Cadre management et organisationnelle d’un CERT
L’acronyme CSIRT qui signifie Computer Security Incident Response Team, est principalement utilisé comme synonyme du terme protégé CERT (Computer Emergency Response Team), déposé aux Etats-Unis par CERT Coordinateur Center (CERT/CC). La première apparition d’un ver dans l’infrastructure informatique mondiale remonte à la fin des années 1980 avec Morris, qui s’est rapidement propagé pour contaminer de très nombreux systèmes IT dans le monde entier. Cet incident a été un véritable signal d’alarme, dans la mesure où il a fait prendre conscience de la nécessité impérative d’une coopération et d’une coordination au niveau des administrateurs systèmes et des responsables informatiques pour lutter contre ce type de phénomène. Le temps étant un facteur critique, il convenait d’adopter une approche davantage organisée et structurée de la gestion des incidents de sécurité informatique. Aussi, quelques jours à peine après « l’incident de Morris », l’DARPA (Defense Advanced Research Projects Agency) créait-elle le premier CSIRT, en l’occurrence CERT, implanté à la Carnegie Mellon University de Pittsburgh (Pennsylvanie).
La plupart des CSIRT offrent également à leurs parties prenantes, dans le but d’atténuer les risques et de minimiser le nombre d’interventions requises, des services à caractère préventif et éducatif. Ils publient des bulletins et avis de vulnérabilités concernant les logiciels et matériels en usage, et informent les utilisateurs des exploits et virus tirant parti des failles constatées. Les parties prenantes sont dès lors en mesure de procéder rapidement à l’application de correctifs et à la mise à jour de leurs systèmes.
Les avantages d’un CSIRT
Un CSIRT peut proposer un très large éventail de services, mais aucun CSIRT n’en propose actuellement la gamme complète. La sélection des services les mieux adaptés apparaît donc comme une décision essentielle. Services réactifs Services proactifs Traitement des artefacts Alertes et avertissements Traitement des incidents Analyse des incidents Appui à la réponse aux incidents Coordination de la réponse aux incidents Traitement des vulnérabilités Analyse des vulnérabilités Réponse aux vulnérabilités Coordination des réponses aux vulnérabilités Dans le processus d’identification et gestion des incidents, les équipe de réponse aux incidents de sécurité informatique (CSIRT) jouent un rôle d’assistance auprès des victimes. Grâce à leur expérience et à leur savoir-faire, elles sont en mesures aider les personnes ou les organisations en difficulté, de manière efficace, rapide et à bas coût. Un CSIRT aide les organisations à juguler et à réparer les failles de sécurité et les menaces informatique. Cette fonction réactive est appelée gestion des incidents. En général, elle comprend trois aspects principaux :
Gestion des incidents en cybersécurité
C’est l’occurrence identifiée de l’état d’un service, d’un système ou d’un réseau indiquant une faille possible dans la politique de sécurité de l’information ou un échec des mesures de sécurité ou encore une situation inconnue jusqu’alors et pouvant relever de la sécurité. Un ou plusieurs évènements liés à la sécurité de l’information indésirables ou inattendus présentant une probabilité forte de compromettre les activités de l’entreprise et de menacer la sécurité de l’information. De ce fait, il a des impacts sur l’un des critères de la sécurité : Confidentialité, Intégrité, Disponibilité, Authentification. Comme les atteintes à la sécurité sont de plus en plus sophistiquées, il est estimé qu’un nombre important des incidents demeure non décelé. Ceci est dû, d’une part, à l’absence de déploiement de méthodes de prévention avérées et moyens de détection et de contrôle en matière de cybersécurité, et d’autres part, au manque de compétences techniques.
Ainsi ; planifier et préparer une politique et un plan de gestion d’incident de cybersécurité s’avère indispensable pour une détection et une réponse efficaces aux incidents. La politique de gestion des incidents de cybersécurité doit fournir les principales démarches formellement documentées pour assurer une mise en œuvre cohérente et appropriée des processus et procédures. Elle doit faire partie de la stratégie de sécurité de l’information de chaque entité et doit être conforme à la politique et aux procédures appliquées par l’entreprise. Pendant la phase de préparation, chaque entreprise vise également à limiter le nombre d’incidents qui pourraient se produire en sélectionnant et en mettant en œuvre un ensemble de contrôles et mesures basés sur les résultats des évaluations des risques. Le but est d’être en Par ailleurs, garder le nombre d’incidents raisonnablement bas est très important pour protéger les processus métiers de l’entreprise. Si les contrôles de sécurité sont insuffisants, un nombre important et élevé d’incident peuvent se produire, mettant à mal l’équipe de réponse aux incidents. Cela peut conduire à des réponses lentes et incomplètes, qui se traduisent par un impact négatif plus important. Bien que les équipes de réponse aux incidents ne soient généralement pas responsables de la sécurisation des ressources, elles peuvent émettre et faire valoir les bonnes pratiques de sécurité suite à l’identification des défaillances et des problèmes que l’entreprise ignore.
Détecter et identifier les incidents en cybersécurité
La phase d’identification repose sur l’évaluation des événements de cybersécurité décelés pendant la phase de détection. Cette évaluation vise à déterminer s’il s’agit réellement d’un incident de cybersécurité, de déterminer son incidence et son envergure, son impact ainsi que la cause probable de l’incident. Les tâches à accomplir lors de cette phase se présentent comme suit : La première phase d’une réponse à incident est l’acquisition des preuves de compromission. Les analystes doivent reconstituer le scénario complet d’attaque (Exploitation d’une vulnérabilité, élévation de privilèges, exfiltration de données …). Les évidences collectées doivent être stockées en toute sécurité. L’acquisition des données peut se faire : À chaud : sur un système en marche (on parle de « live forensics ») la réponse à chaud permet de mener des investigations en collectant des « artefacts » sur des systèmes en marche. A ce stade, les détails de la menace sont toujours inconnus, il faut donc commencer par identifier et quantifier la menace à travers la collecte des informations à savoir..
J’aimerais bien apprendre cours informatique ça m’intéresse beaucoup