Réponse aux incidents de cybersécurité.

La norme ISO 27035 et le référentiel 800-61 traitent de la gestion des incidents de cybersécurité. Le processus comprend cinq phases. La première phase, planification et préparation et la dernière, amélioration font l’objet du document ISO 27035-2. Les trois autres phases : détection, évaluation et décision et réponses sont couverts par la norme ISO 27035-3. Ce document fixe des bonnes pratiques pour mettre en place une capacité de réponse aux incidents efficace. PROSICA propose une formation intensive de deux jours sur ce sujet. La réponse aux incidents fait l'objet de 9 mesures de la catégorie 17 du référentiel CIS.

Détection

Les attaques à l’origine des incidents de cybersécurité sont diverses. Les vecteurs d’attaque (courriel, faille d’une application WEB, système d’information d’un sous-traitant connecté, cheval de Troie dans un composant du SI…) sont un des éléments intéressant pour catégoriser un incident. Les opérations de détection nécessitent qu’un point de contact soit identifié et qu’une procédure soit définie. C’est le point de départ des opérations de réponses. Les événements de sécurité peuvent être détectés par des moyens techniques (en premier lieu le SIEM-Security Information and Event Management et aussi les EDR - Endpoint Detection and Response par exemple), des moyens humains (par exemple un utilisateur qui signale un événement suspect au service desk) ou des organisations (par exemple les clients, des partenaires ou des opérateurs de télécommunication). Le CTI est une composante de plus en plus importante pour les CSIRT. Il s’agit de collecter des informations publiques sur les attaques sous la forme d’indices de compromission (IoC) ou de techniques (TTP - Tactics techniques, and procedures). Les IoC (empreintes numériques de programmes, adresses IP, signature de virus, URL, noms de domaines de serveurs de contrôle utilisés par les attaques) sont généralement inclus dans les rapports de notification d’incident.

Evaluation et décision

Les opérations de triage ont pour but de déterminer le niveau de sévérité d’un événement, de corréler les différentes notifications et de prioriser les analyses techniques. Par exemple des logs, des captures réseaux, des binaires, des exécutables, des investigations numériques, des métadonnées (certificats numériques, en-têtes de courriels), des fichiers de code source. L’analyse de codes suspects est une des activités déterminantes. Elle peut être orientée vers des méthodes comparatives, d’exécution ou de reverse engineering des programmes. On trouve des outils de type éditeurs de fichiers, désassembleurs, capture et analyses réseaux ou forensic.

Réponses

Les objectifs sont de limiter les impacts (par exemple la propagation d’un ransomware), d’éradiquer la source de l’incident et de mettre en œuvre les opérations de restauration. Des exemples de décisions et d’actions qui peuvent s’avérer nécessaires :

  • Mise en place de règles de blocage (firewalls, IDPS – Intrusion Detection Prevention System).
  • Isolation d’un système infecté.
  • Arrêt d’un système.
  • Modification des règles de routage.
  • Désactivation d’un compte.

Ces décisions ne sont pas neutres car elles peuvent détruire des informations pouvant être utiles pour évaluer la cause ou la source d’une intrusion. Il est recommandé de collecter les informations qui pourront être analysées ultérieurement avant de procéder aux changements sur les composants du système d’information.

Les opérations d’éradication visent à éliminer les éléments à la source de l’incident, par exemple un code malveillant. Les actions de restauration permettront de revenir à une situation normale. Il s’agira par exemple de reconstruire un système à partir de sauvegardes ou bien d’appliquer des mesures de durcissements pour éviter que le même incident se reproduise.

Les rapports d’incidents devront être précis et circonstanciés. Le partage d’informations entre les CERT/CSIRT est souhaitable en utilisant par exemple les formats STIX/TAXII ou le référentiel VERIS - Vocabulary for Event Recording and Incident Sharing.

 Il est recommandé d'organiser régulièrement des exercices d'entrainement aux cybercrises.

  Pour en savoir plus sur les 20 meilleures formations sur la sécurité des systèmes d’information, téléchargez gratuitement notre livre blanc ci-dessous :

ISO 27035, IncidentResponse, RéponseIncidents, CERT, CTI, CSIRT