Vous êtes sur la page 1sur 60

LES DOSSIERS TECHNIQUES

Gestion des incidents de scurit


du systme dinformation (SSI)

Mai 2011

Groupe de travail Gestion des incidents

CLUB DE LA SECURITE DE LINFORMATION FRANAIS


11 rue de Mogador - 75009 Paris
Tl. : +33 1 53 25 08 80 Fax : +33 1 53 25 08 88
clusif@clusif.asso.fr www.clusif.asso.fr
La loi du 11 mars 1957 n'autorisant, aux termes des alinas 2 et 3 de l'article 41, d'une part, que les copies ou reproductions
strictement rserves l'usage priv du copiste et non destines une utilisation collective et, d'autre part, que les analyses
et les courtes citations dans un but d'exemple et d'illustration, toute reprsentation ou reproduction intgrale, ou partielle,
faite sans le consentement de l'auteur ou de ayants droit ou ayants cause est illicite (alina 1er de l'article 40)
Cette reprsentation ou reproduction, par quelque procd que ce soit, constituerait donc une contrefaon sanctionne par les
articles 425 et suivants du Code Pnal
Table des matires
Remerciements ......................................................................................................................... IV
1 - Introduction........................................................................................................................... 9
2 - Primtre du document ....................................................................................................... 10
2.1. Objectifs du document ............................................................................................. 10
2.2. Dfinition dun incident SSI dans le cadre de ce document..................................... 11
3 - Organisation de la gestion des incidents SSI ...................................................................... 12
3.1. Introduction .............................................................................................................. 12
3.2. Politique de gestion des incidents de scurit .......................................................... 12
3.3. Les Mesures mettre en place.................................................................................. 12
3.4. Organisation ............................................................................................................. 15
3.4.1 Prambule......................................................................................................... 15
3.4.2 quipe de rponse aux incidents SSI ............................................................... 16
3.4.2.1 Fonctionnement ............................................................................................ 17
3.4.2.2 Services et primtre .................................................................................... 19
3.5. Processus de traitement des incidents ...................................................................... 22
4 - Gestion des incidents de SSI............................................................................................... 24
4.1. Dtection et signalement .......................................................................................... 24
4.2. Prise en compte ........................................................................................................ 24
4.2.1 Enregistrement de lincident ............................................................................ 24
4.2.2 Catgorisation par une quipe support ............................................................. 25
4.2.3 Qualification par lquipe de rponse aux incidents de scurit ...................... 25
4.3. Rponse lincident SSI .......................................................................................... 26
4.3.1 Mesures de rponses immdiates ..................................................................... 26
4.3.2 Investigations.................................................................................................... 26
4.3.2.1 Prservation des traces ................................................................................. 26
4.3.2.2 Environnements potentiellement concerns................................................. 27
4.3.2.3 Aide lanalyse ............................................................................................ 27
4.3.2.4 Identification du fait gnrateur et analyse de limpact................................ 27
4.3.3 Traitement ........................................................................................................ 28
4.3.3.1 Mesures pour viter laggravation des consquences................................... 28
4.3.3.2 Dclarations aux assurances......................................................................... 28
4.3.3.3 Rsolution de lincident ............................................................................... 29
4.3.3.4 Mthodes et outils ........................................................................................ 30
4.3.3.5 Exemples de traitements............................................................................... 30
4.4. Revues post-incident ................................................................................................ 31
4.4.1 Investigation post-incident ............................................................................... 31
4.4.2 Rapport de synthse.......................................................................................... 31
4.4.3 Analyse post-incident ....................................................................................... 32
4.5. Actions post-incident................................................................................................ 32
4.5.1 Bilan de lincident ............................................................................................ 32
4.5.2 Le Recours........................................................................................................ 32
4.5.3 Rvision des contrats........................................................................................ 33
4.5.4 Communication interne spcifique (sensibilisation, etc.) ................................ 33
4.6. Amlioration de la gestion des incidents SSI........................................................... 33
5 - Exemples de typologie des incidents .................................................................................. 35
5.1. Prsentation du format des fiches par type dincident.............................................. 35

Gestion des incidents I CLUSIF 2011


5.1.1 Description du type dincident de scurit ....................................................... 35
5.1.2 Mesures prventives possibles ......................................................................... 35
5.1.3 Moyens de dtection......................................................................................... 35
5.1.4 Qualification..................................................................................................... 36
5.1.5 Analyse............................................................................................................. 36
5.1.6 Traitement ........................................................................................................ 36
5.1.7 Actions post-incident........................................................................................ 36
5.2. Fiches par type dincident ........................................................................................ 37
5.2.1 Vol de PC portable ........................................................................................... 37
5.2.1.1 Description du type dincident de scurit ................................................... 37
5.2.1.2 Mesures prventives possibles ..................................................................... 37
5.2.1.3 Moyens de dtection..................................................................................... 37
5.2.1.4 Qualification................................................................................................. 38
5.2.1.5 Analyse......................................................................................................... 38
5.2.1.6 Traitement .................................................................................................... 38
5.2.1.7 Actions post-incident.................................................................................... 38
5.2.2 Installation dun logiciel non autoris .............................................................. 39
5.2.2.1 Dfinition de lincident ................................................................................ 39
5.2.2.2 Mesures prventives possibles ..................................................................... 39
5.2.2.3 Moyens de dtection..................................................................................... 39
5.2.2.4 Analyse......................................................................................................... 39
5.2.2.5 Traitement .................................................................................................... 40
5.2.2.6 Actions post-incident.................................................................................... 40
5.2.3 Dysfonctionnement pouvant provenir dun logiciel malveillant...................... 41
5.2.3.1 Dfinition de lincident ................................................................................ 41
5.2.3.2 Mesures prventives possibles ..................................................................... 42
5.2.3.3 Moyens de dtection..................................................................................... 42
5.2.3.4 Qualification................................................................................................. 43
5.2.3.5 Analyse......................................................................................................... 43
5.2.3.6 Traitement .................................................................................................... 43
5.2.3.7 Actions post-incident.................................................................................... 43
5.2.4 Intrusions logiques ........................................................................................... 44
5.2.4.1 Description du type dincident de scurit ................................................... 44
5.2.4.2 Mesures prventives possibles ..................................................................... 44
5.2.4.3 Moyens de dtection..................................................................................... 45
5.2.4.4 Analyse......................................................................................................... 45
5.2.4.5 Traitement .................................................................................................... 46
5.2.4.6 Actions post-incident.................................................................................... 46
5.2.5 Usage inappropri des ressources informatiques ............................................. 47
5.2.5.1 Description du type dincident de scurit ................................................... 47
5.2.5.2 Mesures prventives possibles ..................................................................... 47
5.2.5.3 Dtection ...................................................................................................... 48
5.2.5.4 Analyse......................................................................................................... 48
5.2.5.5 Traitement .................................................................................................... 49
5.2.5.6 Actions post-incident.................................................................................... 49
5.2.6 Incidents concernant les habilitations............................................................... 50
5.2.6.1 Description du type dincident de scurit ................................................... 50
5.2.6.2 Mesures prventives possibles ..................................................................... 50
5.2.6.3 Dtection ...................................................................................................... 51

Gestion des incidents II CLUSIF 2011


5.2.6.4 Analyse......................................................................................................... 51
5.2.6.5 Traitement .................................................................................................... 52
5.2.6.6 Actions post-incident.................................................................................... 52
5.2.7 Dni de service Messagerie par saturation du relais public de messagerie ...... 53
5.2.7.1 Description du type dincident de scurit ................................................... 53
5.2.7.2 Mesures prventives possibles ..................................................................... 53
5.2.7.3 Dtection ...................................................................................................... 54
5.2.7.4 Analyse......................................................................................................... 55
5.2.7.5 Traitement .................................................................................................... 55
5.2.7.6 Actions post-incident.................................................................................... 55
5.2.8 Cas des incidents lis........................................................................................ 56
5.2.8.1 Description du type dincident de scurit ................................................... 56
5.2.8.2 Mesures prventives possibles ..................................................................... 56
5.2.8.3 Dtection ...................................................................................................... 56
5.2.8.4 Analyse......................................................................................................... 57
5.2.8.5 Traitement .................................................................................................... 57
5.2.8.6 Actions post-incident.................................................................................... 57
6 - Glossaire (source principale : Wikipedia)............................................................... 58

Table des figures


Figure 1 - Acteurs / partenaires de lquipe de rponse aux incidents de scurit................... 17
Figure 2 Grands domaines dactivit des services lis la gestion d'incidents de scurit .. 19

Gestion des incidents III CLUSIF 2011


REMERCIEMENTS

Le CLUSIF tient mettre ici l'honneur les personnes qui ont rendu possible la ralisation de
ce document, tout particulirement :

Les responsables successifs du groupe de travail :


Robert BERGERON CAPGEMINI

Witold POLOCZANSKI CAPGEMINI

Les contributeurs :
Michel BERTIN

David BIZEUL SOCIETE GENERALE

Annie BUTEL BNP PARIBAS

Philippe LARUE CBP

Sbastien MAUPTIT SYSTALIANS

Lionel MOURER ESR CONSULTING

Grard PETITIT GRAS SAVOYE

Dominique POURCELLIE CNAMTS


HP ENTERPRISE SERVICES
Manuel PRIEUR

Nous remercions aussi les nombreux adhrents du CLUSIF ayant particip la relecture.

Gestion des incidents IV CLUSIF 2011


1 - Introduction
La notion dincident est trs large et couvre des domaines varis : incident technique, incident
fonctionnel, incident social, incident de scurit, incident de communication, incident de
paiement, incident financier, etc. Dune manire gnrale, un incident peut tre dfini comme
un vnement causant des dommages ou susceptible de le faire des personnes ou des
organisations.

Concernant les Systmes dInformation, il existe diffrentes dfinitions de la notion


dincident :
pour le COBIT :
Incident informatique : tout vnement qui ne fait pas partie du fonctionnement normal
dun service et qui cause, ou peut causer, une interruption ou une rduction de la
qualit de ce service (IT Incident, dfinition conforme lIT Infrastructure Library,
ITIL),
Problme : en informatique, cause la base dun ou de plusieurs incidents.

pour ITIL :
Incident : tout vnement qui ne fait pas partie du fonctionnement standard dun
service et qui cause, ou peut causer, une interruption ou une diminution de la qualit
de ce service.
Problme : la cause inconnue dun incident significatif ou la collection de plusieurs
incidents prsentant les mmes symptmes. La gestion des problmes consiste en une
analyse visant anticiper les incidents venir.

pour lISO 27000 (scurit de linformation) :


Incident : un ou plusieurs vnements intressant la scurit de linformation
indsirable(s) ou inattendu(s) prsentant une probabilit forte de compromettre les
oprations lies lactivit de lorganisme et de menacer la scurit de linformation
[ISO/CEI TR 18044:20041].

Quelle que soit lapproche, la gestion des incidents a pour objectif la dtection et le traitement
des incidents ( priori et posteriori). Le processus de gestion des incidents inclut en gnral
la dtection de lincident, les analyses et diagnostics, la rsolution de lincident et/ou le
rtablissement du service affect. Un aspect important de la gestion des incidents est le suivi
(reporting) de ce processus et la capitalisation (bilan).

La qualit de service et la performance des organisations exigent la mise en place dune


gestion efficace des incidents et des problmes. La gestion des incidents est galement un
dispositif amont essentiel du Plan de Reprise dActivit car elle dfinit les procdures
descalade qui permettent dtre plus ractif pour le dclenchement des plans de secours.

11
La norme ISO/CEI TR 27035 en prparation va remplacer cette norme prochainement.

Gestion des incidents 9 / 60 CLUSIF 2011


2 - Primtre du document

2.1. Objectifs du document

Ce document na pas pour ambition de couvrir tous les types dincident. Son objet est de
constituer un guide de mise en place dun systme de gestion des incidents de Scurit du
Systme dInformation et dapporter une aide la classification et lanalyse de ces incidents.
Il fournit galement en annexe des fiches de recommandations pour les incidents de scurit
les plus courants.

Le document concerne donc principalement dans une organisation, les personnes en


charge de :
la Scurit du Systme dInformation (RSSI, administrateurs de la scurit,
correspondants scurit, etc.),
la gestion des risques (suivi et valuation des risques avrs),
le contrle interne, laudit, linspection, le contrle priodique,
la qualit (taux de disponibilit, frquence des vnements, etc.),
la production.

Les raisons qui conduisent la mise en place dun systme de gestion des incidents peuvent
tre diverses, par exemple :
la dcision de mise en place dun processus damlioration continue,
la ncessit de se conformer aux exigences rglementaires du secteur dactivit,
la mise en uvre dun plan scurit avec un objectif de rduction du nombre et de
limpact des incidents,
la dcision damliorer la gestion dincidents existante (meilleure ractivit, meilleure
efficacit du traitement des incidents, etc.),
la mise en place de procdures descalade dans le cadre dun projet dlaboration
dun Plan de Continuit dActivit (PCA), dun Plan de Gestion de Crise, etc.,
la volont de mettre en place un SMSI, voire dobtenir une certification (ISO 27001
par exemple).

Gestion des incidents 10 / 60 CLUSIF 2011


2.2. Dfinition dun incident SSI dans le cadre de ce document

La suite du document concerne les incidents de Scurit du Systme dInformation (SSI).


Mais quest-ce quun incident SSI exactement?

Reprenant les dfinitions cites dans lintroduction, nous dsignerons par incident SSI un
vnement, potentiel (au sens signes prcurseurs ) ou avr, indsirable et/ou inattendu,
impactant ou prsentant une probabilit forte dimpacter la scurit de linformation dans ses
critres de Disponibilit, d'Intgrit, de Confidentialit et/ou de Preuve.

Un incident SSI correspond une action malveillante dlibre, au non-respect dune rgle de
la Politique de Scurit du Systme dInformation (PSSI) ou, dune manire gnrale, toute
atteinte aux informations, toute augmentation des menaces sur la scurit des informations ou
toute augmentation de la probabilit de compromission des oprations lies lactivit.

Concernant la disponibilit, on fera la diffrence entre les sinistres majeurs (incendie,


inondation, etc.) ncessitant lactivation dune cellule de crise et les autres incidents (panne
dun serveur). Une atteinte la disponibilit pourra tre considre comme tant un incident
de scurit (dni de service suite intrusion) ou non (panne de serveur suite dfaillance dun
composant), aprs analyse des causes.

Gestion des incidents 11 / 60 CLUSIF 2011


3 - Organisation de la gestion des incidents SSI

3.1. Introduction

La mise en uvre dun processus de gestion des incidents de scurit ncessite la dfinition :
du primtre,
des objectifs (politique de gestion des incidents),
des mesures (processus, bonnes pratiques, etc.),
des moyens associs (organisation des ressources matrielles / humaines /
budgtaires).

3.2. Politique de gestion des incidents de scurit

Une politique de gestion des incidents de scurit passe par la dfinition de deux objectifs
majeurs :
garantir que le mode de notification des vnements et des failles lis la scurit de
linformation permet la mise en uvre dune action complmentaire ou corrective
dans les meilleurs dlais,
garantir la mise en place dune approche cohrente et efficace pour le traitement des
incidents lis la scurit de linformation.

3.3. Les Mesures mettre en place

Les mesures suivantes sont essentielles latteinte de ces deux objectifs.

1. Les vnements lis la scurit de linformation doivent tre signals, dans les meilleurs
dlais, par les circuits appropris

Bonnes pratiques :
des procdures formelles de signalement, de remonte dinformations et de rponses
en cas de dtection dun incident li la scurit de linformation doivent dfinir les
mesures prendre la rception dun appel signalant un tel vnement,
le Service Desk, lquipe de rponse aux incidents et le RSSI peuvent tre les points
dentre pour le signalement des vnements lis la scurit de linformation,
tous les utilisateurs doivent tre informs des points dentre, des procdures de
signalement et de leur obligation de signaler tout vnement li la scurit de
linformation dans les meilleurs dlais (charte, sensibilisation).

Gestion des incidents 12 / 60 CLUSIF 2011


2. Il doit tre demand tous les salaris, contractants et utilisateurs tiers des systmes et
services dinformation de noter et de signaler toute faille de scurit observe ou
souponne dans les systmes ou services

Bonnes pratiques :
tous les salaris, contractants et utilisateurs tiers sont tenus de signaler ce type de
problme au Service Desk, dans les meilleurs dlais, afin dviter tout incident li la
scurit de linformation,
le mcanisme de signalement doit tre le plus simple, le plus accessible et le plus
disponible possible. Il est recommand ces personnes de ne jamais tenter dapporter
la preuve de failles de scurit souponnes.

3. Des responsabilits et des procdures doivent tre tablies, permettant de garantir une
rponse rapide, efficace et pertinente en cas dincident li la scurit de linformation

Bonnes pratiques :
outre le signalement des vnements et failles lis la scurit de linformation, il est
recommand de mettre en place une surveillance des systmes, des alertes et des
vulnrabilits afin de dtecter les incidents lis la scurit de linformation,
des priorits de traitement des incidents de scurit doivent tre dfinies,
une description des incidents de scurit et les modes opratoires de rsolution
spcifiques permettent de grer les diffrents types dincidents lis la scurit de
linformation,
de manire optimale, la clture dun incident de scurit est confirme par le dclarant.
Le RSSI donne une apprciation qualitative sur la rsolution de lincident (dlais,
solution propose, amlioration potentielle, etc.).

4. Des mcanismes (organisation, procdures, outils, etc.) doivent tre mis en place,
permettant de quantifier et surveiller les diffrents types dincidents lis la scurit de
linformation ainsi que leur volume et les cots associs

Bonnes pratiques :
les informations recueillies lors de la rsolution dincidents lis la scurit de
linformation pour identifier les incidents rcurrents ou ayant un fort impact sont
rvalues la fin de lincident,
lvaluation dincidents lis la scurit de linformation peut faire apparatre la
ncessit damliorer les mesures existantes ou den crer de nouvelles, afin de limiter
la frquence des futurs incidents ainsi que les dommages et les cots associs, ou afin
dintgrer ces mesures dans le processus de rexamen de la politique de scurit. En ce
sens, une analyse froid des incidents ayant donn lieu une cellule de crise est
ralise lors des comits excutifs (afin didentifier les ventuelles actions prventives
engager),
une revue des incidents ralise rgulirement permet notamment de quantifier et
surveiller les diffrents types dincidents lis la scurit de linformation ainsi que
leur volume, les cots associs et leurs impacts sur les processus mtier.

Gestion des incidents 13 / 60 CLUSIF 2011


5. Un programme d'assurances adapt doit tre mis en uvre pour protger les personnes,
les investissements, les informations et lensemble des actifs de lentreprise ou de
lorganisme. La dfinition du primtre assurer fait en rgle gnrale l'objet d'une
analyse de risques mene avec l'assureur. Il faut valuer le plus prcisment possible, la
nature des risques encourus, les consquences financires qu'ils peuvent engendrer, puis
arbitrer entre l'auto-assurance (provision, franchise) et le transfert de risques
l'assureur.
Ces contrats dassurances doivent couvrir galement les risques informatiques (pannes,
destruction, vol de matriel, fraude, etc.) et tout particulirement le poste surcot
dexploitation en cas de sinistre . Des assurances de type pertes d'exploitation
permettent de surmonter les difficults financires engendres par un sinistre.

Bonne pratiques :
actualiser rgulirement le primtre assurer et rviser les contrats en consquence,
dmontrer lefficacit de lorganisation en place pour la gestion des incidents. Cest
une aide pour ngocier des tarifs dassurance prfrentiels.

6. Lorsquune action en justice civile ou pnale peut tre engage contre une personne
physique ou un organisme, la suite dun incident li la scurit de linformation, les
lments de preuve doivent tre recueillis, conservs et prsents conformment aux
dispositions lgales relatives la prsentation de preuves rgissant la ou les juridiction(s)
comptente(s)

Bonnes pratiques :
si elles existent, raliser les dclarations CNIL (ou quivalent) pour les logiciels
danalyse des vnements de scurit,
avoir une procdure interne qui dfinit les exigences de scurit en matire de collecte
des traces techniques de scurit, de leur conservation, de leur protection et de leur
accs,
seules les autorits judiciaires sont autorises collecter les preuves lgales.

Gestion des incidents 14 / 60 CLUSIF 2011


3.4. Organisation

3.4.1 Prambule
Une fois lincident qualifi en tant quincident de scurit il doit tre confi une quipe
spcialement constitue pour lanalyse, lvaluation dimpact, les actions correctives et la
remise en fonction du service affect. Cette quipe porte trs souvent le nom de CSIRT
(Computer Security Incident Response Team) ou ISIRT (Information Security Incident
Response Team).

En fonction de la taille de lentreprise ou de lorganisme cette quipe peut avoir une


organisation trs diffrente :
modle centralis (CCSIRT) une quipe unique et centralise prenant en charge tous
les incidents de lorganisation/entreprise. Ce modle est efficace pour les organisations
de taille limite ou les grandes organisations avec les moyens informatiques trs
centraliss,
modle distribu (DCSIRT) plusieurs quipes disperses gographiquement en
fonction de la localisation de centres dhbergement de ressources informatiques. Il est
important, pour une meilleure efficacit et communication, que ces quipes soient
malgr tout administres par une autorit centrale pour garantir lapplication des
procdures homognes et un change efficace dinformations entre les quipes,
entit de coordination dans le cas du modle distribu fortement dispers ou dune
communaut dorganisations indpendantes lquipe de coordination remplit les rles
suivants :
o coordinateur des actions des diffrents DCSIRT quand lincident a un impact
sur plusieurs entits,
o centre dexpertise et dassistance,
o metteur de recommandations et des bonnes pratiques,
o gestionnaire de base de connaissances partage par tous les membres
dorganisation ou communaut.
Un exemple de centre de coordination pour la communaut dutilisateurs
dInternet est le CERT/CC (Central Emergency Response Team / Coordination
Center situ luniversit de Carnegie Mellon aux tats-Unis) ou le CERTA
(Centre d'Expertise Gouvernemental de Rponse et de Traitement des Attaques
informatiques) du gouvernement franais (liste non exhaustive).

Indpendamment du modle dorganisation les membres de chaque quipe doivent disposer


des moyens fiables et scuriss de communication interne, mais galement externe pour
collaborer avec les quipes concernes dans le cadre de leur activit.

Un autre aspect de lorganisation de moyens de gestion dincidents de scurit est la dcision


du mode de gestion des ressources humaines et des services.

Dans le cas le plus simple lquipe est constitue demploys de lentreprise ou de


lorganisme et prend en charge lensemble des services. Dans certains cas, elle fait appel au
support offert par les socits externes. Ce modle peut tre difficile faire fonctionner
cause du large ventail de comptences exiges dans plusieurs domaines dune part et de

Gestion des incidents 15 / 60 CLUSIF 2011


lobligation doprer le plus souvent 24h/24 et 7j/7, dautre part. Seules les grandes
entreprises / organisations peuvent soffrir ces capacits.

loppos du modle prcdent il est possible dexternaliser entirement la gestion des


incidents de scurit des prestataires de services spcialiss (MSSP Managed Security
Services Provider). Dans ce cas les tches de prise dappel, de monitoring et dtection,
danalyse, dvaluation dimpact et de reporting sont entirement prises en charge par le
prestataire et les actions correctives et de restitution des services sont faites en collaboration
avec les quipes de production (internes ou externes).

Souvent le modle mixte de rpartition des tches entre le personnel interne et prestataires
peut tre le mieux adapt.

Dans de nombreux cas, il est trs important de dfinir prcisment, de publier et de


communiquer les missions et les services fournir par chacune des entits concernes.

Enfin, les quipes oprationnelles, dans de nombreux cas, seront obliges de communiquer
avec les dcideurs, ladministration et le support technique. Elles doivent donc disposer tout
moment dune liste jour des contacts nominatifs reprsentant diffrentes entits comme :
la Direction Gnrale,
le RSSI,
les tlcoms et rseaux,
le support IT,
les services juridiques,
la communication (relations presse et mdia),
les RH,
les acteurs du PCA,
la scurit physique,
les services gnraux.

3.4.2 quipe de rponse aux incidents SSI


Pour que les incidents de scurit puissent tre correctement traits, il est ncessaire qu'une
structure existe et qu'elle soit ddie la gestion d'incidents. Les sigles CERT (Computer
Emergency Response Team) ou CSIRT (Computer Security Incident Response Team)
dcrivent les activits de telles quipes.

Cette structure est amene tre sollicite par sa hirarchie ou par des contacts techniques
pour qualifier des vnements et intervenir sur un incident de scurit. Pour cela, cette quipe
doit tre clairement identifie comme un point de passage oblig dans tout circuit de
notification d'incident.

Cette quipe doit galement disposer de la lgitimit ncessaire pour pouvoir agir rapidement.
Pour cela, le management doit tre persuad de l'intrt des actions de l'quipe, il doit donc
tre impliqu dans la dfinition des objectifs de l'quipe et tre bnficiaire de services offerts
par l'quipe.

Gestion des incidents 16 / 60 CLUSIF 2011


3.4.2.1 Fonctionnement

Une quipe de rponse aux incidents de scurit doit rpondre diffrents objectifs imposs
par son environnement. Parmi ses objectifs on peut lister :
la rationalisation de la veille dans l'entreprise ou lorganisme,
la ncessit de traiter rapidement tout type d'incident de scurit par du personnel
qualifi habilit et avec des modes opratoires prouvs,
la ncessit d'avoir une vue du risque d'exposition du SI de l'entreprise ou de
lorganisme.

Ces objectifs rpondent des stratgies d'entreprise ou dorganisme (conformit


rglementaire, protection de l'image, efficacit oprationnelle, etc.).

L'environnement d'une quipe de rponse aux incidents de scurit est constitu de cercles
d'acteurs / partenaires avec lesquels elle travaille (cf. Figure 1) :
cercle de premier niveau : les commanditaires du service (responsables hirarchiques
ou fonctionnels),
cercle de second niveau : les acteurs internes pour lesquels elle intervient
(responsables scurit, responsables informatiques),
cercle de troisime niveau : les acteurs internes avec lesquels elle travaille au quotidien
(quipes de production, support informatique, quipes projet),
cercle de quatrime niveau : les acteurs internes avec lesquels elle a besoin de
travailler ponctuellement (juristes, ressources humaines, charg de communication,
cellule de crise),
cercle de cinquime niveau : les acteurs externes avec lesquels elle travaille
(fournisseurs de services, prestataires de service),
cercle de sixime niveau : les acteurs externes avec lesquels elle change (CERTs,
forces de police, chercheurs indpendants, etc.).

Acteurs externes
Acteurs externes
Acteurs internes
Acteurs internes
Demandeurs
Responsables
EXT INT CSIRT 1 2 3 4 5 6
RSSI
Clients
Equipe partenaires
Assistance ponctuelle
Fournisseurs
Contacts

Figure 1 - Acteurs / partenaires de lquipe de rponse aux incidents de scurit

Gestion des incidents 17 / 60 CLUSIF 2011


Cet environnement complexe requiert d'tre maintenu jour pour assurer une pleine capacit
de raction l'quipe de rponse aux incidents. Une veille permanente et attentive aux
nouvelles tendances et mthodes d'attaques est galement ncessaire.

Pour tre contacte rapidement, l'quipe de rponse aux incidents doit bnficier d'une bonne
visibilit en interne comme en externe. Latteinte de cet objectif ncessite du temps et la mise
en uvre de diffrentes actions telles que : rencontres, prsentations orales, participations
des confrences.

Il est utile de fournir l'quipe une adresse de messagerie gnrique et un numro de


tlphone.

Les comptences requises au sein de l'quipe de rponse aux incidents sont multiples et
dpendent des services qui sont fournis par l'quipe. Dans la plupart des cas, il sera ncessaire
de disposer :
de comptences techniques pour pouvoir analyser prcisment le contexte oprationnel
dans lequel lincident sest produit et identifier rapidement des contre-mesures
pouvant tre mises en uvre sans mettre en pril le Systme dInformation,
dune connaissance du contexte et des enjeux mtier,
de comptence rdactionnelle pour pouvoir formaliser correctement toutes les actions
entreprises dans les cas de rponse incident,
dune aisance relationnelle pour pouvoir changer facilement avec les acteurs
concerns en adaptant le discours en fonction du profil des interlocuteurs.

Gestion des incidents 18 / 60 CLUSIF 2011


3.4.2.2 Services et primtre

L'quipe peut offrir de multiples services lis la gestion d'incidents de scurit. Ces services
peuvent tre regroups en trois grands domaines d'activit (cf. Figure 2) :
services ractifs,
services proactifs,
services qualitatifs.

Services Ractifs Services proactifs Services qualitatifs

Alertes Annonces
Incident
Veille technologique Analyse de risques
- Analyse
- Traitement Audits scurit
PCA / PRA
- Support
- Coordination Administration de
composants scurit Conseils
Vulnrabilits
- Analyse Dveloppement doutils Sensibilisation
- Correction
- Coordination Dtection dintrusion
Formation
Outils dattaque
Corrlation
- Analyse
Validation de produits
- Traitement Surveillance
- Coordination

Figure 2 Grands domaines dactivit des services lis la gestion d'incidents de scurit

Services ractifs
Le domaine ractif regroupe tous les services qui peuvent tre mis en uvre lors du traitement
d'un incident de scurit. Les services suivants sont rattachs ce domaine :
service d'alerte : ce service a pour objectif de notifier les parties prenantes d'un danger
trs court terme. Des contremesures sont listes permettant de remdier au problme,
service de traitement des incidents : ce service assure la prise en charge partielle ou
totale de l'incident par l'quipe de rponse aux incidents de scurit. L'quipe pourra
apporter une simple assistance tlphonique, fournir des modes opratoires ou assister
physiquement les quipes oprationnelles lors de cet incident. L'quipe intervenant sur
l'incident aura sa charge la dtection, l'isolation et la remdiation de la menace
associe l'incident. Un service sous intervention est prfrable mais demande des
comptences multiples, des procdures rodes et de l'outillage,
service de gestion des vulnrabilits : ce service consiste centraliser les vulnrabilits
sur le primtre de l'entreprise ou de lorganisme, les analyser et coordonner leur
correction,
PCA/PRA : un incident analys et jug important pourra engendrer la ncessit de
dclencher un plan de continuit d'activit (PCA) voire un plan de reprise d'activits
(PRA.) Dans ce cas, il est capital que l'quipe en charge du traitement de l'incident soit

Gestion des incidents 19 / 60 CLUSIF 2011


intgre aux procdures dalerte et de qualification du PCA. L'quipe de rponse aux
incidents pourra contribuer la gestion de crise selon la nature de lincident.

Services proactifs
Le domaine proactif regroupe des services qui ont pour objectif de prvenir l'apparition d'un
incident ou tout du moins d'anticiper son traitement. Les services suivants sont rattachs au
domaine proactif :
annonces : diffusion d'informations permettant d'anticiper une menace (informations
concernant les vulnrabilits ou ltat de la propagation d'une menace constate en
externe),
veille technologique : mise disposition d'une synthse sur les informations de
scurit essentielles sur une priode donne,
audits de scurit et tests d'intrusion : ces services permettent d'avoir une meilleure
visibilit du niveau du risque et de reprer les points de faiblesse de certains pans du
SI,
administration de composants scurit : ce service permet dassurer ladministration
des briques de linfrastructure scurit de faon garantir la matrise du traitement en
cas dincident,
dveloppement doutils : ce service vise dvelopper quelques outils scurit,
dtection d'intrusions : ce service permet d'avoir une visibilit sur les attaques
destination du SI,
corrlation d'vnements de scurit : ce service permet dassocier les vnements de
scurit pour identifier sils donnent lieu un incident de scurit,
surveillance : ce service trs gnrique peut tre dclin en activits distinctes suivant
le mtier de l'entreprise /organisme ou ses centres d'intrt. Dans tous les cas, des
services de surveillance permettront d'identifier des comportements anormaux
probablement caractristiques d'un incident de scurit.

Services qualitatifs
Le domaine qualitatif regroupe des services qui participent l'lvation du niveau de scurit
par des actions de fond. Ces services ne sont pas propres la gestion d'incident, mais une
quipe de raction aux incidents peut souvent y apporter une forte valeur ajoute. Les services
suivants sont rattachs ce domaine :
analyse de risques : une quipe de rponse aux incidents peut apporter une aide
prcieuse pour identifier rapidement les menaces et leurs impacts sur un actif de
l'entreprise ou de lorganisme. Dans ce cas, une interaction doit tre cre entre les
quipes projets ou d'architecture en charge des analyses de risque et l'quipe de
raction aux incidents,
PCA/PRA : une quipe de rponse aux incidents acquire rapidement de lexprience
sur les typologies dincidents rencontrs dans lentreprise ou lorganisme et sur le
mode de traitement le plus adapt pour leur radication. L'quipe de rponse aux
incidents pourra contribuer la gestion de crise selon la nature de lincident,
qualification des incidents de scurit : lquipe de rponse aux incidents de scurit
contribue llaboration de guides de qualification des incidents, notamment pour
lquipe dassistance de premier niveau,
conseils : la bonne matrise des attaques et des contremesures confre l'quipe de
rponse aux incidents des connaissances qui pourront tre mises contributions pour

Gestion des incidents 20 / 60 CLUSIF 2011


des missions de conseil. Tout du moins, il est important que l'quipe soit reconnue par
les quipes projet pour solliciter son conseil sur des points prcis,
sensibilisation : les incidents rencontrs par l'quipe de rponse aux incidents lui
procurent une bonne visibilit des choses faire et viter. Cette connaissance peut
tre mise contribution pour des actions ponctuelles ou rcurrentes de sensibilisation
auprs de publics varis (salaris, managers, dveloppeurs, etc.),
formation : lquipe de rponse aux incidents peut, dans certains cas offrir un service
de formation permettant de dvelopper des comptences particulires en interne dans
lentreprise/organisme,
validation de produits : dans certains cas, il peut tre pertinent de disposer dans
lentreprise/organisme dune quipe mme de tester certains produits tiers pour les
estampiller comme respectueux des engagements de qualit attendus.

La liste des services n'est pas exhaustive et la mise en uvre devra tenir compte du contexte
de l'entreprise/organisme. Tous les services ne sont pas ncessairement offerts par l'quipe de
rponse aux incidents. Si des services ne lui incombent pas, il est par contre du ressort de
lorganisation d'identifier tous les acteurs qui offrent ces services et d'tablir un contact
durable entre eux et lquipe de rponse aux incidents de scurit.

Dans une perspective de rponses aux incidents, le domaine ractif est un lment fondateur et
il est ncessaire qu'au moins un des services rattachs ce domaine soit mis en uvre dans
l'quipe.

Gestion des incidents 21 / 60 CLUSIF 2011


3.5. Processus de traitement des incidents

Le processus de gestion des incidents de scurit est reprsent par le schma ci-dessous.
La particularit du traitement des incidents de scurit tient lintervention de lquipe de
rponse aux incidents de scurit. Les autres volets du processus appartiennent soit au
processus gnral de gestion des incidents (prise en compte de lincident, catgorisation,
qualification, traitement), soit au processus de gestion de crise.

Source Prise en compte Equipe de rponse aux Cellule de crise


(humaine/technique) (Help desk) incidents de scurit

Evnement

Dtection

Incident de scurit
Signalement Enregistrement potentiel
!
Catgorisation Qualification

Qualification Situation
confirme !
Critique
Rponse Activation
Autres Support Immdiate Crise
incidents
Investigations Crise
Requalification
Qualification
Communication
Plan de
Gestion de
Traitement Traitement Crise

Bilan et Clture

Figure 3 Schmatique du processus de gestion des incidents

Le signalement dun vnement susceptible dtre qualifi dincident de scurit est ralis
soit par une personne (utilisateur, administrateur, etc.) ou par des moyens techniques (outils
de surveillance, sites Internet spcialiss, etc.).

La prise en compte est ralise en gnral par un Help Desk. Dautres circuits peuvent exister.
Dans tous les cas, il est ncessaire que lvnement soit enregistr de manire pouvoir en
faire un suivi.

Cest ce stade de la prise en compte que lvnement est catgoris. Il peut tre catgoris
incident de scurit ou tre confi des experts pour qualification.

Les incidents catgoriss incident de scurit sont immdiatement soumis lquipe de


rponse aux incidents de scurit. Les autres types dincident sont transmis aux quipes
comptentes pour leur traitement (support).

Gestion des incidents 22 / 60 CLUSIF 2011


Lquipe de gestion des incidents de scurit, aprs analyse, confirme ou infirme la
catgorisation incident de scurit (qualification). Les incidents non confirms incident
de scurit sont retransmis aux quipes support.

Les incidents qualifis de scurit font alors lobjet dun traitement spcifique dont les
particularits sont dveloppes dans le chapitre suivant. Outre les investigations
complmentaires, le traitement des incidents de scurit peut ncessiter des actions
spcifiques telles que la prservation des preuves ou des actions adaptes de communication.

Lorsque lquipe de gestion des incidents de scurit nest plus mme de grer la situation,
ou lorsque les consquences potentielles sont un niveau trop important, la cellule de crise est
alerte et juge de lopportunit de passer en mode gestion de crise .

Gestion des incidents 23 / 60 CLUSIF 2011


4 - Gestion des incidents de SSI
Ce chapitre dtaille les tapes du processus de gestion des incidents prsent dune manire
gnrale dans le chapitre 3.5.

4.1. Dtection et signalement

La dtection peut avoir pour origine :


toute personne qui a connaissance dun fait ou dune menace pour lorganisme (par
exemple comportement anormal dun quipement, dune application ou dune
personne),
un administrateur lorsquil est inform par un dispositif de supervision ou lorsquil
constate une anomalie lors de contrles,
un acteur de la scurit lorsquil est inform par un outil de surveillance (dtection
dintrusion ou daction frauduleuse) ou lorsquil constate une anomalie lors de
contrles.

Lanomalie doit pouvoir tre signale une personne comptente dans les plus brefs dlais. Le
contact habituel pour lutilisateur est le help desk. Cependant, il doit galement tre possible
de contacter directement un responsable de la scurit en toute discrtion si la situation
lexige. Les utilisateurs doivent tre sensibiliss et informs sur les diffrents niveaux dalerte.

Dans tous les cas, on doit sassurer que les moyens dalerte sont suffisamment rapides, y
compris en dehors des heures ouvres, pour permettre une rponse adapte (empcher que
lincident se poursuive, prserver les preuves, etc.).

Des mesures immdiates peuvent tre associes la dtection, soit sous forme de consignes
pour la personne qui dtecte, soit par lactivation automatique de mcanismes de protection.

4.2. Prise en compte

4.2.1 Enregistrement de lincident


Comme indiqu prcdemment, un incident suppos de scurit peut tre signal diffrentes
personnes, en gnral le help desk, selon des procdures devant tre connues de tous. Dans
tous les cas, la personne qui rceptionne lappel ou lalerte doit en accuser rception.
Lvnement doit immdiatement tre enregistr dans une base de donnes des incidents.

A ce stade de la procdure, lvnement nest pas encore qualifi dincident de scurit mais il
est catgoris. Lenregistrement de lvnement doit comporter minima la date et lheure de
lalerte, son origine (personne ou dispositif technique), les coordonnes du dclarant, une
description aussi prcise que possible de lvnement et sa catgorisation. Comme pour tout
incident, un numro de dossier est gnr et communiqu si ncessaire au dclarant. La
personne qui enregistre lvnement doit galement mentionner laction immdiate

Gestion des incidents 24 / 60 CLUSIF 2011


dclenche (par exemple transmission une quipe support ou directement lquipe de
traitement des incidents de scurit pour qualification).

Lenregistrement de lvnement est essentiel plusieurs titres. Il permet de garder une trace
de chaque vnement et den effectuer un suivi dans toutes les phases ultrieures, danalyse ou
de traitement, jusqu la fermeture du dossier.

La base des vnements constitue galement un outil danalyse a posteriori dans le cadre
danalyses de risques, pour valuer lefficacit des dispositifs en place ou pour identifier des
incidents rcurrents pouvant tre qualifis de problme .

4.2.2 Catgorisation par une quipe support


Une fois lincident identifi comme incident de scurit potentiel, lquipe support peut
tre habilite pour prendre des mesures ou transmettre lincident lquipe de gestion des
incidents de scurit.

Lquipe de rponse aux incidents de scurit tablit des consignes dalerte scurit (fiches
par type dincident) pour les quipes support.

Pour les incidents identifis, ces consignes indiquent le mode opratoire du traitement de ces
incidents pour les quipes de support. Dans les autres cas, cest lquipe de rponse aux
incidents de scurit qui doit tre immdiatement sollicite.

Par exemple : lquipe de rponse aux incidents de scurit peut galement tre sollicite
chaque fois quune quipe support ou quun membre du personnel pense tre face un
vnement susceptible davoir un impact fort sur lorganisation.

Les consignes peuvent ventuellement spcifier que tout incident susceptible dtre dorigine
malveillante ou concernant certains quipements ou logiciels ou encore signal par certains
dispositifs techniques, doit tre transmis lquipe de rponse aux incidents de scurit.

4.2.3 Qualification par lquipe de rponse aux incidents de scurit


Une premire analyse, conduite par lquipe de rponse aux incidents de scurit, confirme ou
infirme la catgorisation incident de scurit .
Les incidents non confirms incident de scurit sont transmis aux quipes support pour
traitement.

Lquipe de rponse aux incidents de scurit procde si ncessaire des investigations


complmentaires pour qualifier lvnement. Les critres dvaluation dimpact prenant en
compte diffrents axes danalyse (impacts financiers, impacts sur limage, impacts sur les
clients ou partenaires, risques de poursuite judiciaire, etc.) doivent tre prtablis et mis la
disposition de lquipe. Typiquement ces critres sont issus de lanalyse de risque.

Il est ncessaire de tenir un journal de bord horodat et prcis des vnements et actions ds
sollicitation de lquipe.

Gestion des incidents 25 / 60 CLUSIF 2011


4.3. Rponse lincident SSI

4.3.1 Mesures de rponses immdiates


Suite la qualification, des mesures durgence peuvent tre prises pour limiter les impacts et
prserver les traces. En effet, mme sans connatre prcisment la nature de lincident, son
origine ou son impact rel qui seront lobjet de la phase danalyse, le simple fait didentifier le
type de danger peut dclencher des actions palliatives, comme par exemple :
un confinement (ex : dbranchement du rseau dun poste infect pour le mettre dans
un VLAN de quarantaine),
une isolation (ex : couper tous les flux de messagerie Internet),
une communication cible de recommandations.

Certaines de ces mesures peuvent tre prvues lavance dans des procdures du support et de
lquipe scurit.
Si ces mesures savrent insuffisantes ou/et si la situation nest pas maitrise ou/et si le niveau
dimpact de lincident le justifie, au regard des critres dvaluation, la cellule de crise doit
tre active.

4.3.2 Investigations
Lanalyse de lincident a pour objectif de prciser les lments suivants :
la nature de lincident,
le fait gnrateur,
le primtre concern,
limpact.

Ces lments permettront de dfinir les actions entreprendre. Dans certains cas les
conclusions de linvestigation peuvent conduire lactivation de la cellule de crise.

4.3.2.1 Prservation des traces


Certaines prcautions doivent tre prises. En particulier, en cas de piratage (par exemple), si le
but de lanalyse est de remonter la source de la manipulation frauduleuse et de prendre des
mesures lgales l'encontre des auteurs des faits, il est ncessaire de prserver les
informations dorigines (logs, etc.) afin de conserver le contexte de preuve.

En effet, lanalyse peut, dans certains cas modifier (le travail danalyse gnre lui-mme des
traces qui se confondent ensuite avec les traces laisses par lagresseur), voire effacer, les
traces du passage dun attaquant. De fait, il est ncessaire de sauvegarder (par exemple via
une copie intgrale, de type bit bit) les informations avant d'entreprendre toute action
susceptible de nuire l'intgrit des donnes sur le support d'origine.

Si une copie complte des disques nest pas ralisable ou lest difficilement, il faut au moins
conserver une copie des logs (journaux de connexions au systme). Toutefois, cette
sauvegarde nest pas toujours simple mettre en uvre et peut ncessiter des outils et/ou des
comptences particulires.

Gestion des incidents 26 / 60 CLUSIF 2011


Enfin, les donnes ainsi sauvegardes doivent tre protges physiquement et un cadre
opratoire doit tre mis en uvre qui prcisera notamment par qui ces sauvegardes ont t
effectues, quel moment, comment elles ont t protges et qui y a eu accs. En fonction
des enjeux, il peut tre recommand de faire appel un huissier de justice.

Le travail dinvestigation pourra alors commencer, si possible sur les copies de sauvegarde,
les disques durs d'origine tant rangs en lieu sr (une procdure pouvant durer des mois,
voire des annes). Ces derniers ainsi que la sauvegarde des logs, pourront servir de preuves
en cas de poursuites judiciaires.

4.3.2.2 Environnements potentiellement concerns


Durant linvestigation il est important de dterminer le primtre concern :
OS,
rseau et tlphonie,
serveurs,
applications,
locaux,
groupe de personnes,
donnes,
services,
clients, fournisseurs, partenaires,

4.3.2.3 Aide lanalyse


Dans chaque environnement technique il existe des outils qui peuvent aider dterminer
l'tendue de l'attaque mene.

Des procdures peuvent galement tre mises en uvre, intgrant des check-lists qui
permettent de raliser lanalyse dans les meilleures conditions. Par exemple, on peut
positionner les actions suivantes :
vrifier les performances des systmes,
rechercher des processus ou des applications non autorises en cours d'excution,
si des logs existent, y rechercher dventuelles connexions inhabituelles, tentatives
d'ouverture de session infructueuses, tentatives d'ouverture de session avec des
comptes par dfaut, etc.,
dterminer si du matriel non autoris a t connect au rseau,
examiner les groupes cls (administrateurs, etc.) afin de vrifier qu'ils ne contiennent
pas de membres non autoriss,
etc.

4.3.2.4 Identification du fait gnrateur et analyse de limpact


Lobjet principal de lanalyse de lincident proprement dit permet de rpondre plusieurs
questions qui se posent, comme par exemple :
quelle est la vulnrabilit ou la faiblesse qui a rendu possible lincident ? Cest la
question la plus importante ! En effet, si aucune rponse claire nest trouve cette
question, le systme restera vulnrable une fois remis en service ; il pourrait tre
attaqu nouveau,

Gestion des incidents 27 / 60 CLUSIF 2011


quel est linventaire des dgts ou quel est limpact de lincident (dni de service,
baisse de la qualit du service, perte de donne, divulgation dinformation
confidentielle, etc.).

4.3.3 Traitement
4.3.3.1 Mesures pour viter laggravation des consquences
En complment des mesures de rponses immdiates dj prises ds la qualification de
lincident, des mesures peuvent tre prises pour viter laggravation des consquences.

Disposant ce stade des informations obtenues lors des investigations, ces mesures seront
plus cibles que les rponses conservatoires durgence :
activation de la Cellule de Crise : selle na pas t active lors de la phase de rponse
immdiate, la gestion de crise du PCA peut tre dclenche ce stade, si la situation
sest dgrade entre temps et limpose,
restrictions temporaires daccs aux rseaux ou/et aux applications : ces restrictions
peuvent tre, suivant les cas, des blocages ou des simples filtrages. (exemple :
interdiction daccs certains sites Web),
communications cibles : pour adapter la communication, il faut valuer trs
rapidement la dure de la perturbation (exemple : valuer la dure de restauration par
rapport au volume de donnes restaurer en cas de pertes de donnes). On identifie
trois types de communication :
o communication vers les utilisateurs. Le communiqu contient en rgle gnrale
minima :
 les faits qui doivent tre dulcors dans certains cas,
 les activits impactes du fait des restrictions temporaires en place,
 des consignes de comportements (exemple : ne pas ouvrir les pices
jointes),
 lheure prvisionnelle de retour la normale,
o communication technique entre homologues (dautres sites ou filiales) :
 les faits prcis,
 les recommandations dactions,
 une proposition dactions coordonnes,
o communication vers les externes (clients, assureurs, fournisseurs, etc.). On peut
utiliser si besoin la communication de crise prvue dans le cadre du PCA.

4.3.3.2 Dclarations aux assurances


Procder aux dclarations de sinistres en faisant attention :
la tenue des dlais : gnralement 48 heures pour le vol, 5 jours ouvrs au maximum
dans la plupart des autres cas,
ne rien toucher avant la venue de lexpert en assurances sauf ncessit.

En cas d'urgence, on peut remplacer le matriel et mettre le matriel endommag de ct


(cette mesure ne peut tre prise qu'en cas d'urgence, afin d'viter l'arrt de l'exploitation).

Si le sinistre est important, des photos peuvent ne pas suffire, il faut procder un constat par
huissier et faire mettre toutes les preuves sous scells.

Gestion des incidents 28 / 60 CLUSIF 2011


4.3.3.3 Rsolution de lincident
Sans tre exhaustifs, les quelques points ci-dessous ncessitent une attention particulire.

Appels aux supports externes


Lentreprise ou lorganisme peut avoir besoin durgence de comptences externes qui
interviendront distance ou sur site et quil faut rserver en priorit en raison des dlais
dintervention.

radication
Lradication du problme dpend du type dincident rencontr.

On peut noter deux grandes tendances entre lesquelles il faudra choisir :


le mode rparation , souvent manuel mais qui peut tre automatis par un script,
le mode restauration ou rinstallation en repartant dune sauvegarde ou dune
image systme.

Les critres de choix entre ces deux mthodes sont :


le temps total (estimation) pour radiquer lincident,
le niveau de certitude davoir bien identifi tous les impacts prcis lis lincident,
le niveau de perte de donnes acceptable.

Dans les cas complexes, il peut tre important dcrire le plan daction correctif pour bien
ordonnancer les tapes.

Dtermination du point zro de lincident


Les lments permettant de dterminer le point zro sont (entre autres):
le recueil des preuves et journaux,
le tmoignage des utilisateurs,
tous les outils de supervision et reporting.

Cette comprhension de lorigine de lincident permet de vrifier la pertinence des mesures


correctives et de rduire le risque de reproduction.

Dlai de Rapprovisionnement de matriel


Mme si lentreprise/organisme utilise le matriel de secours, il nest pas recommand de
rouler trop longtemps sans roue de secours . Cest pourquoi le rapprovisionnement du
matriel est galement une priorit.

Retour la normale
Le retour la normale doit tre associ une communication spcifique.

Gestion des incidents 29 / 60 CLUSIF 2011


4.3.3.4 Mthodes et outils

Du dbut la fin de lincident, les outils indispensables sont :


outil denregistrement des vnements ainsi que les moyens daccs associs
(tlphone, messagerie, etc.),
outil de supervision.

Dautres outils peuvent tre utiles ou ncessaires :


outils de diagnostic,
outils de confinement :
o VLAN de confinement,
o blocage au niveau de lannuaire dentreprise/organisme ou des comptes locaux
des quipements,
o blocage ou filtrage sur tout quipement de scurit (pare-feu, relais filtrant http
ou SMTP, etc.),
o etc.,
outils de rparation :
o antivirus / kit de dcontamination antiviral (exemple : cl USB bootable ou le
CD (pour des matriels plus anciens) contenant des anti-malwares et outils
systmes bases de prfrence sur un OS diffrent de celui qui est install et
pouvant prendre en charge de faon fiable le systme de fichier examiner
(exemple : LINUX pour examiner NTFS).
o outils de dploiement de patchs systmes et/ou dapplications,
o outils de restauration dimages systmes, de donnes ou denvironnement
virtuel,
o etc.

Enfin, laccs aux moyens de communication tlphoniques et informatiques et Internet est


indispensable pour communiquer ou sinformer.

En cas dincident empchant laccs ces outils, les quipes dintervention doivent bnficier
de dispositifs alternatifs.

4.3.3.5 Exemples de traitements


Quelques exemples de traitement (synthtis sous forme de Fiche) sont dcrits dans les fiches
suivantes du chapitre 5 - Exemples de typologie des incidents :
vol de PC portable,
installation dun logiciel non autoris,
prsence dun logiciel non autoris,
dysfonctionnement pouvant provenir dun logiciel malveillant,
intrusions logiques,
usage inappropri,
incidents concernant les habilitations,
dni de service Messagerie par saturation du relais public de messagerie,
cas des incidents lis.

Gestion des incidents 30 / 60 CLUSIF 2011


4.4. Revues post-incident

4.4.1 Investigation post-incident


Une fois lincident matris, il est possible quil soit ncessaire de lancer des investigations
complmentaires pour bien comprendre comment cet incident a pu avoir lieu. Si tel est le cas,
il ne faut pas hsiter consacrer le temps ncessaire cette tape qui viendra enrichir le
dossier de synthse.

Si des lments de preuve sont encore prsents et que lincident a vocation tre prsent
devant un tribunal, la collecte des indices devra tre particulirement prcise et se conformer
aux bonnes pratiques techniques en adquation avec les obligations lgales.

4.4.2 Rapport de synthse


Chaque incident de scurit doit tre accompagn dun dossier de suivi et si possible dun
rapport de synthse. Ce rapport doit tre rdig par lquipe en charge de la rsolution de
lincident. Il peut servir de cadre directeur lors dune revue post-incident.

Le rapport de synthse doit pouvoir rpondre aux questions suivantes :


lments techniques :
o quel est lobjet de lincident ?,
o quand a eu lieu lincident ?,
o o a-t-il eu lieu ?,
o comment lincident sest-il produit ?,
o comment lincident a-t-il t matris ?,
bilan processus :
o quest-ce qui na pas fonctionn ?,
o quest-ce qui a bien fonctionn ?,
o quest-ce qui ncessite dvoluer en matire de SMSI ?,
o la communication aux parties concernes a-t-elle t bien faite ?,
bilan financier :
o quel est le cot de lincident en matire de perturbation du SI (impact
mtier) ?,
o quel est le cot induit de lincident en matire dincapacit de travailler pour le
personnel ?,
o quel est le cot de lincident en matire de temps de rsolution pass par les
diffrentes quipes ?,
o quel est le cot de la contre-mesure mise en place ?,
o quelles pertes ont pu tre conomises grce lquipe de rponse incident ?

Le rapport de synthse doit tre rdig au plus prs de la date de rsolution de lincident afin
dviter que le temps nefface dans la mmoire des acteurs des lments ou des dtails
importants pour la comprhension et lanalyse de lincident.
Le rapport doit prioritairement prsenter des conclusions claires comprhensibles par les
responsables.

Gestion des incidents 31 / 60 CLUSIF 2011


Ce rapport doit tre conserv dans un espace ddi servant de base de connaissance aux
incidents de scurit. Cette base dinformation pourra par la suite tre mise profit pour une
meilleure anticipation des incidents, pour dfinir les contremesures les plus appropries ou
encore pour vrifier si les dcisions actes ont t suivies deffets.

4.4.3 Analyse post-incident


Lanalyse post-incident sinscrit dans une dmarche damlioration continue et de qualit
PDCA permettant de prendre connaissance des lments qui doivent voluer dans le Systme
dInformation.

Cette analyse post-incident doit impliquer les responsables pour que les engagements soient
pris rapidement en matire dvolution du Systme dInformation. Celle-ci peut prendre la
forme dun comit de pilotage ou tout autre type de runion impliquant les dcideurs
adquats.

Un compte-rendu de lanalyse post-incident doit tre rdig pour acter des volutions du
Systme dInformation.

4.5. Actions post-incident

4.5.1 Bilan de lincident


Les informations et les mesures dtermines lors du traitement de lincident doivent tre
conserves et permettre denrichir la base de connaissances.

Dans le traitement d'un incident majeur, il est important danalyser avec recul, ce qui a bien
fonctionn et ce qui a moins bien fonctionn.
Cela doit se traduire par la rdaction d'un bilan adress aux directions concernes.
La mise en place des mesures du bilan, de prfrence sous forme de plan dactions prcis,
devra tre suivie par le responsable scurit.

4.5.2 Le Recours
Dans le cas dune attaque, la responsabilit de lauteur de celle-ci est dabord dordre pnal.
La loi franaise rprime certains actes commis ou tents, notamment :
laccs illgal un systme,
la modification ou la suppression illicite de donnes,
lentrave au fonctionnement dun systme,
lassociation de malfaiteurs informatiques (en tant qulment aggravant).

La France dispose dune lgislation prcise sur le sujet (Articles 323-1 323-7 du Code pnal
relatifs au piratage informatique) et les pirates sont passibles de sanctions parfois
consquentes. C'est pourquoi, il ne faut pas hsiter lutiliser si vous tes victime dune
tentative de piratage, que lattaquant russisse ou non la mener bien.

Il faudra alors runir les lments suivants :


les faits noncs clairement, de manire chronologique, en incluant tout dtail utile,

Gestion des incidents 32 / 60 CLUSIF 2011


une liste, la plus complte possible, de tous les prjudices subis (dommages, prjudice
financier, perte de temps pour vrification de l'intgrit du site ou des donnes, perte
de crdibilit auprs des internautes ou des clients de l'entreprise, etc.),
les lments de preuve constitus lors de lanalyse de lincident (pour que ces lments
aient une valeur juridique leur collecte et leur conservation doivent obir des rgles
trs strictes).

Dans un second temps, il faut identifier auprs de qui porter plainte, en gardant en tte que
c'est gnralement le lieu des faits qui est l'lment dterminant.

Des contacts utiles peuvent tre trouvs sur le site Internet du CLUSIF :
www.clusif.fr/fr/production/cybervictime/.

4.5.3 Rvision des contrats


Il peut tre ncessaire de rviser les contrats dassurance ou dengagement avec des
fournisseurs.

4.5.4 Communication interne spcifique (sensibilisation, etc.)


Les incidents rencontrs par l'quipe de rponse aux incidents lui procurent une bonne
visibilit des choses faire et viter. Cette connaissance peut tre mise contribution pour
des actions ponctuelles ou rcurrentes de sensibilisation auprs de publics varis (salaris,
managers, dveloppeurs, etc.).

4.6. Amlioration de la gestion des incidents SSI

Les enseignements tirs des traitements des incidents de scurit doivent contribuer
lamlioration gnrale des processus et des moyens de gestion de ces incidents.

Lensemble des lments doit tre revu priodiquement suite aux incidents ayant un impact
fort sur le SI, et donner lieu des volutions :
politique de gestion des incidents
organisation (principaux acteurs)
processus :
o prvention,
o dtection :
 help desk, numro ddi (circuit spcifique) :
pr-qualification,
cration fiche incident,
escalade,
 outils de monitoring
o analyse :
 problmatique de prservation des preuves,
 classification,
 lapprciation des risques,
o actions :
 correction (ex : rtablissement dun service),

Gestion des incidents 33 / 60 CLUSIF 2011


 mise en scurit du primtre concern,
 dclaration (autorits),
 rapports dintervention (base dincidents),
o suivi :
 contrle du processus de gestion de lincident,
 tableaux de bord sur les diffrents types dincidents (frquence,
impacts),
 analyse post-incident,
 alimentation de la gestion des problmes,
o recours :
 juridique (recherche de preuve),
 assurance,
o communication :
 information des utilisateurs,
 communication externe,
processus annexes (PCA, gestion des problmes, etc.),
audit.

Gestion des incidents 34 / 60 CLUSIF 2011


5 - Exemples de typologie des incidents

5.1. Prsentation du format des fiches par type dincident

Ce chapitre prsente quelques fiches de description de diffrents types dincidents de scurit.


Le formalisme de chaque fiche est dcrit ci-dessous, sur la base des thmes suivants :
description du type dincident de scurit,
mesures prventives possibles,
dtection,
qualification,
analyse,
traitement,
actions post-incident.

5.1.1 Description du type dincident de scurit


Dans ce thme, on retrouve les points suivants :
dfinition de lincident,
illustrations (exemples, diffrentes formes, etc.),
classification :
o impacts potentiels selon les deux axes interne et externe (type dimpact,
niveau),
o situations aggravant la potentialit de lvnement gnrateur,
o domaine concern (locaux, personnel, rseau tendu, rseau local, applications,
dveloppements/maintenance, systmes, domaines mtier, scurit gnrale,
SSI, organisation, fournisseurs, etc.),
o type de propagation (immdiat, progressif, dgressif).

5.1.2 Mesures prventives possibles


Dans ce thme, on retrouve les points suivants :
mesures organisationnelles,
mesures techniques.

5.1.3 Moyens de dtection


Dans ce thme, on retrouve les points suivants :
manifestation de lincident,
mesures organisationnelles de dtection spcifiques,
outils de dtection disponibles,
type dalerte (Qui alerte ? Qui alerter ?).

Gestion des incidents 35 / 60 CLUSIF 2011


5.1.4 Qualification
Dans ce thme, on retrouve les points suivants :
recueil des informations et recoupements pour catgoriser le type dincident et en
dduire son niveau de svrit,
premires mesures durgences (rponse immdiate).

5.1.5 Analyse
Dans ce thme, on retrouve les points suivants :
prcautions ncessaires (prservation de preuve),
mesures immdiates (information, dclaration, anticipation du traitement, etc.),
environnements potentiellement concerns,
outils daide lanalyse (logiciels, tests, check-lists, centres de support, internet, etc.),
type descalade (notamment vers le RSSI ou le RPCA).

5.1.6 Traitement
Dans ce thme, on retrouve les points suivants :
mesures pour viter laggravation des consquences (confinement, information,
vacuation, etc.),
dclarations rglementaires,
rsolution de lincident (radication, reprise, dblocage, activation du PCA, filtrage,
etc.),
selon type dincident : mthode, outils, etc.

5.1.7 Actions post-incident


Dans ce thme, on retrouve les points suivants :
recours juridique,
assurance,
communication spcifique (sensibilisation, etc.),
audit,
recommandations,
rexamen de lapprciation des risques.

Gestion des incidents 36 / 60 CLUSIF 2011


5.2. Fiches par type dincident

5.2.1 Vol de PC portable


5.2.1.1 Description du type dincident de scurit
Dclaration de vol de portable par un utilisateur.
Exemples : Vol de portable dans les locaux de lentreprise/organisme, vol de portable dans les
transports en commun, vol de portable par lutilisateur, etc.
Classification :
impact variable selon la nature des informations contenues et leur niveau de protection
(contrle daccs, chiffrement),
potentialit forte si le portable nest ni surveill ni protg physiquement,
origines possibles : dfaut de contrle daccs aux locaux, absence de mesure de
scurit (quipement de scurit, rglement, sensibilisation, etc.), non respect des
consignes,
type de propagation : immdiat pour le matriel, progressif possible pour le contenu.

5.2.1.2 Mesures prventives possibles


Mesures organisationnelles :
politique de protection des informations,
charte utilisateur,
responsabilisation du personnel (sensibilisation, sanctions, etc.),
inventaire du matriel,
accompagnement des visiteurs,
contrles priodiques du respect des rgles de scurit,

Mesures techniques :
marquage de scurit des quipements (marquage socit, dispositif RFID, etc.),
attache de scurit,
contrles daccs aux locaux (fermeture des accs, camras de surveillance, etc.),
protection des issues,
contrles daccs aux donnes sensibles,
chiffrement des donnes.

5.2.1.3 Moyens de dtection


Manifestation de lincident : dclaration de vol.
Mesures organisationnelles de dtection spcifiques : dcouverte lors dun contrle
dinventaire.
Outils de dtection disponibles : vidosurveillance, portique de dtection (RFID).
Type dalerte (qui alerte : lutilisateur concern ; qui alerter : selon organisation).

Gestion des incidents 37 / 60 CLUSIF 2011


5.2.1.4 Qualification
Le niveau de gravit dincident dpend de la fonction du dtenteur, de lusage du portable, du
lieu du vol, etc.

Mesures de rponse immdiates. Ex : blocage immdiat de tous les accs au SI de


lentreprise/organisme partir de ce PC, changement/ rinitialisation des mots de passe, des
codes daccs et dautres authentifiants (certificats) qui ont pu tre mmoriss sur la
machine, etc.

5.2.1.5 Analyse
Prcautions ncessaires (prservation de preuve) : prserver les enregistrements de
vidosurveillance, les logs de contrle daccs.
Mesures immdiates (information, dclaration, anticipation du traitement, etc.) : dpt de
plainte de lutilisateur.
Environnements potentiellement concerns : activits mtier, SSI.
Analyse de lhistorique des connexions et des journaux pour retrouver la dernire connexion,
voire les dernires actions.
Outils daide lanalyse (logiciels, tests, check-lists, centres de support, internet, etc.) : nant.
Type descalade (notamment vers le RSSI ou le RPCA) : selon organisation, impact potentiel
ou situation de lutilisateur.

5.2.1.6 Traitement
Mesures pour viter laggravation des consquences (confinement, information, vacuation,
etc.) : hors mesures prventives et blocage des accs il ny a pas dactions efficaces.
Dclarations rglementaires.
Dclencher le rapprovisionnement du matriel et sassurer que toutes les mesures prventives
de scurit ont t prises.

5.2.1.7 Actions post-incident


Recours juridique.
Assurance.
Communication spcifique (sensibilisation, etc.).
Reporting.
Audit.
Recommandations.

Gestion des incidents 38 / 60 CLUSIF 2011


5.2.2 Installation dun logiciel non autoris
5.2.2.1 Dfinition de lincident
Toute tentative dinstallation de logiciel non autoris, volontaire ou non, doit tre considre
comme un incident de scurit.

Linstallation dun logiciel non autoris peut tre faite :


lors dune attaque rseau (virus),
lors dune intrusion,
lors de linstallation dun progiciel non certifi,
lors doprations de maintenance,
par un utilisateur,
lors de lutilisation dun support amovible (cl USB)
lors dune synchronisation dun smartphone comportant des applications non certifis
avec le poste fixe de lutilisateur de lentreprise/organisme.

5.2.2.2 Mesures prventives possibles


Mesures organisationnelles :
mise en uvre dune politique antivirale : identification des besoins, des moyens
adapts au niveau de gravit des menaces, des responsabilits pour une dtection dun
code malveillant qui doit tre faite au plus prs de son arrive dans le SI,
contrle des mises en production,
certification des progiciels,
contrle des oprations de maintenance,
responsabilisation des utilisateurs et des quipes informatiques.

Mesures techniques
limiter les privilges dadministration,
anti-malware,
durcissement du poste de travail (interdiction de transferts de donnes de/vers les cls
USB, interdiction de lecture / gravure CD/DVD, listes blanches des programmes
autoriss tre excuts).

5.2.2.3 Moyens de dtection


Gestion du parc.
Contrle du code.
Scellement des programmes en production (Signature des programmes dploys et dtection
dexcution du code non sign).
Dtection dintrusion.
Anti-malware.

5.2.2.4 Analyse
Dterminer le type de logiciel install et escalader vers diffrentes quipes en fonction de la
dangerosit du code.
Vrifier les droits correspondant au profil dutilisateur.

Gestion des incidents 39 / 60 CLUSIF 2011


5.2.2.5 Traitement
Informer lutilisateur.
Revenir ltat initial (reconfiguration du poste).
Appliquer la rponse adapte la nature du logiciel.

5.2.2.6 Actions post-incident


Revoir les besoins dutilisateur et ventuellement adapter les profils dutilisation.
Revrifier les failles de scurit.
Sensibilisation adapte la situation de personnel.

Gestion des incidents 40 / 60 CLUSIF 2011


5.2.3 Dysfonctionnement pouvant provenir dun logiciel malveillant
5.2.3.1 Dfinition de lincident
Constat dun comportement anormal ou inhabituel dun systme ou dune application
susceptible dtre caus par un malware. Lanomalie peut revtir des formes trs diverses :
perte ou modification de donnes,
blocages dapplication,
dgradation des temps de rponse,
accs disques inhabituels,
surcharge rseau inhabituelle,
messages inhabituels,
modification de laffichage,
etc.

Illustrations (exemples, diffrentes formes, etc.) : perte ou vol de donnes, de fichiers, perte
du contrle de la souris, dni de service, dgradation des performances, etc.

Classification On distingue ainsi diffrents types de logiciels malveillants ou malwares :


les virus informatiques crits dans le but de se propager d'autres ordinateurs via un
programme hte,
les bombes logiques se dclenchent suite un vnement particulier (date systme,
activation distante, etc.),
les vers sont capables de se propager travers un rseau en exploitant les diffrentes
ressources de l'ordinateur qui les hberge pour se reproduire. Ils nont pas besoin d'un
programme hte, contrairement aux virus,
les backdoors ou portes drobes permettent le contrle distance d'un PC par un
pirate. Un ordinateur infect et contrl distance par un pirate est appel BOT ou
zombie. Un rseau de PC infects est un botnet.
les rootkits permettent un pirate de maintenir dans le temps un accs frauduleux un
systme. Un rootkit s'utilise aprs une intrusion et l'installation d'une porte drobe. Il
a pour but la furtivit en cachant par exemple certains processus, certains fichiers et
clefs de registre. Il opre au niveau du noyau, do son nom de kit racine ,
les chevaux de Troie (troyens) sont conus pour effectuer diverses tches l'insu de
l'utilisateur. Cela peut aller de linstallation d'autres malwares, la dsactivation de
certains logiciels de protections (antivirus, pare-feu, etc.), en passant par lenvoi de
messages de SPAM ou bien d'autres fonctionnalits,
les spywares ou logiciels espion, mouchards ou espiogiciels sont conus pour
drober/collecter des informations/donnes, sans que l'utilisateur en ait connaissance,
les keyloggers ou enregistreurs de frappe sont des logiciels ou matriels espion qui
enregistrent les touches frappes sur le clavier et les transmettent via les rseaux, afin
de drober des mots de passe ou autres informations susceptibles d'tre recueillies par
un pirate pour les revendre (adresse e-mail, CB, etc.), obtenir un accs sur un serveur,
etc.,
les adwares sont des logiciels publicitaires qui ouvrent des fentres de publicits.

Impacts potentiels selon les deux axes interne et externe (type dimpact, niveau) :
perte de productivit variant en fonction des moyens mis en uvre pour la protection
et prvention,

Gestion des incidents 41 / 60 CLUSIF 2011


atteinte limage dentreprise/organisme,
perte financire.

Potentialit de lvnement gnrateur est forte dans les situations suivantes


anti-malware non install ou dsactiv,
base de signatures danti-malware obsolte,
nouveau malwares non encore gr par lanti-malware,
bug de lanti-malware.

Domaine concern (locaux, personnel, rseau tendu, rseau local, applications,


dveloppements/maintenance, systmes, domaines mtier, scurit gnrale, SSI,
organisation, fournisseurs, etc.) :
tout dpend du contexte dans lequel se trouve la machine, si une segmentation du
rseau est ralise.

Type de propagation (immdiat, progressif, dgressif) : immdiate ou progressive (bombe


logique).

5.2.3.2 Mesures prventives possibles


Mesures organisationnelles
mise en uvre dune politique antivirale : identification des besoins, des moyens
adapts aux niveaux de gravit des menaces, des responsabilits pour une dtection
dun code malveillant qui doit tre faite au plus prs de son arrive dans le SI,
mise en place dune procdure dalerte immdiate suite la dtection dun code
malveillant, pour assurer une ractivit maximale,
mise ne place dun contrle du bon fonctionnement des moyens : Mise jour
automatique des signatures, etc.

Mesures techniques
utiliser des moyens de protection diffrents et complmentaires ; plusieurs anti-
malware, filtrage, contrle dintgrit, paramtrage des systmes, des applications,
etc.),
application rgulire des correctifs pour diminuer la vulnrabilit des postes,
contrles multi-niveaux (passerelles HTTP, SMTP, messagerie interne, serveurs de
donnes, postes de travail),
segmentation des rseaux - Firewall, contrle dintgrit, IPS,
contrle des ordinateurs portables et supports.

5.2.3.3 Moyens de dtection


Par lutilisateur.
Par analyse de lactivit (tableaux de bord).
Par des outils danalyse de comportement (IDS, IPS, SIEM2, etc.).

2
Security Information and Event Management

Gestion des incidents 42 / 60 CLUSIF 2011


5.2.3.4 Qualification
Dans le processus de qualification il faut prendre en compte : le primtre potentiellement
concern, le comportement du malware, le recoupement rapide avec dautres incidents ou
alertes rcentes du mme type, etc.
Mesures durgence. Exemples : confiner les machines infectes, couper certains accs rseau,
communication de recommandations cibles.

5.2.3.5 Analyse
Prcautions ncessaires pour la prservation de preuves : par exemple, sous Windows, copier
le malware sur une cl USB pralablement vaccine (avec fichier autorun sain et non
supprimable), moins que le logiciel sy invite tout seul !
Vrification de lefficacit des mesures durgences (sinon les complter et les rvaluer).
Recherches pour identifier avec exactitude le malware, puis ses parades.
Recherches pour connatre ltendue relle de linfection.
Dterminer le point zro de linfection.
Choisir le plan daction correctif le plus appropri (exemple : choisir entre une simple
dsinfection par logiciel antivirus ou refaire le systme partir des sauvegardes).
Identifier les modifications effectues par le malware.
Communication des recommandations vers les utilisateurs et escalade vers le RSSI ou le
RPCA.

5.2.3.6 Traitement
Renforcement des mesures pour viter laggravation des consquences (confinement,
information, filtrage, dploiement de patchs ou patterns, etc.).
Activation ventuelle du PCA.
Rsolution de lincident (radication).
Vrification du bon retour la normale (disparition des symptmes et alertes).
Retour la situation normale : fin du confinement ou des filtres disolement, retour des
systmes sains dans le rseau.

5.2.3.7 Actions post-incident


Analyse de ce qui a bien march et de ce qui na pas fonctionn, recommandations pour
amliorer les procdures de gestion de crise virale et la politique de scurit.
Communication spcifique (information et sensibilisation des utilisateurs et des acteurs).
Audit.
Assurance.
Recours juridique.

Gestion des incidents 43 / 60 CLUSIF 2011


5.2.4 Intrusions logiques
5.2.4.1 Description du type dincident de scurit
Dfinition de lincident
Intrusion logique : cest le fait pour une personne le plus souvent malveillante de pntrer,
dans un espace logique dfini o sa prsence n'est pas souhaite, aux fins 1] daccder des
informations auxquelles elle naurait pas accs en temps normal ou 2] de modifier, dtruire en
tout ou partie les informations auxquelles elle accde par cette intrusion.

La notion d'intrusion suppose qu'il existe une volont de rserver l'accs des personnes, des
ressources physiques ou logiques, certaines personnes dsignes. L'intrusion est constate
ds le franchissement de la limite entre l'extrieur et l'intrieur mme si cette limite
n'est que symbolique.

Cadre juridique :
Les intrusions logiques sont soumises (entre autres) la loi du 5 janvier 1988, relative a la
fraude informatique, dite Loi Godfrain.
Illustrations (exemples, diffrentes formes, etc.) :
personne / organisation malveillante (pirate informatique, joueur , employ
du , etc.) ralisant une intrusion (depuis le rseau interne ou de lextrieur) en vue
de rcuprer des informations confidentielles, de dtruire ou daltrer des
informations, etc.,
personne accdant involontairement dans un espace priv et sy maintenant.

Classification :
impacts potentiels selon les deux axes interne et externe :
o fuite ou vol dinformations,
o altration et/ou destruction dinformations,
o atteinte limage (communication sur la prsence dune faille),
o introduction de programme malveillant (exemples : spam, botnet, etc.),
potentialit de lvnement gnrateur est forte dans les situations suivantes:
o architecture mal conue ou mal implmente, mauvaise configuration,
correctifs de scurit non installs ou pas jour, etc.,
o zone prive mal identifie, utilisateurs non informs/sensibiliss,
o ouverture du Systme dInformation,
domaines concerns :
o systmes, applications, scurit logique, habilitations, rseaux, tlphonie,
type de propagation :
o immdiat.

5.2.4.2 Mesures prventives possibles


Mesures organisationnelles :
politique de scurit du SI :
o politique de contrle et de gestion des droits daccs SI,
o politique daudits et de tests,
o politique de mise jour des systmes (patch),
o SMSI,
rponse aux intrusions / Cellule de crise,
sensibilisation/formation,

Gestion des incidents 44 / 60 CLUSIF 2011


information sur le primtre priv (dlimitation, surveillance des accs, sanctions).

Mesures techniques :
mise en place de systme de dtection dintrusion (IDS / IPS),
mise en place darchitecture scurise (cloisonnement, contrle daccs),
mise en place de leurres (honeypot),
mise en place de systme de DLP Data Leak Protection (dtection des fuites
dinformation),
tests de vulnrabilit et dintrusion.

5.2.4.3 Moyens de dtection


Manifestation de lincident (une intrusion nest pas toujours visible) :
perte ou modification dinformation (destruction),
dgradation des performances, dysfonctionnements, blocages, etc.,
visualisation dinformations confidentielles lextrieur (presse, sites Web, blogs,
etc.),
rduction davantage concurrentiel (espionnage par intrusion).

Mesures organisationnelles de dtection spcifiques :


Veille.

Outils de dtection disponibles :


Analyse des logs,
IDS / IPS,
DLP.

Type dalerte (qui alerte ?, qui alerter ?) :


qui alerte : Cellule de surveillance (NOC / SOC), les administrateurs et les utilisateurs,
lauteur de lintrusion (chantage dans le cas dune intrusion malveillante, alerte
volontaire dans le cas dun accs accidentel),
qui alerter : selon le niveau de lintrusion :
o interne : RSSI, DSI, Direction Mtier, DG, ladministrateur du systme
dhabilitations concern
o externe : police, gendarmerie.

5.2.4.4 Analyse
Prcautions ncessaires (prservation de preuve) : logs.

Mesures immdiates :
activation de la Cellule de crise selon le niveau dimpact,
communication approprie.

Environnements potentiellement concerns : systmes, applications, rseaux, tlphonie.

Outils daide lanalyse : NOC / SOC, IDS / IPS, DLP.

Type descalade
interne : RSSI, DSI, Direction Mtier, DG,

Gestion des incidents 45 / 60 CLUSIF 2011


externe : police, gendarmerie, huissier, diteurs concerns.
5.2.4.5 Traitement
Mesures pour viter laggravation des consquences : blocage de rseaux et /ou de systmes,
communication approprie interne / externe, dsactivation des accs au SI injustifis
constats.

Dclarations rglementaires : police, gendarmerie, assurance.

Rsolution de lincident :
reprise, rinstallation, restauration des donnes perdues ou altres,
rvision des dispositifs de cloisonnement et de filtrage, etc.

5.2.4.6 Actions post-incident


Recours juridique : dpt de plainte.

Assurance : dclaration de perte (si contrat spcifique souscrit).

Communication spcifique (sensibilisation, etc.) : sensibilisation des utilisateurs, formation


des personnes de la cellule de crise, de la cellule de gestion / suivi des incidents, etc.

Audit : ethical hacking.

Recommandation : vrification des autres domaines susceptibles dtre vulnrables la mme


intrusion. Revoir la politique de contrle des accs au SI.

Gestion des incidents 46 / 60 CLUSIF 2011


5.2.5 Usage inappropri des ressources informatiques
5.2.5.1 Description du type dincident de scurit
Dfinition de lincident
Usage inappropri: Lincident de ce type survient quand un utilisateur excute des actions
non-conformes la politique de scurit et/ou aux rgles dutilisation du Systme
dInformation.

Illustrations (exemples, diffrentes formes, etc.) :


tlchargement doutils de piratage de mots de passe,
envoi de courriels agressant les collaborateurs,
publication du site Internet personnel,
publication ou diffusion des donnes illicites ou diffamatoires,
tlchargement ou diffusion de contenus prohibs (sites pdophiles par exemple),
publication ou acquisition des donnes / mdias pirats (images, musique, vido,
progiciels, etc.),
envoi vers les correspondants ou sites externes des donnes internes sensibles,
attaques de sites externes (Spam, DoS, altration dun site web, achats en ligne avec
les cartes de crdit voles, etc.).

Classification :
impacts potentiels selon les deux axes interne et externe (type dimpact, niveau) :
o dgradation dimage de lentreprise/organisme,
o diminution de la capacit des ressources du SI,
o impact financier,
potentialit de lvnement gnrateur :
o politique et rgles de scurit non communiques,
o absence de charte et du code de dontologie,
o droits daccs mal maitriss (trop permissifs) et vulnrabilits non maitrises,
o absence des moyens de monitoring, du contrle du contenu et dIDS,
domaines concerns (locaux, personnel, rseau tendu, rseau local, applications,
dveloppements/maintenance, systmes, domaines mtier, scurit gnrale, SSI,
organisation, fournisseurs, etc.) :
o applications, systmes,
type de propagation (immdiat, progressif, dgressif) :
o non dtermin.

5.2.5.2 Mesures prventives possibles


Mesures organisationnelles :
mise en uvre de la politique de scurit, de la charte,
mise en place et communication des sanctions.

Mesures techniques :
mise en place de dtection par IDS/IPS,
mise en place de systmes anti-spam en entre et en sortie,
mise en place des moyens de protection rseau/protocole bloquant les outils non
autoriss (peer2peer, etc.),

Gestion des incidents 47 / 60 CLUSIF 2011


mise en place des moyens de proxy et de filtrage dURLs pour verrouiller laccs aux
sites non-conformes la politique de scurit,
mise en place de contrle de contenu des messages et de pices jointes,
restriction des droits,
mise en place de surveillance des logs daccs et systmes.

5.2.5.3 Dtection
Manifestation de lincident :
signalisation par un utilisateur interne,
signalisation, plainte par un utilisateur ou organisation externe,
dtection par supervision scurit (IDS/IPS, SIEM),
utilisation anormale des ressources (CPU, mmoire, stockage, bande passante),
prsence de nouveaux, fichiers et rpertoires non identifis et/ou flux rseaux,
excution de nouveau processus non connu.

Mesures organisationnelles de dtection spcifiques : mise en place de cellule danalyse


systmatique des logs et des plaintes.

Outils de dtection disponibles :


supervision scurit (IDS/IPS, SIEM),
supervision des ressources (serveurs, rseau, etc.).

Type dalerte (qui alerte ?, qui alerter ?)


qui alerte :
o cellule de surveillance (NOC / SOC),
o cellule Supervision,
o utilisateur,
o personne / organisme externe,
qui alerter - selon le type dincident :
o activit criminelle : ressources humaines, direction juridique, police,
personne/organisation externe impacte (le cas chant),
o dgradation majeure : RSSI, DSI, direction gnrale, direction de la
communication,
o dgradation ou impact mineure : RSSI, DSI, ressources humaines.

5.2.5.4 Analyse
Prcautions ncessaires (prservation de preuves) : archivage des logs et des alertes.

Mesures immdiates (information, dclaration, anticipation du traitement, etc.)


analyse pour dterminer sil sagit ou non dacte criminel,
valuation dimpact sur limage de lentreprise/organisation,
communication la direction gnrale, de la communication, juridique, ressources
humaines et la police en fonction de la nature et de la gravit de lincident,
mesures techniques conservatoires pour limiter limpact de lincident.

Environnements potentiellement concerns : ressources du SI, ressources dautres SI.

Gestion des incidents 48 / 60 CLUSIF 2011


Outils daide lanalyse (logiciels, tests, check-lists, centres de support, internet, etc.) : NOC /
SOC, IDS / IPS, SIEM (supervision scurit).

Type descalade (notamment vers le RSSI ou le RPCA) :


interne : RSSI, DSI, RH, DG, Direction Juridique,
externe : police, gendarmerie.

5.2.5.5 Traitement
Mesures pour viter laggravation des consquences (confinement, information, vacuation,
etc.)
sauvegarde des preuves et des traces (log)
arrt de processus non-conformes, blocage de flux rseau non-conformes,
avertissement des utilisateurs concerns.

Dclarations rglementaires : assurance, police ou gendarmerie dans le cas dacte criminel.

Rsolution de lincident (radication, reprise, dblocage, activation du PCA, filtrage, etc.) :


enqute pour dterminer les auteurs (assurer la discrtion),
suppression des programmes et des donnes non-conformes,
filtrage des flux, etc.,
mesures techniques de restauration dtat initial,
mise en uvre de moyens supplmentaires de dtection ou optimisation des rgles.

5.2.5.6 Actions post-incident


Recours juridique : sanctions, dpt de plainte (si acte criminel).

Assurance : dclaration dincident si organisme externe impact.

Communication spcifique (sensibilisation, etc.) :


sensibilisation des utilisateurs,
communication publique dans les mdias (si dgradation majeure dimage).

Audit et Recommandations

Gestion des incidents 49 / 60 CLUSIF 2011


5.2.6 Incidents concernant les habilitations
5.2.6.1 Description du type dincident de scurit
Dfinition de lincident
verrouillage de compte privilges (de type : comptes administration, comptes de
service ou comptes dexploitation),
extension ou existence de privilge, non justifie (exemple : cration compte
privilge sans accord, compte non supprim lors du dpart dune personne),
utilisation non autorise de comptes privilge (comptes impersonnels, comptes
gnriques),
cumul de droits attribus une personne non conforme la lgislation ou la
rglementation,
usurpation didentit numrique,
lun des cas prcdents concernant un utilisateur VIP.

Illustrations (exemples, diffrentes formes, etc.) :


connexion via un compte et un mot de passe dcouverts,
o par coute passive sur le rseau (interception des comptes et mots de passe sur
le rseau),
o suite un vol de matriel informatique pouvant hberger des donnes de
connexion (PDA, ordinateur portable),
blocage de comptes privilges suite des tentatives dintrusion,
connexion des heures non autorises ou non justifies pour le profil,
connexion du compte alors que la personne nest pas prsente,
apparition de nouveaux comptes administrateurs.

Classification :
impacts potentiels selon les deux axes interne et externe (type dimpact, niveau) : fuite
dinformations, destruction dinformations, dni de service, changement de
configuration, dysfonctionnements, blocages utilisateurs, perte de productivit,
potentialit de lvnement gnrateur : mauvaise gestion des droits daccs, mots de
passe dadministration non changs,
domaines concerns (locaux, personnel, rseau tendu, rseau local, applications,
dveloppements/maintenance, systmes, domaines mtier, scurit gnrale, SSI,
organisation, fournisseurs, etc.),
type de propagation (immdiat, progressif, dgressif) : immdiat ou progressif.

5.2.6.2 Mesures prventives possibles


Mesures organisationnelles :
politique de scurit du SI / Politique de traces / Politique de gestion des droits
daccs,
politique de sgrgation des tches (Segregation of Duties = SoD en anglais),
notion de Propritaire de ressource,
mise en place dune Cellule de surveillance Scurit (remonte dvnements non
conforme aux politiques),
gestion centralise des habilitations et des rgles,
mise en place daudits et de revues priodiques des habilitations systme, applications
et services,

Gestion des incidents 50 / 60 CLUSIF 2011


dfinition dune politique de dtection,
information et sensibilisation.

Mesures techniques :
dispositifs de contrle daccs,
outils de gestion et de suivi des identits et des droits,
outils de provisioning .

5.2.6.3 Dtection
Manifestation de lincident :
via les outils de gestion des vnements de scurit,
via les outils de dtection dintrusions,
via les revues priodiques des habilitations pilotes par les responsables des
applications, des systmes et des infrastructures,
via des outils de surveillance des activits inhabituelles (dans la limite des lgislations
et rglementations locales).

Mesures organisationnelles de dtection spcifiques : audit interne et revues priodiques.

Outils de dtection disponibles :


outils de centralisation des logs, et remontes dalertes (temps rel ou reporting),
outils de dtection dintrusions, IDS/IPS,
outils daudit des habilitations.

Type dalerte :
qui alerte : Help-Desk, Cellule de surveillance Scurit, Auditeur, Responsable de
ressource,
qui alerter : Cellule de surveillance Scurit, RSSI.

5.2.6.4 Analyse
Prcautions ncessaires (prservation de preuve) :
Prservation des logs,
Ralisation dune copie des supports concerns pour faire lanalyse.

Mesures immdiates (information, dclaration, anticipation du traitement, etc.) : dsactivation


du compte, arrt de lquipement mis en cause.

Environnements potentiellement concerns : tous les lments de linfrastructure (rseau,


systme, application).

Outils daide lanalyse (logiciels, tests, check-lists, centres de support, internet, etc.) :
outils de gestion des vnements de Scurit,
outils de dtection dintrusions,
outils danalyse des logs des systmes et applications.

Type descalade (notamment vers le RSSI ou le RPCA) :


interne : RSSI, DSI, Responsable Mtier,
externe : diteurs concerns, responsable dun prestataire en cause, etc.

Gestion des incidents 51 / 60 CLUSIF 2011


5.2.6.5 Traitement
Mesures pour viter laggravation des consquences (confinement, information, vacuation,
etc.) :
supprimer / dsactiver le compte,
supprimer / dsactiver laccs (tentatives extrieures),
ractivation du compte en cas de verrouillage, avec rinitialisation du mot de passe,
application de correctifs (systme, applicatif, etc.),
application de procdure disciplinaire.

Dclarations rglementaires et contractuelles : police, gendarmerie, assurance.

Rsolution de lincident (radication, reprise, dblocage, activation du PCA, filtrage, etc.)


reprise, rinstallation, restauration des donnes perdues,
ajustement des droits si ncessaire.

5.2.6.6 Actions post-incident


Recours juridique : dpt de plainte.

Assurance : suivi du dossier sinistre (si contrat spcifique souscrit).

Communication spcifique (sensibilisation, etc.) :


sensibilisation des utilisateurs,
chartes Utilisateurs et Administrateurs.

Audit.

Recommandations :
gestion des habilitations en fonction des rles, profils,
limitation et surveillance des comptes gnriques,
comptes nominatifs,
authentification forte,
limitation du nombre de sessions concurrentes,
traabilit des actions sur comptes privilges,
scurisation des flux de connexion,
ralisation de revues priodiques et correction des carts,
verrouillage de comptes aprs un nombre de tentatives dfinie,
suppression des comptes aprs le dpart,
rvision des droits aprs mobilit,
rvision des processus de gestion des habilitations aprs mobilit,
changement des mots de passe par dfaut,
changement priodique des mots de passe.

Gestion des incidents 52 / 60 CLUSIF 2011


5.2.7 Dni de service Messagerie par saturation du relais public de
messagerie
5.2.7.1 Description du type dincident de scurit

Dfinition de lincident :
Fortes perturbations du trafic de messagerie publique, voire prive, lies une attaque externe
sur les relais publics de messagerie (MX Mail eXchanger).

Illustrations Afflux massif de :


connexions au relais de messagerie, sans dpt de message valide,
messages pour des destinataires internes nexistant pas,
messages non sollicits pour des destinataires internes existants.

Classification :
origines possibles : spammers, hackers, concurrence, mafia,
impacts potentiels selon les deux axes interne et externe (type dimpact, niveau) :
o messages provenant de lextrieur :
 parvenant aux destinataires internes avec un dlai inhabituel,
 pour lequel les expditeurs externes reoivent une alerte de leur propre
messagerie indiquant un retard ou un chec de dlivrance,
o messages mis vers lextrieur :
 parvenant aux destinataires externes avec un dlai inhabituel,
 pour lequel les expditeurs internes reoivent une alerte de leur propre
messagerie indiquant un retard ou un chec de dlivrance,
o messages internes lentreprise/organisme :
 parvenant aux destinataires avec un dlai inhabituel,
 impossible envoyer (connexion avec Messagerie interrompue),
potentialit de lvnement gnrateur : forte,
domaine concern :
o personnes utilisant la messagerie,
o applications utilisant la messagerie,
o systmes hbergeant lenvironnement messagerie,
o applications hberges sur ces mmes systmes,
o rseaux hbergeant les systmes de messagerie,
type de propagation : progressif.

5.2.7.2 Mesures prventives possibles


Mesures organisationnelles :
dfinir un plan progressif :
o dactions, pour contenir lattaque et en limiter les effets,
o de communication interne pour informer des ralentissements, et inviter les
utilisateurs utiliser des canaux de communication alternatifs.

Mesures techniques :
squiper de systmes adapts pour assurer le service relais public de messagerie,
superviser attentivement les relais.

Gestion des incidents 53 / 60 CLUSIF 2011


Principales caractristiques dun environnement de relais de messagerie public adapt :
ne pas mixer les services Relais public de Messagerie et Messagerie sur les
mmes systmes,
disposer de relais redonds, voir secourus :
o 2 relais (1 principal, 1secondaire),
o ventuellement, 1 troisime relais, invisible,
isoler ces relais par un pare-feu,
quiper tous les relais (et pas seulement le principal) dun systme de filtrage anti-
spam volu :
o capable de dtecter et bloquer la plupart de ces attaques massives,
o communicant avec lannuaire dentreprise/organisme, pour ne relayer au
systme de Messagerie que les messages quil pourra dlivrer,
configurer finement les relais afin quils supportent les surcharges de trafic (tailles des
queues de traitement, dlai de rtention des quarantaines, etc.),
selon contexte dsactiver les avis de non-dlivrance dun message provenant de
lextrieur vers un destinataire interne inconnu :
o car cest un moyen de DOS : Si ladresse mettrice est fausse, lavis ne sera
jamais dlivr, saturera les files dattente, voire surchargera le systme dune
autre entreprise/organisme,
o mais cela gnera les vritables utilisateurs externes qui ne seront pas prvenus
sils saisissent mal une adresse de messagerie (dupon@domain.com au lieu de
dupont@domaine.com),
adapter le TTL (Time To Live) des dclarations DNS MX (Mail eXchanger) pour
quelles soient propages rapidement (quelques minutes),
organiser le circuit de dcision et daction pour que rapidement :
o les enregistrements DNS puissent tre modifis,
o le trafic Internet vers un relais puisse tre bloqu.

5.2.7.3 Dtection
Manifestation de lincident : dlai inhabituel de dlivrance des messages.

Mesures organisationnelles de dtection spcifiques : sensibiliser le Help-desk au reprage des


symptmes utilisateurs dans les appels traits > dclenchement dalerte dans les meilleurs
dlais.

Outils de dtection disponibles :


test rgulier du dlai dchange de messages entre 2 messageries publiques
indpendantes (par exemple entre partenaires, ou avec le fournisseur Internet),
superviser les relais publics de messagerie,
superviser les systmes de messagerie.

Type dalerte (qui alerte ?, qui alerter ?) :


sources : quipes Help desk ou Supervision,
cibles : quipes (trs variable selon organisations) grant :
o les applications fournissant le service relais public de messagerie (messagerie,
rseau, scurit),
o les systmes hbergeant ces applications (Windows, Unix, messagerie etc.),
o les applications de messagerie (messagerie),

Gestion des incidents 54 / 60 CLUSIF 2011


o les systmes hbergeant la messagerie (Windows, Unix, etc.),
o le firewall (scurit ou rseau),
o le WAN et le LAN (rseau).

5.2.7.4 Analyse
Prcautions ncessaires (prservation de preuves) : archiver les journaux des relais de
messagerie et du firewall.
Environnements potentiellement concerns : messagerie.
Outils daide lanalyse : outils de supervision et de logs des relais et du Firewall.
Type descalade : RSSI.
Communication interne : si les dlais sallongent, alerte gnrale aux utilisateurs, avant que le
systme de messagerie devienne inoprant.

5.2.7.5 Traitement
Mesures pour viter laggravation des consquences (confinement, information, vacuation,
etc.) :
identifier le relais le plus satur,
aiguiller le trafic sortant sur le relais le moins charg (voire un relais ddi la sortie),
afin quil ne soit pas impact par lattaque (action au niveau des systmes de
messagerie ou des dclarations MX du DNS priv),
aiguiller le trafic entrant sur un relais moins charg, pour absorber la suite du trafic
(action au niveau des dclarations MX du DNS public),
couper le trafic Internet vers le relais satur, le temps quil vide ses files dattente
(action au niveau du firewall, ventuel redmarrage du systme).

Dclarations rglementaires : Nant.

Rsolution de lincident (radication, reprise, dblocage, activation du PCA, filtrage, etc.) :


Pas de rsolution Il faut juste mettre en uvre les mesures vitant laggravation, et les
rpter jusqu ce que lattaque sessouffle.

Note : Les attaques ciblent souvent un seul des relais Larrter totalement pendant plusieurs
minutes peut mettre un terme lattaque.

5.2.7.6 Actions post-incident


Recours juridique : Dposer une plainte contre X (de principe, pour les statistiques les
attaques sont dorigines supra-nationales, donc aucun recours esprer).

Assurance : Risque complexe assurer (il est plus simple de se protger).

Communication spcifique (sensibilisation, etc.) : quipes techniques concernes, pour


disposer de la meilleure ractivit lors de la survenance de lincident.

Audit : Analyse rgulire des performances des relais.

Recommandations : Si limpact dune attaque a t jug intolrable, ou si les impacts


importants sont courants, il est ncessaire de rviser et renforcer larchitecture de relais public.

Gestion des incidents 55 / 60 CLUSIF 2011


5.2.8 Cas des incidents lis
5.2.8.1 Description du type dincident de scurit
Dfinition de lincident
Des incidents sont lis lorsque lun dentre eux na t possible qu la suite de la survenance
dun incident prcdent. Le second incident nest pas une consquence directe du premier
mais sa survenance a t rendue possible ou facilite. Une chaine dincidents lis les uns aux
autres est galement possible. La difficult dans le cas dincidents lis est de faire le
rapprochement entre des incidents pouvant tre de natures trs diffrentes et dapporter une
rponse organise aux diffrents phnomnes.

Illustrations (exemples, diffrentes formes, etc.)


premier incident : dfaut de mise niveau des paramtres de scurit dun serveur
suite une opration de maintenance. Second incident : exploitation des vulnrabilits
du serveur par un utilisateur indlicat,
premier incident : infection dun poste de travail par un malware permettant den
prendre la main distance. Second incident : attaque du rseau interne partir de la
station de travail par un individu ayant connaissance de cette vulnrabilit. Dans un tel
scnario, les attaques successives sont susceptibles dintroduire de nouvelles
vulnrabilits la source de nouveaux types dincidents, par exemple attaque dune
entreprise ou un organisme tierce partir dun serveur interne vulnrable.

Classification :
les impacts dans de tels scnarios sont ceux des incidents considrs sparment, avec
une possibilit damplification due la simultanit,
la potentialit dincidents lis dpend fortement de lefficacit du processus de gestion
des incidents de scurit, c'est--dire dune part lexhaustivit des cas grs et de la
rapidit de dtection et de mise en uvre des contre-mesures,
domaines concerns (locaux, personnel, rseau tendu, rseau local, applications,
dveloppements/maintenance, systmes, domaines mtier, scurit gnrale, SSI,
organisation, fournisseurs, etc.). Les incidents lis peuvent concerner des domaines
diffrents,
type de propagation (immdiat, progressif, dgressif) : immdiat ou diffr.

5.2.8.2 Mesures prventives possibles


Les mesures prventives sont celles associes aux diffrents types dincident considrs
sparment.

5.2.8.3 Dtection
Manifestation de lincident : ce sont les manifestations de chaque incident individuel.

Mesures organisationnelles de dtection spcifiques : faire en sorte que les personnes charges
de la rsolution de chaque incident aient une information sur les types dincident en cours.

Outils de dtection disponibles : centralisation des informations sur les incidents.

Type dalerte (qui alerte ?, qui alerter ?) : alerter le RSSI et les responsables des domaines
concerns.

Gestion des incidents 56 / 60 CLUSIF 2011


5.2.8.4 Analyse
Prcautions ncessaires (prservation de preuve) : propres chaque type dincident.

Mesures immdiates (information, dclaration, anticipation du traitement, etc.) : lors de


lanalyse dun incident, prendre en compte les scnarios dextension possibles et identifier
lincident initial (exemple : vrifier le paramtrage des autres quipements du domaine).

Environnements potentiellement concerns : tous.

Outils daide lanalyse (logiciels, tests, check-lists, centres de support, internet, etc.)
Base des incidents, exploitation centralise des journaux et analyses de corrlations.

Type descalade (notamment vers le RSSI ou le RPCA) : RSSI.

5.2.8.5 Traitement
Mesures pour viter laggravation des consquences (confinement, information, vacuation,
etc.) : tablir des priorits. En principe le premier incident gnrateur doit tre trait en
premier. Si tous les incidents ne peuvent tre traits simultanment, tablir des priorits en
fonction des impacts potentiels et de limportance des vulnrabilits rsiduelles.

Dclarations rglementaires : propres chaque type dincident concern.

Rsolution de lincident (radication, reprise, dblocage, activation du PCA, filtrage, etc.) :


propre chaque type dincident concern.

Selon type dincident : mthode, outils, etc. : propres chaque type dincident concern.

5.2.8.6 Actions post-incident


Si ncessaire, rvision des mesures de scurit (mesures prventives, etc.) pour rduire la
probabilit doccurrence dincidents lis et/ou de gestion des incidents (outils danalyse, etc.).

Communication spcifique (sensibilisation, etc.) : tablissement dun rapport de suivi.

Recours juridique : propre chaque type dincident concern.

Assurance : propre chaque type dincident concern.

Gestion des incidents 57 / 60 CLUSIF 2011


6- Glossaire (source principale : Wikipedia)

Terme Commentaire
CD Un CD (abrviation de (en) Compact Disc ), ou disque compact, est un disque
optique utilis pour stocker des donnes sous forme numrique.
CPU Le processeur, ou CPU (de l'anglais Central Processing Unit, Unit centrale de
traitement ), est le composant de l'ordinateur qui excute les programmes
informatiques.
CERT Central Emergency Response Team / Coordination Center situ luniversit de
Carnegie Mellon aux Etats-Unis.
CERTA Centre d'Expertise Gouvernemental de Rponse et de Traitement des
Attaques informatiques du gouvernement franais.
COBIT Le CobiT (Control Objectives for Information and related Technology
Objectifs de contrle de lInformation et des Technologies Associes) est un outil
fdrateur qui permet d'instaurer un langage commun pour parler de la
Gouvernance des systmes d'information tout en tentant d'intgrer d'autres
rfrentiels tels que ISO 9000, ITIL.
CNIL La Commission nationale de l'informatique et des liberts (CNIL) est une
autorit administrative indpendante franaise. La CNIL est charge de veiller
ce que linformatique soit au service du citoyen et quelle ne porte atteinte ni
lidentit humaine, ni aux droits de lhomme, ni la vie prive, ni aux liberts
individuelles ou publiques. Elle exerce ses missions conformment la loi n78-
17 du 6 janvier 1978 modifie le 6 aot 2004.
CSIRT (Computer Security Incident Response Team) ou ISIRT (Information Security
Incident Response Team).
DLP Le terme Data Loss Prevention (DLP) fait rfrence un ensemble de
techniques de protection contre la fuite d'informations en informatique.
DNS Le Domain Name System (ou DNS, systme de noms de domaine) est un
service permettant d'tablir une correspondance entre une adresse IP et un nom
de domaine et, plus gnralement, de trouver une information partir d'un nom
de domaine.
DVD Le DVD officiellement Digital Versatile Disc est un disque optique numrique
exploit pour la sauvegarde et le stockage de donnes, notamment la vido pour
sa dclinaison DVD Video.
Firewall Un pare-feu, ou firewall (de l'anglais), est un logiciel et/ou un matriel, permettant
de faire respecter la politique de scurit du rseau, celle-ci dfinissant quels sont
les types de communication autoriss sur ce rseau informatique. Il mesure la
prvention des applications et des paquets.
IDS Un systme de dtection d'intrusion (ou IDS : Intrusion Detection System) est
un mcanisme destin reprer des activits anormales ou suspectes sur la cible
analyse (un rseau ou un hte). Il permet ainsi d'avoir une connaissance sur les
tentatives russies comme choues des intrusions.
IPS Un systme de prvention d'intrusion (ou IPS, Intrusion Prevention System) est
un outil des spcialistes en scurit des systmes d'information, similaire aux IDS,
permettant de prendre des mesures afin de diminuer les impacts d'une attaque.
C'est un IDS actif, il dtecte un balayage automatis, l'IPS peut bloquer les ports
automatiquement. Les IPS peuvent donc parer les attaques connues et
inconnues.
IT Informatique et Tlcoms (Information Ttechnology)
ITIL ITIL (Information Technology Infrastructure Library pour Bibliothque pour
l'infrastructure des technologies de l'information ) est un ensemble d'ouvrages
recensant les bonnes pratiques ( best practices ) pour le management du
systme d'information, dictes par l'Office public britannique du Commerce
(OGC).

Gestion des incidents 58 / 60 CLUSIF 2011


Terme Commentaire
LINUX Linux est un logiciel libre cr en 1991 par Linus Torvalds et dvelopp sur
Internet par des milliers dinformaticiens bnvoles ou salaris. C'est le noyau de
nombreux systmes dexploitation. Il est de type UNIX et compatible POSI.
MX Un enregistrement Mail eXchanger (MX) est un type d'enregistrements du
Domain Name System qui associe un nom de domaine un serveur de
messagerie lectronique associ son numro de prfrence.
NOC Un centre d'opration d'un rseau (en anglais, Network Operations Center,
abrg NOC) est un service charg du contrle des transactions, de la
surveillance des incidents, de la charge d'un rseau local ou interconnect
NTFS NTFS (New Technology File System) est un systme de fichiers conu pour
Windows NT (et ses successeurs chez Microsoft) pour stocker des donnes sur
disque dur.
MSSP Managed Security Services Provider : fournisseurs de services d'infogrance
en scurit.
PC Personal computer ordinateur personnel.
PCA Le plan de continuit ou plan de continuit dactivit (PCA) est la fois le nom
dun concept, dune procdure et du document qui la dcrit.
Ce plan doit permettre un groupe (gouvernement, collectivit, institution,
entreprise, hpital..) de fonctionner mme en cas de dsastre ; quitte ce que ce
soit en mode dgrad, ou en situation de crise majeure.
PDA Un assistant numrique personnel est un appareil numrique portable, souvent
appel par son sigle anglais PDA pour Personal Digital Assistant.
Peer2peer Le pair--pair (traduction de l'anglicisme peer-to-peer, souvent abrg P2P ),
est un modle de rseau informatique proche du modle client-serveur mais o
chaque client est aussi un serveur.
PRA En informatique, un plan de reprise d'activit (en anglais Disaster Recovery
Plan ou DRP) permet d'assurer, en cas de crise majeure ou importante d'un
centre informatique, la reconstruction de son infrastructure et la remise en route
des applications supportant l'activit d'une organisation.
Proxy Un serveur mandataire ou proxy (de l'anglais) est un serveur informatique qui a
pour fonction de relayer des requtes entre un poste client et un serveur.
PSSI La politique de scurit des systmes d'information (PSSI) est un plan
d'actions dfinies pour maintenir un certain niveau de scurit. Elle reflte la vision
stratgique de la direction de l'organisme (PME, PMI, industrie, administration,
tat, unions d'tats ) en matire de scurit des systmes d'information (SSI).
RFID La radio-identification plus souvent dsigne par le sigle RFID (de langlais
Radio Frequency IDentification) est une mthode pour mmoriser et rcuprer
des donnes distance en utilisant des marqueurs appels radio-tiquettes (
RFID tag ou RFID transponder en anglais.
RPCA Le responsable du plan de continuit dactivit
RSSI Le responsable de la scurit des systmes d'information
SI Un systme d'information (SI) est un ensemble organis de ressources
(matriels, logiciels, personnel, donnes et procdures) qui permet de regrouper,
de classifier, de traiter et de diffuser de l'information sur un environnement donn..
SIEM Security Information and Event Management
Le principe du Security Information Management (SIM) est de grer les
vnements du Systme d'Information (SI).
Appels galement SEM (Security Event Management) ou SEIM (Security Event
Information Management) ou encore SIEM (Security Information and Event
Management), ils permettent de grer et corrler les logs. On parle de corrlation
car ces solutions sont munies de moteurs de corrlation qui permettent de relier
plusieurs vnements une mme cause.

Gestion des incidents 59 / 60 CLUSIF 2011


Terme Commentaire
SMSI Un systme de gestion de la scurit de l'information (en anglais : Information
security management system, ou ISMS) est, comme son nom le suggre, un
systme de gestion concernant la scurit de l'information.
L'expression Systme de Management de la Scurit de l'Information (SMSI) est
galement utilise en franais.
Le plus connu des SMSI est ISO/CEI 27001, publi par l'ISO en complment de
ISO/CEI 27002 (anciennement rfrenc ISO/CEI 17799.
SOC Un centre d'opration de scurit (en anglais, Security Operations Center, abrg
SOC) est un service charg du contrle de la scurit des transactions et de la
surveillance des incidents de scurit.
SOD Separation of Duties - La contrainte de sparation des pouvoirs est utilise pour
assurer le respect de la politique des habilitations.
SMTP Le Simple Mail Transfer Protocol (littralement Protocole simple de transfert
de courrier ), est un protocole de communication utilis pour transfrer
le courrier lectronique (courriel) vers les serveurs de messagerie lectronique.
SSI La scurit des systmes dinformation (SSI) est lensemble des moyens
techniques, organisationnels, juridiques et humains ncessaire et mis en place
pour conserver, rtablir, et garantir la scurit du systme d'information.
TTL Le Time to Live ( temps de vie ), abrg TTL, indique le temps pendant lequel
une information doit tre conserve, ou le temps pendant lequel une information
doit tre garde en cache.
URL Le sigle URL (de l'anglais Uniform Resource Locator, littralement
localisateur uniforme de ressource ), auquel se substitue informellement le terme
adresse web, dsigne une chane de caractres utilise pour adresser les
ressources du World Wide Web : document HTML, image, son, forum Usenet,
bote aux lettres lectronique, etc. Les URL constituent un sous-ensemble des
identifiants uniformiss de ressource (URI). Le format (syntaxe) d'une URL est
dcrit dans le RFC 3986.
USB LUniversal Serial Bus (USB) est une norme relative un bus informatique en
transmission srie qui sert connecter des priphriques informatiques un
ordinateur.
VIP VIP signifie en anglais personne trs importante (Very Important Person, de
russe viesima imenitaa persona) et dsigne par exemple les chefs d'tat, les
politiciens, les personnes trs riches, les clbrits.
VLAN Un rseau local virtuel, communment appel VLAN (pour Virtual LAN), est
un rseau informatique logique indpendant. De nombreux VLAN peuvent
coexister sur un mme commutateur rseau (switch).
WAN Un rseau tendu (terme recommand au Qubec), souvent dsign par
l'anglais Wide Area Network (WAN), est un rseau informatique couvrant une
grande zone gographique, typiquement l'chelle d'un pays, d'un continent,
voire de la plante entire.

Gestion des incidents 60 / 60 CLUSIF 2011


LESPRIT DE LCHANGE

CLUB DE LA SCURIT DE L'INFORMATION FRANAIS


11, rue de Mogador
75009 Paris
 01 53 25 08 80
clusif@clusif.asso.fr

Tlchargez les productions du CLUSIF sur


www.clusif.asso.fr