SSi-Conseil Sécurité des Systèmes d'Information
Accueil SSi-Conseil
Accès privilégié
SSI-Conseil
>Enjeux & Risques
Enjeux de la SSI
Risques
>Consulting Sécurité
Démarche Sécurité
Schéma Directeur SSI
Management SSI
Gestion opérationnelle
Communication SSI
>Gestion de Risques
Risk Management
>ISO 27000
ISO 27000
>Continuité d'Activité
Continuité d'Activité
>Services & Assistance
Assistance / Conseil SSi
TPE PME/PMI
>Formation
Formations
>Plus
Liens utiles
Auto-diagnostic SSi
Alertes Virus
Outils gratuits en ligne
Recherche avancée
Download zone
Legal crédits & ©
Glossaire
Plan du Site
>Partenaires
Ysosecure
Janua
Groupe-Stédia
BCP-Expert
Syndicate
Jeudi 17 Avril 2014
Advertisement
Gestion des incidents de sécurité Convertir en PDF Version imprimable Suggérer par mail
09-05-2007
La Gestion des Incidents est une des mesures des sécurité de l'ISO 27002 (ex ISO 17799:2005)
Elle fait aujourd'hui l'objet d'une norme ISO/IEC 27035.
L'obligation générale est :
  • Le signalement des évènements et des failles liées à la sécurité de l'information,
  • La mise en place des responsabilités et procédures liées à la gestion des incidents.

Les incidents de sécurité sont des évènements (failles de la politique de sécurité, des échecs dans les mesures, des situations non gérées …) de nature à compromettre les activités de l'organisation et à menacer la sécurité de l'information.
Les incidents sont donc distincts de la notion de sinistre mais peuvent en être à l'origine. La surveillance de cette évolution potentielle doit être sous contrôle d'une qualification permanente et d'une escalade éventuelle vers une gestion de crise.

Cohérence :

La gestion opérationnelle des incidents de sécurité doit être mise en place par le responsable opérationnel de la sécurité.
Cette gestion doit être intégrée avec la gestion des incidents (au sens ITIL) de l'organisation de l'informatique, notamment se conforter aux stratégies de veille et d'escalade déjà arrêtées pour le reste des activités du SI lorsqu'elles existent.
Anticiper pour ne pas improviser :
En pratique celà suppose la mise en place d'un cycle de gestion basé sur les 7 principes suivants :
  • Préparation :
Organisation de l'équipe de veille et d'intervention  (équipes GIS)
(taille de l'équipe, description des rôles)
Organiser les contacts (CERT, Autorités Juridiques, Autorités Policières, autres spécialistes)
Définition des procédures de gestion des incidents :
(exemple :Confidentialité, Communication, Procédures d'intervention suivant attaque, Sensibilisation et formation)
  • Prévention et veille à l'écoute des signaux précurseurs :
Détection et sélection des situations de risques (voir Méhari)
Vigie et veille technologique  (CERT, Fournisseurs, Web, Forums (F.I.R.S.T.,....)
Tests de vulnérabilité,
Mise en œuvre des outils de détection et de prévention (IDS, IPS,...)
Gestion des correctifs au quotidien.

  • Surveillance et qualification :
Exploitation des moyens de détection,
Détecter les activités non autorisées,
Journalisation des incidents de sécurité
S’assurer que les incidents sont rapportés rapidement
et selon le canal approprié
•    Suivi & évolution par une équipe GIS réduite
•    Mobilisation de l’équipe GIS
•    Déclenchement cellule de crise
  • Gestion des alertes
Les évènements de sécurité liés à l’information doivent être signalés, dans les meilleurs délais, par les circuits appropriés.
La procédure d’alerte doit permettre :
  1. L’évaluation des impacts de l’incident de sécurité
  2. La qualification du niveau d’incident (voir ci-dessus)
  3. L’escalade en fonction des niveaux ou de l’évolution de l’incident de sécurité

  • Réaction :
Objectif : préserver au maximum la qualité des indices pour :
1 mener une analyse technique
2 mener une autopsie légale
3 évaluer le périmètre des machines affectées
4 remettre le système en service
5 empêcher la récidive
Confinement des dommages,
Analyse et Enquête préliminaire :
Analyse des symptômes et des causes, Obtenir les autorisations, Collecter les preuves volatiles, copies d'écran, faire un copie physique des disques,...etc,
Escalades éventuelles,
  • Eradication :
Enquêtes approfondies
Elimination des causes selon les procédures préétablies,
  • Rétablissement :
Analyse des impacts selon Enquête approfondie
Reconstitution des environnements et systèmes
  • Suivi Post-mortem :
Documentation,
Améliorer les défenses,
Mise à jour des directives et procédures
Schéma général d'organisation d'une gestion d'incidents SSi (exemple) :

Gestion d'incidents

Que faire en cas d'intrusion ? : Les bons réflexes du CERTA
Ressources :
CERT Société Générale 15 Cheat Sheets sur la gestion des incidents de sécurité.... merci à Lenny Zeltser.
CLUSIF : Gestion des incidents de sécurité (PDF 60 pages)
CERT : Tutoriel (html) Creating a Computer Security Incident Response Team: A Process for Getting Started
Christophe Dubois SGDN/DCSSI/CERTA : Réagir aux incidents de sécurité  (PDF de 47 pages)
C.S.I.R.T. : Computer Security Incident Response Team (RFC 2350)
Handbook for Computer Security Incident Response Teams (CSIRTs)  (PDF)
David Crochemore (CERT/A) : A quoi sert un CERT ? (PDF de 23 pages)
Journal du net : Quels recours en cas d'intrusion
Eric A. Caprioli : Les moyens juridiques de lutte contre la cybercriminalité PDF de 4 pages)
Clusir Rhône-Alpes : Conservation de la preuve par B. Sueur et S. Pons (PDF de 20 pages)
Clusir Rhône-Alpes : Guide pratique des preuves : PPt de 38 diapos
Gartner : Magic quadrant for Security Information and Event Management (SIEM)
Gartner : Critical Capabilities for SIEM Technology
Avis d'expert: Philippe Le Berre dans Le Journal du Net : Comprendre les raisons de l'échec des SIEM et SIM
Dernière mise à jour : ( 24-02-2014 )
< Précédent   Suivant >
Copyright 2005-2014 SSi-Conseil
Mambo Free Software released under the GNU/GPL License.