Vous êtes sur la page 1sur 31

Gestion des incidents

Jean-Marc Robert
Génie logiciel et des TI
Incidents
Un incident de sécurité est une violation, ou l’imminence
d’une violation, d’une politique de sécurité – p.ex., une
politique de bon usage.

Exemples:
 Dénis de service
 Codes malveillants
 Accès non autorisés
 Usages inappropriés

Jean-Marc Robert, ETS MTI 719 - Gestion des incidents v1.0 2


Gestion des incidents – Besoins
 Répondre systématiquement afin de s’assurer que les
démarches appropriées soient effectuées.

 Aider le personnel à récupérer le plus rapidement et le plus


efficacement possible d’un incident.

 Améliorer continuellement le processus de gestion des


incidents.

 Traiter adéquatement des aspects judiciaires.

Jean-Marc Robert, ETS MTI 719 - Gestion des incidents v1.0 3


Politique pour la gestion des incidents
 Définir le type d’incidents couvert.

 Définir les structures organisationnelles et les responsabilités


des divers intervenants.

 Prioriser les incidents.

 Définir les critères de performance.

 Sans oublier la structure présentée lors du Cours #02 –


Politique de sécurité

Jean-Marc Robert, ETS MTI 719 - Gestion des incidents v1.0 4


Processus de gestion des incidents

Confinement
Détection et Analyse
Préparation Éradication et
Analyse Post-incident
Recouvrement

Jean-Marc Robert, ETS MTI 719 - Gestion des incidents v1.0 5


Préparation – Trousse de secours

Provenant de NIST SP 800-61

Jean-Marc Robert, ETS MTI 719 - Gestion des incidents v1.0 6


Préparation – Trousse de secours

Provenant de NIST SP 800-61

Jean-Marc Robert, ETS MTI 719 - Gestion des incidents v1.0 7


Préparation – Trousse de secours

Provenant de NIST SP 800-61

Jean-Marc Robert, ETS MTI 719 - Gestion des incidents v1.0 8


Détection et Analyse – Défis
 Incidents peuvent être détectés par différents moyens plus ou
moins précis ou fiables.
 IDS
 Anti-virus
 Analyse de fichiers journaux

 Le volume d’alarmes est souvent élevé – et malheureusement


elles sont souvent fausses.

 Expertise requise est grande et diversifiée.

Jean-Marc Robert, ETS MTI 719 - Gestion des incidents v1.0 9


Déterminer la nature de l’incident
 Dénis de service

 Codes malveillants

 Accès non autorisés

 Usages inappropriés

 … ou une combinaison de ces incidents.

Jean-Marc Robert, ETS MTI 719 - Gestion des incidents v1.0 10


Détecter l’incident
Précurseurs : signe qu’un incident Indicateurs : signe qu’un incident s’est
peut éventuellement survenir dans produit ou qu’il se produit actuel-
le futur. lement.
 Balayage d’un réseau.  Serveur Web tombe en panne.
 Balayage d’une machine.  Les usagers se plaignent de la lenteur
 Nombreuses tentatives de leur système ou d’un service.
infructueuses d’authentification.  L’administrateur voit un changement
 Nouvelles vulnérabilités logicielles dans les flots de trafic.
découvertes.  L’IDS rapporte une tentative de
 Etc. débordement de tableau contre un
service.
 Un changement de configuration est
observé sur un système.
 Etc.

Jean-Marc Robert, ETS MTI 719 - Gestion des incidents v1.0 11


Sources d’événements précurseurs
 Système de détection/prévention d’intrusions
 Réseaux, Hôtes et Applications
 Anti-virus, Anti-spam, Anti-spyware
 Système de vérification de l’intégrité des fichiers
 Fichiers journaux
 Systèmes d’exploitation et Applications
 Équipements réseau (p.ex., pare-feu, routeurs)
 Annonces de nouvelles vulnérabilités
 CERT, listes de distribution (vendeurs, indépendants)
 Personnes
 Internes, externes

Jean-Marc Robert, ETS MTI 719 - Gestion des incidents v1.0 12


Afin de nous aider …
 Déterminer les caractéristiques de l’activité réseau et des
systèmes.
 Bande passante, nombre de flots, etc.

 Évaluer les comportements normaux

 Utiliser une infrastructure centralisée de gestion des fichiers


journaux.
 Rétention des fichiers

 Effectuer une corrélation des divers événements survenus.

 S’assurer de la synchronisation des horloges.

Jean-Marc Robert, ETS MTI 719 - Gestion des incidents v1.0 13


Afin de nous aider …
 Utiliser un renifleur de réseau.
 Filtrer les informations.

 Établir une base connaissance.


 Personnel expérimenté
 Listes de To do

 Google!

 S.O.S!

Jean-Marc Robert, ETS MTI 719 - Gestion des incidents v1.0 14


Dès que l’incident est observé …
 Documenter les événements observés.

 Documenter les actions prises.

 Idéalement : 2 personnes
 Une personne intervient.
 Une personne enregistre toutes les observations / actions
 Log book (pages numérotées, pages reliées, encre, etc.)
 Horodatage

Poursuites judiciaires éventuelles.

Jean-Marc Robert, ETS MTI 719 - Gestion des incidents v1.0 15


Priorisé l’incident

Provenant de NIST SP 800-61

Jean-Marc Robert, ETS MTI 719 - Gestion des incidents v1.0 16


Priorisé l’incident
Pointage = (Effet actuel + Effet futur) * 2.5 + Criticité * 5.0

Pointage Évaluation
00.00 – 00.99 Aucun

01.00 – 02.49 Minimal

02.50 – 03.74 Bas

03.75 – 04.99 Moyen

05.00 – 07.49 Haut

07.50 – 10.00 Critique

Jean-Marc Robert, ETS MTI 719 - Gestion des incidents v1.0 17


Les attentes face aux incidents

Provenant de NIST SP 800-61

Jean-Marc Robert, ETS MTI 719 - Gestion des incidents v1.0 18


Notification de l’incident
 CIO
 Responsable sécurité
 Autres équipes de l’organisation
 Propriétaires des actifs concernés
 Ressources humaines
 Communication
 Département légal
 CanCert

Jean-Marc Robert, ETS MTI 719 - Gestion des incidents v1.0 19


Confinement – décision
 Prise de décision rapide … mais éclairée
 Arrêter le système
 Déconnexion du réseau (filaire, sans-fil, modem)
 Désactiver certaines fonctionnalités du système

 La décision à prendre devrait déjà être établie dans la politique


d’incident.

Jean-Marc Robert, ETS MTI 719 - Gestion des incidents v1.0 20


Confinement – stratégie
 Dommage potentiel aux actifs

 Vol d’actifs

 Besoin de conserver les preuves

 Disponibilité du système

 Temps et ressources nécessaires

 Efficacité de la solution

 Durée de la solution

Jean-Marc Robert, ETS MTI 719 - Gestion des incidents v1.0 21


Cueillette des preuves
 Poursuites judiciaires éventuelles

 Processus stricts …
 Log book – double vérification
 Intégrité des preuves

 … mais pas toujours nécessaires


 P.ex., vers ou virus informatiques « génériques »

Attention : Si vous attendez afin de recueillir plus de preuves, il


est possible que des tiers soient attaqués par votre faute.
Poursuite éventuelle!

Jean-Marc Robert, ETS MTI 719 - Gestion des incidents v1.0 22


Forensics
 Cours #06

Jean-Marc Robert, ETS MTI 719 - Gestion des incidents v1.0 23


Identification de l’attaquant
 L’adresse IP!

 … mais attention, ce n’est pas votre rôle!

 Votre rôle premier est de minimiser l’impact de l’incident sur


vos objectifs d’affaires.

Jean-Marc Robert, ETS MTI 719 - Gestion des incidents v1.0 24


Éradication et Recouvrement
 Changer les mots de passe.

 Utiliser les sauvegardes non-infectées.


 Remplacer les fichiers contaminés.

 Installer les patches logicielles appropriées.

 Mettre à jour les règles des pare-feu.

 Reconstruire les systèmes à partir de zéro!

Jean-Marc Robert, ETS MTI 719 - Gestion des incidents v1.0 25


Analyse – Post-incident
 Leçons apprises
 Comment avons-nous réagi?
 Avions-nous toutes les ressources nécessaires (humaines et technologiques)?
 Comment éviter de tels incidents dans le futur?
 Etc.

 Colliger des mesures d’évaluation


 Nombre d’incidents
 Temps pour résoudre chaque incident
 Coût associé à chaque incident

Jean-Marc Robert, ETS MTI 719 - Gestion des incidents v1.0 26


Analyse – Post-incident
 Rétention des évidences
 Poursuite
 Politiques internes
 Coût

Jean-Marc Robert, ETS MTI 719 - Gestion des incidents v1.0 27


Checklist!

Provenant de NIST SP 800-61

Jean-Marc Robert, ETS MTI 719 - Gestion des incidents v1.0 28


Checklist!

Provenant de NIST SP 800-61

Jean-Marc Robert, ETS MTI 719 - Gestion des incidents v1.0 29


Incidents : méthodologies différentes
 Dénis de service

 Codes malveillants

 Accès non autorisés

 Usages inappropriés

 Incidents multiples

Jean-Marc Robert, ETS MTI 719 - Gestion des incidents v1.0 30


Références
Principale:
 Karen Scarfone, Tim Grance et Kelly Masone, Computer
Security Incident Handling Guide, NIST SP 800-61, mars
2008.

Secondaire:
 Georgia Killcrece, Klaus-Peter Kossakowski, Robin Ruefle et
Mark Zajicek, State of the Practice of Computer Security
Incident Response Teams (CSIRTs), CMU/SEI-2003-TR-001,
octobre 2003.

Jean-Marc Robert, ETS MTI 719 - Gestion des incidents v1.0 31