Académique Documents
Professionnel Documents
Culture Documents
Anissa KPAKPABIA
SOC-CERT Manager, Consultant cybersécurité
OBJECTIFS DU COURS
Anissa KPAKPABIA
Cybersecurity Expert – CERT/SOC Manager
BSc (Hons) Soft. Eng
NOTION D’INCIDENTS
Discussions de groupe
• Définition d’un incident
• Gestion d’incident
o Difficultés ?
NOTION D’INCIDENTS
Objectifs
• Détection
• Analyses et diagnostics
• Traitement à priori et à postéori
• Rétablissement du service
• Suivi de la gestion (Reporting)
• Bilan (Lessons learned)
NOTION D’INCIDENTS
Gestion de crise
GESTION D’INCIDENTS – RÉPONSES AUX
INCIDENTS
Rôles complémentaires
• Réponse aux incidents
o analyse et confinement
• Gestion d’incidents
o logistique et communication
o planification et coordination
o processus et procédures
GESTION D’INCIDENTS – RÉPONSES AUX
INCIDENTS
Compétences différentes
Le processus de gestion dépendra de l’importance de l’incident
• Organisation des activités
• Dévouement à l’analyse et aux spécificités techniques
• Soutien à la réponse
GESTION D’INCIDENTS – RÉPONSES AUX
INCIDENTS
Mesures de réponses d’urgence : Limiter les impacts et préserver les traces
• Confinement
• Isolation
• Communication ciblée
Eléments importants
• Préservation des traces afin de conserver les preuves
o Sauvegarde de copie intégrale
o Copie des logs
• Environnements potentiellement concernés ( périmètre de l’investigation)
• Aide à l’analyse ( performance système, recherche sur les processus en cours
d’exécution, connexions inhabituelles etc.)
GESTION D’INCIDENTS – RÉPONSES AUX
INCIDENTS
Introduction
• Définition du périmètre
• Objectifs (Politique de gestion des incidents)
• Mesures (Processus et bonnes pratiques)
• Moyens (matériels, humains, financiers)
GESTION D’INCIDENTS – LA POLITIQUE DE
GESTION DES INCIDENTS DE SÉCURITÉ
Objectifs
• Signalement dans les meilleurs délais par les canaux préalablement
définis
o Procédures formelles définissant les mesures à prendre dès la notification
o Points d’entrée: Service Desk – RSSI – Équipe de réponse à incidents
o Sensibilisation sur les points d’entrée, les procédures et les règles
GESTION D’INCIDENTS – LES MESURES
Objectifs
• Noter et signaler toute faille de sécurité observée ou soupçonnée dans
les systèmes ou services
o Mécanisme de signalement simple et connus de tous
• Établir les responsabilités et les procédures pour une réponse rapide,
efficace et pertinente en cas d’incident
o Surveillance des systèmes, alertes et vulnérabilités
o Décrire des playbook
o Responsabilité de la clôture d’incident
GESTION D’INCIDENTS – LES MESURES
Objectifs
• Quantifier et surveiller les différents types d’incidents liés à la sécurité
de l’information ainsi que leur volume et les coûts associés
o KPI sur les informations recueillies lors des incidents, analyse de leur impact
o Analyse à froid lors des comex pour identifier les éventuelles actions préventives
o Revue régulière pour quantifier et surveiller les tendances
GESTION D’INCIDENTS – LES MESURES
Objectifs
• Assurance des personnes et investissements basée sur une analyse des
risques encourus. Les contrats d’assurance doivent couvrir différent
types de risques
o actualiser régulièrement le périmètre à assurer et réviser les contrats en
conséquence,
o démontrer l’efficacité de l’organisation en place pour la gestion des
incidents
GESTION D’INCIDENTS – LES MESURES
Objectifs
• Recueillir, conservés et présentés conformément aux dispositions légales
les éléments de preuve pour toute action en justice pénale ou civile
o avoir une procédure interne qui définit les exigences de sécurité en matière de
collecte des traces techniques de sécurité, de leur conservation, de leur protection
et de leur accès,
o seules les autorités judiciaires ou assermentées sont autorisées à collecter les
preuves légales.
GESTION D’INCIDENTS – L’ÉQUIPE DE RÉPONSE
AUX INCIDENTS
Compétences
• Compétences techniques
o Analyse de contexte opérationnel
o Identification rapide des contre-mesures
• Connaissance du contexte et des enjeux métier,
• Compétence rédactionnelle
• Aisance relationnelle
• Échange aisé avec les acteurs concernés en adaptant le discours en fonction du profil des
interlocuteurs
GESTION D’INCIDENTS – L’ÉQUIPE DE RÉPONSE
AUX INCIDENTS
Services et périmètre
• Réactifs: mis en œuvre
lors du traitement
• Proactifs: prévenir
l’incident
• Qualitatifs: élévation du
niveau de sécurité
N.B: Liste non exhaustive
GESTION D’INCIDENTS – PROCESSUS DE
TRAITEMENT
Détection et signalement
• toute personne qui a connaissance d’un fait ou d’une menace pour l’organisme (par
exemple comportement anormal d’un équipement, d’une application ou d’une
personne),
• un administrateur lorsqu’il est informé par un dispositif de supervision ou lorsqu’il
constate une anomalie lors de contrôles,
• un acteur de la sécurité lorsqu’il est informé par un outil de surveillance (détection
d’intrusion ou d’action frauduleuse) ou lorsqu’il constate une anomalie lors de
contrôles.
GESTION D’INCIDENTS – PROCESSUS DE
TRAITEMENT
Prise en compte
• Enregistrement de l’incident
o Incident catégorisé mais non qualifié – Différentes informations notes par la
personne qui enregistre l’événement
o Les enregistrements constituent une base et servi dans l’analyse de risques,
l’évaluation des dispositifs d’identification etc.
• Catégorisation
o Incident identifié comme incident de sécurité potentiel
o Référence aux fiches de consigne d’alerte de sécurité
GESTION D’INCIDENTS – PROCESSUS DE
TRAITEMENT
Qualification
• Investigations complémentaires
• Critères d’évaluation d’impact préétablis et disponible
• Type d’incidents
GESTION D’INCIDENTS – LA CYBER KILL CHAIN
Lockheed Martin
• Reconnaissance : ciblage et identification de vulnérabilités
• Armement: Trouver ou créer le logiciel pour exploiter la vulnérabilité
• Livraison: Transmission de « l’arme »
• Exploitation: Le logiciel malveillant est déclenché et essaye d’exploiter la
vulnérabilité
• Installation: Portée d’accès dérobée
• Commande et contrôle: Accès permanent à la cible
• Actions sur objectif: Exfiltration, destruction de données, chiffrement
GESTION D’INCIDENTS – LA CYBER KILL CHAIN
FireEye
• Reconnaissance
• Intrusion initiale
• Établissement de porte dérobée
• Obtention d’identifiants
• Installation de programmes utilitaires
• Élévation de privilèges/Mouvement Latéral/ Exfiltration de données
• Maintien dans le système
GESTION D’INCIDENTS – LA CYBER KILL CHAIN
ATT&CK
1. Reconnaissance
2. Développement de ressources - Recueil et mise en place de ressources
3. Accès initial
4. Exécution - Exécution de code sur un système attaqué, local ou distant
5. Persistance - Maintien dans la durée d'une présence sur le système attaqué
6. Élévation des privilèges - Obtention d'un niveau de privilège plus élevé
7. Évasion de la défense - Échapper à la détection ou aux systèmes de sécurité
GESTION D’INCIDENTS – LA CYBER KILL CHAIN
ATT&CK
8. Accès authentifié - Utilisation d'informations d'identification légitimes
9. Découverte - Acquisition post-compromission d'une connaissance interne du
système
10. Mouvement latéral
11. Collecte - Processus de collecte d'informations d’intérêt pour l'attaquant, telles
que des fichiers, avant exfiltration
12. Commandement et contrôle
13. Exfiltration
14. Impact - Perturbation des processus du système cible (les processus
commerciaux et opérationnels de l'organisation ciblée)
GESTION D’INCIDENTS – LA CYBER KILL CHAIN
UNIFIÉE
CRISE
• Situation inattendue nécessitant des actions rapides et souvent en dehors des
procédures habituelles
• Plan de gestion de crise dont fait partie la réponse et la gestion d’incident
• Maintenir le fonctionnement des activités essentielles et limiter les dommages
IMPACTS
• Rôles dans la gestion des incidents
• Niveau des services fournis
• A qui vous répondez?
• Processus de prise de décision
• Disponibilité des ressources
GESTION DE CRISE – LES MODÈLES
3 ÉTAPES
• PRÉPARATION
• OPÉRATION
• AMÉLIORATION