, il faut adopter une attitude systmique de
rponse gloale *
Centre de rponse gloale * individu, entreprise, nation
Cadre de coopration internationale
3artenariats internationau$
%$pertise et personnes ressources provenant d'horiGons
divers (loi, rgulation, scurit, rpression, promotion de
l'conomie, etc.)
La scurit individuelle, la politique de scurit de
l'information, le C&I'T
3rsentation Comparaison avec la
sant pulique
H. Les fonctions
d'un C&I'T
,uichet unique * contact, assistance, partage de l'information,
coordination entre mtiers, coopration nationale et internationale
3rsentation Meilleures e$priences
qui traduisent le rIle de
coordination
J. Les services d'un
C&I'T
&ervices et outils de production
services en raction
services proactifs
services de gestion de la qualit de la scurit de
l'information
3rsentation
?changes sur les implications Travau$ pratiques
en groupes
Les participants
num"rent les outils
correspondant chaque
service
K. Les nfices
d'un C&I'T
Coordination centralise
'ponse centralise au$ incidents de scurit
%$pertise en mati"re de scurit
%$pertise pour les questions du droit
Ceille technologique pour les questions de scurit de
l'information
&timulation de la coopration entre les parties prenantes
3rsentation Cido de tmoignage
provenant de C&I'T
actifs
8> &ession 9-ectifs . Contenus Type #pproche prol"me7
solution
:L. Comment crer
un C&I'T
@e l'indiffrence la reconnaissance de l'e$pertise
sensiilisation
planification
installation
mise en +uvre
collaoration
4eu$ de rIles @veloppement de
scnarios sur la ase du
vcu des participants.
Tmoignage de C&I'T
actifs
::. 3rincipau$
facteurs de
succ"s d'une
politique de
scurit ou de la
mise en +uvre
d'un C&I'T
%ngagement ferme au plus haut niveau hirarchique
&tructure de mise en +uvre au plus haut niveau
3romotion de la valeur stratgique et alignement sur les
programmes nationau$
Conception d'une vision nationale partage
@clinaison de la vision en plans oprationnels
Lancement officiel au niveau national
?valuation rguli"res
#mlioration constante du rseau de confiance au sein du
groupe des parties prenantes
3rsentation
?changes sur les
moyens d'otenir
l'engagement au
plus haut niveau
de la hirarchie
Cido de tmoignage
provenant de C&I'T
actifs
:;. #pplication de la
loi
@finition de la cyercriminalit
#dministration de la preuve
=ormation des enquMteurs, -uges et procureurs
3rsentation
?changes
:B. Duelques
informations
pratiques
3ersonnel minimum
C%'Tification7Certified Computer &ecurity Incident 5andler
(C&I5)
%quipement de dmarrage
%quipement indispensale
9uvrages de rfrence
Due font les autres * http*..first.org.memers.teams.
3rsentation
:E. ClIture de la
-ourne
?valuation par les participants
!ourne ") : *rparation du CSIRT + se mettre au ser'ice de ses parties prenantes ,# )-
8> &ession 9-ectifs . Contenus Type #pproche prol"me7
solution
:. #perAu du
traitement d'un
incident de
scurit de
l'information
3rparation * rduire le nomre d'incidents
@tection et analyse * trous de scurit, classification des
incidents, lments de reconnaissance
Inhiition7locage, radication, rtalissement* contenir la
propagation, collectionner les preuves, dtruire les
composantes malveillantes, remise du syst"me en
opration normale
#ctivits post7mortem * leAons apprises, donnes
rassemles
3rsentation
;. Traitement d'un
incident .
3rparation .
Mise en place
des facilits de
rponse (: . B)
Moyens de communication
'equest Trac<er for Incident 'esponse ('TI')
Matriel et logiciel d'analyse
'essources d'analyse
Logiciel de minimisation de la gravit des impacts
3rsentation
Mise en place dNun 'equest Trac<er for Incident 'esponse ('TI') Travau$ pratiques Installation,
configuration, affectation
des requMtes, suivi des
rponses, valuation
B. Traitement d'un
incident .
3rparation .
Mise en place
des facilits de
rponse (; . B)
Cryptographie 3rsentation
&ignature avec les clefs 3,3 Travau$ pratiques Les participants crent et
utilisent leurs clefs
personnelles
E. Traitement d'un
incident .
3rparation .
Mise en place
des facilits de
rponse (B . B)
Conception d'un centre de crise
Conception d'un environnement de stoc<age scuris
Travau$ pratiques
8> &ession 9-ectifs . Contenus Type #pproche prol"me7
solution
/. Traitement d'un
incident .
3rparation .
3rvention (: . ;)
?valuation priodique rguli"re du syst"me et des
applications
Travau$ pratiques (=M%#, 1&O& . Intune)
Meilleures pratiques pour scuriser le rseau
3rsentation
?changes
dNe$priences
0. Traitement d'un
incident .
3rparation .
3rvention (; . ;)
,estion des patchs
&curit du poste de travail
&curit du rseau
3rsentation
Travau$ pratiques
=ailure Mode
and %ffects #nalysis
(=M%#)
1&O& . Intune
,estion de la
mise -our du
syst"me sous Linu$
H. Traitement d'un
incident .
3rparation .
'endre facile la
dtection et
l'analyse d'un
incident (: . /)
@iagramme de rseau et listage d'actifs cruciau$
?talissement du profil des rseau$ et syst"mes
Otilisation de -ournau$ centraliss
Cration d'une matrice de diagnostique
Inspection du rseau * espionnage de paquets et analyse
de protocole
3rsentation
Travau$ pratiques
J. ClIture de la
-ourne
?valuation par les participants
!ourne ". : *rparation du CSIRT + se mettre au ser'ice de ses parties prenantes ,) )-
8> &ession 9-ectifs . Contenus Type #pproche prol"me7
solution
:. Traitement d'un
incident .
3rparation .
'endre facile la
dtection et
l'analyse d'un
incident (; . /)
?talissement du profil des rseau$ et syst"mes
Otilisation de -ournau$ centraliss
Cration d'une matrice de diagnostique
Travau$ pratiques
;. Traitement d'un
incident .
3rparation .
'endre facile la
dtection et
l'analyse d'un
incident (B . /)
Inspection du rseau P ?lments de ase
9-ectifs * surveillance, collecte de preuves, analyse de
code malicieu$
Types * applications, hItes, flu$, paquets, largeur de
ande, adresses I3, rseau sans fil, etc.
3rsentation
B. Traitement d'un
incident .
3rparation .
'endre facile la
dtection et
l'analyse d'un
incident (E . /)
Inspection du rseau P &uivi des applications et des hItes Travau$ pratiques Mo&&5e . 9pen&M#'T
Installation,
configuration,
topographie du rseau,
valuation
E. Traitement d'un
incident .
3rparation .
'endre facile la
dtection et
l'analyse d'un
incident (/ . /)
Inspection du rseau P #nalyse des flu$ Travau$ pratiques #rgus . 8etraMet
Installation,
configuration,
topographie du rseau,
valuation
8> &ession 9-ectifs . Contenus Type #pproche prol"me7
solution
/. Traitement d'un
incident .
@tection et
analyse (: .;)
Catgories d'incidents * code malveillant, dni de service,
etc.
&ignes d'un incident * vnements qui dclenchent le
processus de gestion d'incident
&ignes avant7coureurs et indications * alertes de logiciel,
fichiers -ournau$, information disponile pour le pulic, etc.
#nalyse de l'incident * plusieurs activits menes par des
professionnels ien prpars cet effet
@ocumentation sur l'incident * reportage de tous les faits se
rapportant l'incident
Triage d'incident * dcision critique sur le niveau de priorit
accorder l'incident
8otification sur l'incident * information pertinente et
ponctuelle pour toutes les personnes qui doivent Mtre
informes
3rsentation
0. Traitement d'un
incident .
@tection et
analyse (; .;)
Inspection du rseau P #nalyse de paquets et 'echerche
de preuves
Travau$ pratiques 1ireshar<
Installation, dissection de
plusieurs fichiers -ournal
de capture de paquets.
;L minutes par e$ercice
H. Traitement d'un
incident .
@tection et
analyse (; .;)
Inspection du rseau P #nalyse de paquets et 'echerche
de preuves
Travau$ pratiques 1ireshar<
@issection de plusieurs
fichiers -ournal de
capture de paquets.
;L minutes par e$ercice
J. ClIture de la
-ourne
?valuation par les participants
!ourne "/ : Traitement d&incident
8> &ession 9-ectifs . Contenus Type #pproche prol"me7
solution
:. Traitement d'un
incident .
Inhiition7
locage,
radication,
rtalissement
Inhiition7locage * crit"res de dtermination de la stratgie
approprie, collecte des preuves, -ournau$
?radication * destruction des composantes, liminations
des r"ches
'talissement * remise en route des syst"mes (syst"mes
d'e$ploitation et applications), renforcement de la
protection des syst"mes
3rsentation
;. Traitement d'un
incident . #ctivits
post7mortem
LeAons apprises
Otilisation des donnes recueillies
#udit de la rponse l'incident en vue d'valuer le
processus
Conservation des preuves
3rsentation
B. #nalyse de la
situation actuelle
Liste de tous les incidents qui peuvent survenir Travau$ pratiques
E. 'daction et
diffusion d'alertes
et avertissement
Contenu
#udience
Media
Confiance * comment assurer l'intgrit de l'information
Travau$ pratiques sur la
ase des incidents
d'acc"s non autoris et
de dfiguration de site
2e
/. 3roduction de
guide pratique
Meilleures pratiques de renforcement de protection d'un site 2e Travau$ pratiques
0. Traitement d'un
incident de dni
de service (: . ;)
3rparation
@tection et analyse
Inhiition7locage, radication, rtalissement
#ctivits post7mortem
La P &imulation
H. Traitement d'un
incident de dni
de service (; . ;)
3rparation
@tection et analyse
Inhiition7locage, radication, rtalissement
#ctivits post7mortem
La P &imulation
J. ClIture de la
-ourne
%valuation par les participants
!ourne "0 : Traitement d&incident 1estion de la communication en direction des parties prenantes
8> &ession 9-ectifs . Contenus Type #pproche prol"me7
solution
:. Traitement d'un
incident d'acc"s
non autoris
3rparation
@tection et analyse
Inhiition7locage, radication, rtalissement
#ctivits post7mortem
La P &imulation
;. Traitement d'un
incident de
dfiguration de
site 2e (: . ;)
3rparation
@tection et analyse
Inhiition7locage, radication, rtalissement
#ctivits post7mortem
La P &imulation
B. Traitement d'un
incident de
dfiguration de
site 2e (; . ;)
3rparation
@tection et analyse
Inhiition7locage, radication, rtalissement
#ctivits post7mortem
La P &imulation
E. Communication
avec les parties
prenantes
'evisite des aspects spcifiques de tous travau$ de
simulation * pulic vis par les messages, contenus des
messages, supports des messages, retour dNinformation
?changes
/. Conclusion
gnrale
'sum par lNanimateur
%valuation par les participants
?changes
0. Triune lire 3ossiilit de retour sur des notions, concepts, dfinition,
e$ercices, travau$ en laoratoire, etc .