Rapport structure
A
LES DOSSIERS TECHNIQUES Gestion des incidents de sécurité du système d’information (SSI) Mai Groupe de travail « Gestion des incidents » CLUB DE LA SÉCURITÉ DE L’INFORMATION FRANÇAIS 11 rue de Mogador – 75009 paris Tél. : +33 1 53 25 08 80 – Fax +33 1 53 25 08 88 clus f@clusif. asso. r – La 101 du 11 mars 19 de l’article 41, d’une strictement réservée or69 Sni* to View es des alinéas 2 et 3 reproductions e et non destinées à une utilisation collective » et, d’autre part, que les analyses et les courtes citations dans un but d’exemple et d’illustration, « oute représentation ou reproduction intégrale, ou partielle, faite sans le consentement de l’auteur ou de ayants droit ou ayants cause est illicite » (alinéa 1er de l’article 40) Cette représentation ou reproduction, par quelque procédé que ce soit, constituerait donc une contrefaçon sanctlonnée par les articles 425 et suivants du Code Pénal Table des matières Remerciements IV – Introduction………….. . . . „ „ . 12 3. 2. polltique de gestion des incidents de sécurité . 33. Les Mesures à mettre en place… 3,4. Organisation 15 3. 41 Préambule…………… 3. 4. Équipe de réponse aux incidents 16 3. 4. 2. 1 Fonctionnement 17 3. 4. 2. 2 Services et périmètre 19 3. 5. Processus de traitement des incidents — — 22 4 – Gestion des incidents de . … 24 4,1. Détection et signalement 24 42. Prise en compte PAGF OF 26 4,3. Mesures de réponses immédiates . 43. 2 Investigations…. 4. 3. 2. 1 Préservation des traces . 4. 3. 2. 2 Environnements potentiellement concernés…………….. 27 4. 3. 2. 3 Aide ? l’analyse 4. 3. 2. Identification du fait générateur et analyse de Traitement assurances…. l’incident l’impact. 43. 3 28 4. 3. 3. Mesures pour éviter l’aggravation des 4. 3. 3. 2 Déclarations aux 4. 3. 3. 3 Résolution de 4. 3. 3. 4 Méthodes et outils . . 4. 3. 3. 5 Exemples de traitements… 4,4. Revues post- incident — 31 4,4. 1 29 . 30 30 32 4,5. Actions post- incident. 4. 5. 1 Bilan de 4. 5. 2 Le Recours… 4. 5. 3 Révision des contrats. • • • • 4. 5. 4 Communication interne spécifique (sensibilisation, etc. ) 33 4,6. Amélioration de la gestion des incidents . 33 5 – Exemples de typologie des incidents 5. 1. Présentation du format des fiches par type 35 d’incident…..
Gestion des incidents @ CLUSIF 2011 5. . 1 Description du type d’incident de sécurité . 35 36 5. 2. Fiches par type d’Incident . 5. 2. 1 Vol de PC portable .. 5. 2. 1 . 1 Description du type d’incident de 5. 2. 1. 2 Mesures préventives possibles 5. 2. 1. 3 Moyens de détection 5. 2. 1. 4 Qualification…. 38 5. 2. 1. 5 Analyse. 5. 2. 1. 6 Traitement . 5. 2. 1 . 7 Actions post- 5. 2. 2 Installation d’un logiciel non autorisé 5. 2. 2. 1 Définition de 5. 2. 2. 2 Mesures préventives posslbles „ 5. 2. 2. 3 Moyens de détection. 5. 2. 2. 4 39 37 l’incident — 39 PAGF s OF . 37 . 38 . 39 malveillant. 5. 2. 3. 1 Définition de 5. 2. 3. Mesures préventives 5. 2. 3. Moyens de 5. 2. 3. 4 Qualification…… 43 5. 2. 3. 5 5. 2. 3. 6 Traitement 5. 2. 3. 7 Actions post- incident.. 5. 2. 4 Intrusions logiques 5. 2. 4. 1 Description du type d’incident de post-incident… • • • • • • • • 5. 2. 3 Dysfonctionnement pouvant provenir d’un logiciel 41 42 40 . 41 5. 2. 4. 2 Mesures préventives possibles . 5. 2. 4. 3 Moyens de détection.. 5. 2. 4. 4 Analyse. 45 5. 2. 4. 5 Traitement 46 . 44 . 42 44 ressources informatiques 5. 2. 5. 1 Description du type d’incident de 47 5. 2. 5. 2 Mesures préventives 5. 2. 5. 3 Détection . 48 . 2. 5. 4 Analyse — 5. 2. 5. 5 Traitement . 49 5. 2. 5. 6 Actions post incident. ?? • • • • • • • • • • • • • • • • • 5. 2. 6 Incidents concernant les habilitations…. 5. 2. 6. 1 Description du type d’incident de 50 5. 2. 6. 2 Mesures préventives 5. 2. 6. 3 Détection . 51 5. 2. 6. 4 PAGF 7 OF Mesures préventives 5. 2. 7. 3 Détection — 54 5. 2. 7. 4 Analyse. 55 5. 2. 7. 5 Traitement . 5. 2. 7. 6 Actions post- 5. 2. 8 Cas des incidents liés. 5. 2. 8. 1 Description du type d’incident de sécurité — • 56 5. 2. 8. 2 Mesures préventives 5. 2. 8. 3 Détection 6 5. 2. 8. 4 Analyse. 57 5. 2. 8. 5 Traitement 5. 2. 8. 6 Actions post- 6 – Glossaire (source principale : „ 53 . 55 . 57 58 Wikipedia)….
Table des figures Fieure 1 Acteurs / parten PAGF E OF pe de réponse aux ici à l’honneur les personnes qui ont rendu possible la réalisation de ce document, tout particulièrement : Les responsables successifs du groupe de travall : Robert BERGERON CAPGEMINI Witold POLOCZANSKI Les contributeurs Michel BERTIN David BIZEUL soclETE GENERALE Annie BUTEL BNP PARIBAS Philippe LARUE PAGF de plusieurs incidents présentant les mêmes symptômes. La gestion des roblèmes consiste en une analyse visant à anticiper les incidents à venir. pour l’ISO 27000 (sécurité de l’information) Incident : un ou plusieurs évènements intéressant la sécurité de l’information indésirable(s) ou inattendu(s) présentant une probabilité forte de compromettre les opérations liées à l’activité de l’organisme et de menacer la sécurité de l’information (ISO/CEI TR 18044:200411. Quelle que soit l’approche, la gestion des incidents a pour objectif la détection et le traitement des incidents (à priori et à posteriori).
Le processus de gestion des incidents inclut en général a détection de l’incident, les analyses et diagnostics, la résolution de l’incident et/ou le rétablissement du service affecté. Un aspect important de la gestion des incidents est le suivi (reporting) de ce processus et la capitalisation (bilan). La qualité de service et la performance des organisations exigent la mise en place d’une gestion efficace des incidents et des problèmes. La gestion des incidents est également un dispositif amont essentiel du Plan de Reprise d’Activité car elle définit les procédures d’escalade qui permettent d’être plus réactif pour le déclenchement des plans de secours. 11