Etude et Mise en Place d’un Centre de Veille et Réponse aux Attaques Informatiques : CERT
Présentation du master transmission de données et sécurité de l’information (TDSI)
Historique
La formation TDSI (Transmission de Données et Sécurité de l’Information) est une branche du département de Mathématique Informatique de la Faculté des Sciences et Techniques (FST) de l’Université Cheikh Anta DIOP de Dakar (UCAD). Elle a été mise en place par le LACGAA (Laboratoire d’Algèbre, de Cryptologie, de Géométrie Algébrique et Application). Créée depuis 2004, la TDSI Offre une formation en sécurité de l’information pour les nouveaux bacheliers, étudiants et travailleurs en licence, masters et formation doctorale. Le laboratoire LACGAA est le seul de la sous-région DEMBA 9 spécialisé sur la formation et la recherche en cryptographie et dans les domaines de la sécurité de l’information. Fort d’une expérience de 15 ans, le LACGAA a déjà ouvert une licence, deux masters et une formation doctorale. En master TDSI, le laboratoire LACGAA a déjà formé en 2017, plus de 200 titulaires du master2 (niveau ingénieur) qui travaillent dans les entreprises en France, aux USA, au Sénégal et dans la sous-région ; et en licence, plus de 70 techniciens. En Thèse, le laboratoire est entrain de former plus de 12 thèses en codage et cryptologie à Dakar et en France dont 7 sont terminés.
Objectifs
Le laboratoire LACGAA a pour objectifs : La formation à la recherche fondamentale et appliquée dans les domaines de La Cryptographie, de la Théorie des codes, de l’Algèbre, de la Géométrie et de leurs applications en logique, en informatique, en sécurité de l’information, en biologie, en robotique, etc. par : Des enseignements pour les jeunes doctorants durant leur première année d’inscription en thèse ; L’encadrement des jeunes doctorants durant toute la durée de leur thèse ; L’organisation de la recherche par la mise en place d’un cadre approprié pour l’épanouissement des chercheurs (enseignants, docteur, etc.) et le développement de la recherche. La création de licences et de masters professionnels ou recherches en algèbre, géométrie et leur application notamment en sécurité informatique 2 Approche Méthodologique
Contexte du sujet
La virtualisation consiste à faire fonctionner un ou plusieurs systèmes d’exploitation sur un ou plusieurs ordinateurs. Cela peut sembler étrange d’installer deux systèmes d’exploitation sur une machine conçue pour en accueillir qu’un, mais comme nous le verrons par la suite, cette technique a de nombreux avantages. Il est courant pour des entreprises de posséder de nombreux serveurs, tels que les serveurs de mail, de nom de domaine, de stockage pour ne citer que ceux-ci. Dans un contexte économique où il est important de rentabiliser tous les investissements, acheter plusieurs machines physiques pour héberger plusieurs serveurs n’est pas judicieux. De plus, une machine fonctionnant à 15 pour cent ne consomme pas plus d’énergie qu’une machine fonctionnant à 90 pour cent. Ainsi, regrouper ces serveurs sur une même machine peut donc s’avérer rentable si leurs pointes de charge ne coïncident pas systématiquement. Enfin, la virtualisation des serveurs permet une bien plus grande modularité dans la répartition des charges et la reconfiguration des serveurs en cas d’évolution ou de défaillance momentanée. DEMBA 10 Les intérêts de la virtualisation sont multiples. On peut citer : L’utilisation optimale des ressources d’un parc de machines (répartition des machines virtuelles sur les machines physiques en fonction des charges respectives) L’économie sur le matériel (consommation électrique, entretien physique, surveillance) L’installation, tests, développements sans endommager le système hôte.
Problématique
Les nouvelles technologies ont connu un essor important ces dernières années, lié notamment au développement de nouveaux usages comme l’informatique en nuage (cloud computing). Virtualiser un ensemble de serveurs est devenu aujourd’hui relativement aisé, et de nombreuses entreprises ont choisi de « virtualiser » leurs serveurs pour faire des économies de place, d’énergie et de budget. Mais les risques associés à l’utilisation de ces nouvelles technologies sont-ils systématiquement pris en compte ? Les cybermenaces entrent de façon pérenne dans la réalité quotidienne des entreprises. Les cyberattaques sont et seront de plus en plus fréquentes, multiples (c’est-à-dire mettant combinaison de plusieurs cyberattaques), discrètes et évoluées. Elles s’inscrivent dans la durée. Elles ne ciblent plus seulement les systèmes technologiques mais aussi directement les personnes (salariés, prestataires, partenaires, fournisseurs, clients), en leur dérobant des informations primordiales qui accroissent ensuite considérablement leur capacité de nuisance. L’écosystème complet de l’Entreprise s’en trouve directement menacé. Les connaissances et compétences mises en œuvre dans le cade de ces attaques démontrent que les acteurs malveillants n’hésitent plus à investir dans des moyens techniques et humains importants pour atteindre leurs objectifs. L’actualité démontre que l’activité des entreprises attaquées est fortement perturbée, voire interrompue de façon durable. Les impacts financiers, organisationnels, juridiques et d’image peuvent être très importants, voire fatidiques lorsqu’ils font vaciller la confiance entre l’entreprise et ses clients, ses partenaires ou ses salariés dans le cas de vol ou divulgation de données personnelles, stratégiques ou critiques. Les dispositifs existants de gestion de crise et de continuité d’activité doivent être renforcés pour répondre aux risques associés. Ces observations s’inscrivent dans une ère de transformation numérique de l’Entreprise sous-tendue par l’apparition de nouvelles technologies comme la mobilité, le cloud et l’ouverture des données de l’Entreprise à ses clients et partenaires via ses propres systèmes et/ou les réseaux sociaux. La multiplication et la diversification des systèmes techniques mis en œuvre induit une augmentation sans précédent du nombre de vulnérabilités. La surface d’attaque de l’Entreprise tend ainsi à croitre de façon très importante. Comment faire pour optimiser les risques d’attaques ? Bon nombre d’organisations n’apprennent à répondre aux incidents de sécurité qu’après avoir subi des attaques. À ce stade, les incidents deviennent souvent beaucoup plus coûteux que nécessaire. Une réponse correcte aux incidents doit faire partie intégrante de votre stratégie de sécurité globale et de votre politique d’atténuation du risque. La réponse aux incidents de sécurité comporte évidemment des avantages directs. Cependant, elle peut s’accompagner d’avantages financiers indirects. Nous proposons un processus à utiliser en réaction aux intrusions identifiées dans un environnement réseau. Pour répondre correctement aux incidents, nous devons : • Réduire le nombre et la gravité des incidents de sécurité. • Composer une équipe de réponse aux incidents de sécurité informatique de base (CERT). • Définir un plan de réponse aux incidents. Dans quel cas créer un CERT ? Il est recommandé de créer un CERT si vous vous trouvez dans un ou plusieurs des cas suivants : – Vous avez un nombre élevé d’incidents de sécurité (plusieurs centaines par an), – Vous estimez que le coût de remise en état pourrait être très élevé suite à un incident de sécurité, – Votre établissement est de taille importante et/ou a une organisation complexe avec différentes sou structures nécessitant de la coordination, – Il existe des zones particulièrement sensibles dans le SI impliquant des enjeux financiers ou de défense nationale, par exemple.
Objectifs
Aujourd’hui, aucune organisation ne peut affirmer maîtriser à 100% son système d’information et encore moins sa sécurité. Il y a eu, il y a et il y aura de plus en plus de cyber attaques. Les organisations ne doivent plus se demander quand elles ont été victimes d’une attaque informatique mais plutôt s’interroger depuis quand, comment et pourquoi leur système d’information a été compromis. Ce n’est malheureusement pas une caricature et les organisations (entreprise privée ou administration) se rendent à l’évidence : aucune défense n’est parfaite et il faut se préparer à réagir le plus efficacement à un cyber attaque C’est pourquoi après avoir misé sur la prévention et la protection, nous devons investir dans la détection et la réaction. Détecter pour identifier le plus en amont possible une tentative d’attaque, un comportement anormal sur ses réseaux ou une exfiltration de données. Répondre en étant préparé à réagir en cas d’incident de sécurité (attaque virale, DDoS, phishing…) à travers un véritable processus de gestion et de réponse à incident qui va être piloté et mis en œuvre par un équipe de type CERT. L’avantage d’un CERT est de centraliser la réponse à incident mais également de servir de relai vers l’intérieur de l’organisation (pour prévenir les menaces en informant et sensibilisant) et surtout vers l’extérieur à destination des autres CERT et de la communauté sécurité en général. Des initiatives ont été rapidement lancées pour regrouper les CERT du monde entier et leur permettre de coopérer : • Le TF-CERT, qui a pour mission piloter une plateforme d’échange d’expériences pour la communauté européenne des CERT et d’aider à la création de nouveaux CERT. 204 CERT sont listés par le TF-CERT. • Le FIRST (Forum of Incident Response and Security Teams), qui est une organisation mondiale qui regroupe 286 CERT. Comme TF-CERT, il s’agit avant tout d’un cercle de confiance dans lequel les différentes équipes de réponse à incident peuvent partager de l’information et des bonnes pratiques. Le FIRST organise également une conférence annuelle internationale. Généralement un CERT est une équipe de sécurité opérationnelle, composée d’experts de différents domaines (malwares, test d’intrusion, veille, lutte contre la cybercriminalité, forensiques…). Elle est chargée de prévenir et de réagir en cas d’incidents de sécurité informatique. En amont, elle assure notamment une veille sécurité (les nouvelles attaques, les nouveaux logiciels malveillants, les dernières vulnérabilités) pour « connaître » l’état de la menace et évaluer les propres vulnérabilités de son organisation. En aval, elle analyse et traite les incidents de sécurité en aidant à leur résolution. C’est une équipe qui centralise et sert de relais que ce soit en interne et ou externe de l’entreprise car la communication est une de ses fonctions principales. Dans la mesure du possible, vous chercherez avant tout à empêcher les incidents de sécurité de se produire. Cependant, il est impossible d’empêcher tous les incidents de sécurité. Lorsqu’un incident de sécurité se produit malgré tout, vous devez veiller à en réduire l’impact. Pour réduire le nombre et l’impact des incidents de sécurité, vous devez : • Établir clairement et appliquer toutes les stratégies et procédures. Un grand nombre d’incidents de sécurité sont créés accidentellement par du personnel informatique qui n’a pas suivi ou n’a pas compris les procédures de gestion des modifications ou a configuré incorrectement des dispositifs de sécurité tels que les pares-feux et les systèmes d’authentification. Vous devez tester minutieusement vos stratégies et vos procédures pour vous assurer qu’elles sont pratiques et claires, et qu’elles offrent le niveau de sécurité adéquat. • Obtenir l’adhésion de la direction aux stratégies de sécurité et le traitement des incidents. • Évaluer régulièrement les vulnérabilités de votre environnement. Les évaluations doivent être conduites par un spécialiste en sécurité disposant des autorisations adéquates pour accomplir ces actions (cautionnable et investi de droits d’administrateur sur les systèmes). • Vérifiez régulièrement tous les systèmes informatiques et les périphériques réseau pour nous assurer qu’ils bénéficient de l’installation de tous les derniers correctifs. • Établir des programmes de formation à la sécurité destinés au personnel informatique et aux utilisateurs finaux. Dans tout système, la naïveté de certains utilisateurs représente le principal risque. Le ver ILOVEYOU a exploité cette vulnérabilité tant auprès des informaticiens que des utilisateurs finaux. • Publier des avis de sécurité rappelant aux utilisateurs leurs responsabilités et les limites à ne pas franchir, et les aviser des risques de poursuites en cas de violation. Ces avis permettent de recueillir plus facilement des preuves et de poursuivre les pirates. Nous devons nous renseigner auprès d’un juriste pour vous assurer que la formulation de vos avis de sécurité est appropriée. • Développer, implémenter et appliquer une stratégie nécessitant des mots de passe complexes. Nous trouverons des informations supplémentaires sur les mots de passe dans « Application de l’utilisation de mots de passe complexes à l’échelle de notre organisation » dans le kit de conseils de sécurité. • Surveiller et analyser régulièrement le trafic réseau et les performances du système. • Vérifier régulièrement tous les journaux et mécanismes de journalisation, y compris les journaux d’événements du système d’exploitation, les journaux spécifiques aux applications et les journaux du système de détection d’intrusion. • Vérifier vos procédures de sauvegarde et restauration. Vous devez savoir où les sauvegardes sont stockées et qui peut y accéder, et connaître vos procédures de restauration des données et de récupération du système. Contrôlez régulièrement les sauvegardes et les médias en restaurant des données de façon sélective. • Créer une équipe CERT (Computer Emergency Response Team), responsable de la gestion des incidents liés à la sécurité informatique. Vous pourrez obtenir des détails sur l’équipe CERT dans la section suivante de ce document.
Délimitation du champ de l’étude
Nous n’avons pas pu faire un stage pratique dans une entreprise, où nous aurions eu l’occasion d’accéder aux équipements physiques. Nous allons alors faire une simulation en créant un plan de réponse aux incidents. Mais c’est une solution qui pourra être implémenté dans n’importe quelle entreprise.
Pertinence du sujet
Un computer emergency response team (CERT) ou computer security incident response team (CSIRT) est un centre d’alerte et de réaction aux attaques informatiques, destiné aux entreprises ou aux administrations, mais dont les informations sont généralement accessibles à tous. Chaque utilisateur qui a accès à une équipe de réponse aux incidents de sécurité informatique devrait en savoir autant qu’il est possible sur les services de cette équipe et les interactions avec elle avant qu’il en ait réellement besoin. Une déclaration claire des politiques et procédures d’une CERT aide le domaine à comprendre comment rapporter au mieux les incidents et quel soutient attendre après coup. Le CERT va-t-il assister à la résolution de l’incident ? Va-t-elle fournir une aide pour éviter les incidents à l’avenir ? Des attentes claires, en particulier sur les limitations des services fournis par un CERT, vont rendre l’interaction avec elle plus efficace et effective. Il y a différentes sortes d’équipes de réponse : certaines ont un très large domaine (par exemple, le centre de coordination CERT et l’Internet) ; d’autres ont un domaine plus limité (par exemple, DFN-CERT, CIAC), et d’autres encore ont un domaine très restreint (par exemple, des équipes de réponse commerciales, des équipes de réponse d‘entreprise). Sans considération du type d’équipe de réponse, le domaine pris en charge par elles doit être connaissable par les politiques et procédures de l’équipe. Donc, il est obligatoire que les équipes de réponse rendent publiques de telles informations dans leur domaine. Un CERT devrait communiquer toutes les informations nécessaires sur sa politique et ses services sous une forme convenable pour les besoins de son domaine. Il est important de comprendre que toutes les politiques et procédures n’ont pas besoin d’être disponibles au public.
1 ère Partie : CADRE THEORIQUE ET APPROCHE METHODOLOGIQUE |