accueilSécuritéIncidents de sécurité
 

Gestion des incidents de sécurité (légendes)


Evénement lié à la sécurité de l’information

Définition : occurrence identifiée de l’état d’un système, d’un service ou d’un réseau indiquant une faille possible dans la politique (2.28) de sécurité de l’information (2.19) ou un échec des mesures de sécurité (2.10) ou encore une situation inconnue jusqu’alors et pouvant relever de la sécurité [1]

Incident lié à la sécurité de l’information

Définition : un ou plusieurs événements liés à la sécurité de l’information (2.20) indésirables ou inattendus présentant une probabilité forte de compromettre les opérations liées à l’activité de l’organisation et de menacer la sécurité de l’information (2.19) [2]

Détecter

Un évènement peut être détecté par :

  • un humain
    • utilisateur du SI
    • help desk
    • ASR
    • partenaire
    • responsable d’un autre SI
    • utilisateur externe
    • autorités, police
    • CERT
    • victime
  • un outil automatique
    • analyse des journaux
    • alarmes
    • IDS/IPS

Tour évènement anormal qui laisserait supposer un problème de sécurité doit être pris en compte. Il n’est pas demandé à celui qui l’a détecté de la qualifier comme incident de sécurité, simplement de le signaler.

Signaler

Quiconque détecte, observe ou soupçonne un incident ou une faille de sécurité doit le noter et le signaler dans les meilleurs délais. C’est une obligation prescrite par la charte du CNRS [3].

Lorsqu’il existe dans l’unité une structure qui s’occupe de l’assistance aux utilisateurs (help desk,hot line, assistance technique, etc.), c’est vers elle que doivent être logiquement signalés les incidents de sécurité. Sinon c’est l’administrateur système et réseau ou le CSSI (chargé de sécurité des systèmes d’information) qui sera le destinataire du signalement. Il convient que dans chaque unité soit définie et bien connue de tous la procédure donnant la marche à suivre pour contacter le responsable et lui fournir les informations. Un vol ou une perte doit être considéré comme un incident.

Cependant il doit être possible, si la situation l’exige [4] de contacter directement et en toute discrétion un responsable de la sécurité. Par ailleurs si l’incident a été détecté par un membre de l’équipe chargée de la SSI, il n’est pas nécessaire de signaler au help desk avant de le prendre en charge [5].

Enregistrer

La personne qui reçoit le signalement d’un incident doit en accuser réception et l’enregistrer dans une base des incidents. S’il existe un système de gestion de tickets d’incident on pourra naturellement l’utiliser pour les incidents de sécurité. Sinon il faudra le faire dans une base dédiée au incidents de sécurité.

Catégoriser

La personne qui a reçu le signalement va en fonction de son expérience et des élément qu’elle a pu recueillir déterminer si l’incident concerne bien la sécurité et auquel cas le transmettre aux personnes compétentes en la matière. Il ne faut pas oublier qu’il est demandé aux utilisateurs de signaler tout ce qui potentiellement pourrait être un incident de sécurité et que donc un tri est utile.

Qualifier

Une première analyse va permettre aux personnes en charge des incidents de sécurité de confirmer ou d’infirmer qu’il s’agit bien d’un incident de sécurité. Les incidents non confirmés seront soumis à nouveau au help desk pour traitement.

Incident de sécurité

Le traitement d’un incident de sécurité comprend plusieurs tâches qui doivent s’exécuter plus ou moins en parallèle.

Investiguer

Il s’agit de comprendre ce qu’il s’est passé, quel a été le scénario de l’incident pour en éviter la reproduction. Il faut aussi obtenir des éléments qui auront une valeur probante si une action judiciaire est engagée.

Communiquer

La communication intervient à toutes les étapes. Dès la prise en compte il convient d’avertir celui qui a été à l’origine du signalement et éventuellement lui demander des précisions supplémentaires. Il faut aussi si l’incident à une incidence sur le fonctionnement du SI avertir l’ensemble des parties prenantes. Lorsque l’incident est résolu il faut prévenir du retour à la normal mais aussi effectuer un bilan, le communiquer aux parties intéressées. Un incident est généralement une opportunité pour lancer des campagnes de sensibilisation et de formation sur la façon d’en éviter la reproduction.

Traiter

Il s’agit de revenir à la normale :

  • reconfiguration
  • application de correctifs
  • réinstallation
  • restaurations des données perdues ou altérées
  • éradication ds codes malveillants

Il ne faut pas non plus oublier des actions comme :

  • poursuites judiciaires
  • appel en responsabilité judiciaire
  • établissement d’un rapport de synthèse

Réponse immédiate

Un incident de sécurité exige une réponse immédiate afin de mettre en œuvre des mesures conservatoires permettant de limiter les dommages, conserver des preuves en vue d’une action éventuelle en justice, comprendre le scénario de l’attaque et rétablir le fonctionnement le plus tôt possible.

Crise

Un incident de sécurité peut avoir une ampleur telle et des conséquences si graves que son traitement dépasse le cadre des personnes en charge de la SSI et qu’il faille l’escalader à une cellule de crise.

Bilan et clôture

Lorsque l’incident est terminé il est important d’en établir le bilan afin d’utiliser le retour d’expérience dans un processus d’amélioration continue de la sécurité. La base d’incidents de sécurité doit être renseignée avec les informations qui permettront une analyse ultérieure pour des statistiques, par exemple.


[1] ISO/CEI 27000:2009(F) 2.20

[2] ISO/CEI 27000:2009(F) 2.21

[3] L’utilisateur doit signaler toute tentative de violation de son compte et, de façon générale, toute anomalie qu’il peut constater (3.2 Règles d’utilisation)

[4] Il faut faire confiance à l’intelligence et au sens des responsabilités de l’individu pour déterminer de telles situations.

[5] Ce qui n’exclut pas son enregistrement dans l’outil de gestion des incidents du help desk.


ARESU
Direction des Systèmes d'Information du CNRS

358 rue P.-G. de Gennes
31676 LABEGE Cedex

Bâtiment 1,
1 Place Aristide Briand
92195 MEUDON Cedex



 

 

Direction des Systèmes d'Information

Pôle ARESU

Accueil Imprimer Plan du site Credits