Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTFR-2016-ACT-014

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 04 avril 2016
No CERTFR-2016-ACT-014

Affaire suivie par :

CERT-FR

Objet : Bulletin d'actualité CERTFR-2016-ACT-014

1 - L'organisation de la réponse à incident

Les choses ont bien évolué depuis 1998 et la publication de la RFC 2350 Expectation for Computer Security Incident Response (cf. Documentation) décrivant pour la première fois de manière formelle l'organisation, la structure, les services et les modes opératoires d'une structure de réponse aux incidents, CERT ou CSIRT dans notre langage. Cet article propose un premier état des lieux en matière de normes et de modèles applicables à la gestion d'incidents de sécurité.

Une norme

La norme ISO 27035:2011 Information Security Incident Management décrit un modèle d'organisation de l'activité de réponse aux incidents s'appuyant sur le cycle de vie d'un incident. Celui-ci se décompose en cinq phases :
  1. phase de planification et de préparation ('Plan and prepare') ;
  2. phase de détection et de rapport ('Detection and reporting') ;
  3. phase d'analyse et de décision ('Assessment and decision') ;
  4. phase de réponses ('Responses') ;
  5. phase de retour d'expérience ('Lessons learnt').

Une nouvelle version de cette norme est en cours d'élaboration. Son objectif est de détailler chacune des activités devant être menées au sein des cinq phases identifiées. Cette version se déclinera en trois volets dont les deux premiers devraient être publiés en août 2016 :

  1. la norme 27035-1 Principle of incident management reprendra dans la norme actuelle dans ses grandes lignes ;
  2. la norme 27035-2 Guidelines to plan and prepare for incident response précisera les activités qu'une organisation doit engager pour être à même de traiter un incident conformément aux meilleures pratiques. Ce volet couvre de fait les phases 1 et 5 du modèle ;
  3. la norme 27035-3 Guidelines for incident response operation devrait détailler les phases 2, 3 et 4 du modèle. Aucune date de publication n'est actuellement avancée.

Des modèles

D'autres approches de la gestion d'incident sont proposées par ailleurs, en particulier celles de deux grands acteurs du domaine, le NIST (l'Institut américain en charge des normes et de la technologie) et l'ENISA (l'Agence européenne chargée de la sécurité des réseaux et de l'information).

NIST SP800-61r2

Le NIST détaille un modèle d'organisation et de traitement (cf. Documentation) lui aussi basé sur le cycle de vie d'un incident dans le guide intitulé 'Computer Security Incident Handling Guide' initialement publié en 2004 et dont la dernière révision date de 2012. Ce modèle, qui prend ses racines dans les travaux menés par l'US Navy puis par le SANS Institute, est semblable au modèle de l'ISO 27035:2011 au nombre de phases près, soit quatre phases sont identifiées au lieu de cinq, les deux phases post-incident de l'ISO étant regroupées en une seule :
  1. la phase 'Préparer' (Preparation) organisée autour de deux volets : préparer et éviter les incidents ;
  2. la phase 'Détecter et Analyser' (Detection and Analysis) contenant sept volets : les vecteurs d'attaque, les signes d'un incident, les sources d'information, l'analyse de l'incident, la documentation de l'incident, la gestion des priorités et la notification de l'incident ;
  3. la phase 'Contenir, Eradiquer et Restaurer' (Containment, Eradication and Recovery) présentée en quatre volets : choisir une stratégie d'isolation, relever et gérer les éléments de preuve, identifier les systèmes attaquant, éradiquer et restaurer ;
  4. la phase 'Gérer l'après-incident' (Post-Incident Activity) scindée en trois volets : les leçons acquises, l'utilisation des données collectées et la conservation des éléments de preuve.

Il discerne l'existence d'un cycle entre les deux phases actives du traitement, les phases 2 et 3, lesquelles peuvent être déroulées alternativement pour affiner le traitement et ceci au fur et à mesure de la progression dans l'analyse et de la connaissance que l'on acquiert de l'incident, de ses atteintes et de ses conséquences.

ENISA

Publié fin 2010 et en anglais uniquement, le guide 'Good Practice Guide for Incident Management' (cf. Documentation) traite de l'ensemble de la problématique de la mise en oeuvre d'une structure de gestion des incidents. Il propose à ce titre une organisation de la gestion des incidents autour des différents services susceptibles d'être offerts et dont le traitement d'un incident n'est qu'une composante. L'ENISA s'inspire ici du modèle fondateur initié en 2004 par le CERT Carnegie Mellon dans son document 'Defining Incident Management Processes for CSIRTs: A Work in Progress' (cf. Documentation) :
  • la détection
  • le triage
  • l'analyse
  • la réponse

Ce document ne détaille toutefois ni le contenu des quatre étapes ni les actions à engager. Au lecteur d'adapter à son besoin et à son contexte les exemples proposés qui s'inspirent de cycles de traitement mis en oeuvre par différentes structures européennes.

Conclusion

On retiendra de ce très bref tour d'horizon l'existence de modèles, guides, méthodes et bonnes pratiques de gestion et de traitement des incidents de sécurité éprouvés et sur lesquels il est possible de s'appuyer efficacement. Il y aura bien entendu toujours nécessité d'adapter le modèle à la structure de l'organisation et à son périmètre de responsabilité, les méthodes et pratiques aux équipes et aux contextes techniques.

Documentation


2 - Rappel des avis émis

Dans la période du 28 mars au 03 avril 2016, le CERT-FR a émis les publications suivantes :

  • CERTFR-2016-AVI-110 : Multiples vulnérabilités dans le noyau linux de Suse
  • CERTFR-2016-AVI-111 : Multiples vulnérabilités dans les produits Cisco

Gestion détaillée du document

04 avril 2016
version initiale.
Dernière version de ce document : http://cert.ssi.gouv.fr/site/CERTFR-2016-ACT-014

CERT-FR
2016-04-04
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-06-22