RéponseIncidents

Evaluer la gestion des incidents avec SIM3

La maturité d'un CSIRT peut être mesurée à l'aide du référentiel SIM3 (Security Information Management) Maturity Model). Ce référentiel est proposé par la fondation OpenCSIRT à l’origine de la collaboration des CSIRT en Europe, au travers par exemple l’association TF-CSIRT. Le modèle SIM3 est requis pour l’autoévaluation des nouveaux membres du FIRST, association internationale de CSIRT. Ce référentiel peut aussi être utilisé pour évaluer l’efficacité de son processus global de gestion des incidents sous les angles prévention, détection, résolution et qualité.

Le référentiel du NIST de réponse aux incidents

Le référentiel NIST 800-61 propose des bonnes pratiques pour mettre en œuvre un processus de réponse aux incidents de cybersécurité. Les recommandations de ce document sont particulièrement utiles pour mettre en place un SOC et un CSIRT. Il complète les recommandations issues des normes ISO 27035. Aux Etats-Unis, la mise en place d’un processus de réponse aux incidents est par exemple imposée aux agences publiques au travers de la conformité FISMA. Autre exemple en France, l’obligation des organismes soumis aux réglementations des activités d’importance vitale de déclarer les incidents à l’ANSSI.

Le référentiel TIBER-UE

Le référentiel TIBER-UE a été mis en place par la Banque Centrale Européenne. Son objectif est d’organiser des exercices de cybercrises au travers des scénarios de type Red Team ou TLPT (Threat-Led Penetration Testing).TIBER-UE s’adresse aux institutions financières. Le règlement européen DORA préconise la généralisation de ces exercices pour simuler des attaques ciblées et améliorer les mesures de prévention, de détection et de réaction. TIBER-UE prévoit 3 étapes : préparation, test et plan de remédiation. Le prestataire externe qui conduit les tests doit inclure des recherches approfondies sur la cible débouchant sur un rapport CTI. Chaque régulateur peut adopter son référentiel national, TIBER-EU étant le référentiel « chapeau ».

Les CSIRT (Computer Security Incident Response Team)

Le premier CERT a été créé aux Etats-Unis en réponse à la propagation du premier programme autoreproducteur en novembre 1988 (ver Morris) sur les prémices d’Internet. La première cellule de réponse à incident était née et sera bientôt suivie par beaucoup d’autres que ce soit au niveau des agences nationales de sécurité, des groupes privés (bancaires en particulier) ou des sociétés spécialisées en cybersécurité. Le terme « CERT » ayant été enregistré aux Etats-Unis et son utilisation encadrée, c’est le terme CSIRT qui est souvent préféré. Rappelons que la série des normes ISO 27035 fournit des bonnes pratiques pour mettre en place un processus efficace de réponse aux incidents de sécurité.

Les exercices de cybercrises

Les plans de continuité d’activité traitent des risques dont les impacts peuvent être potentiellement très élevés mais dont la probabilité est faible. Pour concilier ces deux extrêmes, il faut mettre au point des plans, qui comportent des volets métiers et techniques. Pour le « business », il s’agit d’identifier les activités les plus critiques pour les maintenir, généralement dans un état dégradé. C’est l’objet du BIA. Le volet technique se concentre sur les aspects logistiques et les plans de continuité informatique.

Les sinistres liés aux problèmes de cybersécurité font partie de ces risques, du fait notamment des nombreux cas de ransomware (rançongiciel) qui touchent des entreprises de toute taille. Les impacts peuvent être très élevés pour l’entreprise (coûts financiers, image de marque…) et dans certains cas avoir des conséquences sur la sécurité des personnes (cas des hôpitaux ou des entreprises industriels sensibles par exemple). Les mesures de sécurité préventives sont bien entendu fondamentales. De nombreux référentiels fixent les bonnes pratiques organisationnels et techniques : NIST 800-53, guides de durcissement (CIS, ANSSI…), CSF. Nul n’étant à l’abri d’un incident majeur voire d’une crise, il est important de travailler le volet réponse et planifier régulièrement des exercices d’entrainement.

Les investigations numériques

La détection des événements suspects et la qualification des incidents de sécurité sont des éléments clés du processus de réponse aux incidents de sécurité (voir quelques recommandations ici et ici), que l’on retrouve dans la série de normes ISO 27035. Les CISO/RSSI doivent intégrer cette capacité de détection et de réponse à leur politique de sécurité. L’investigation numérique ou « digital forensics » est une discipline spécifique de la cybersécurité, avec ses compétences et ses outils. Cet article dresse un aperçu des bonnes pratiques disponibles dans cette matière qui, si elle reste très ardue techniquement doit être mieux comprise et intégrée aux processus de réponse et réaction aux incidents.

Les SOC (Security Operation Center)

Les SOC (Security Operation Center), internes ou externalisés se concentrent sur la détection et la notification des incidents de sécurité. Les modalités de réponses aux incidents sont du ressort des équipes internes avec l’aide de services des CSIRT, par exemple pour les investigations numériques. Des bonnes pratiques issues des normes ISO 27035 ou du NIST SP 800-61 permettent de définir et de mettre en œuvre un processus efficace de détection et de réponse aux incidents de sécurité. Pour construire son SOC, on peut s’appuyer sur des référentiels comme le PDIS de l’ANSSI ou les bonnes pratiques publiées par l’ETSI.

OCSF pour normaliser les événements de sécurité

Les bonnes pratiques de réponse à incidents, par exemple le NIST 800-61 ou le standard ISO 27035 distinguent l’évènement de l’incident de sécurité. Pour avoir une chance de détecter les attaques ciblées et discrètes, il faut collecter le maximum d’informations, définir et tester des règles de corrélation que les analystes du SOC vont traiter. Le cadre OCSF (Open Cybersecurity Schema Framework) est un projet Open Source sous licence Apache 2.0. Il propose une normalisation des événements de sécurité pour faciliter l’interopérabilité entre les outils. Ce cadre est utilisé par exemple pour sécuriser les environnements du Cloud AWS au travers le service Security Lake. Ce service centralise les événements de sécurité. OCSF peut être utilisé en complément de la base de techniques d’attaques MITRE ATT&CK.

Réponse aux incidents de cybersécurité.

La norme ISO 27035 et le référentiel 800-61 traitent de la gestion des incidents de cybersécurité. Le processus comprend cinq phases. La première phase, planification et préparation et la dernière, amélioration font l’objet du document ISO 27035-2. Les trois autres phases : détection, évaluation et décision et réponses sont couverts par la norme ISO 27035-3. Ce document fixe des bonnes pratiques pour mettre en place une capacité de réponse aux incidents efficace. PROSICA propose une formation intensive de deux jours sur ce sujet. La réponse aux incidents fait l'objet de 9 mesures de la catégorie 17 du référentiel CIS.