Overblog
Editer l'article Suivre ce blog Administration + Créer mon blog
24 septembre 2019 2 24 /09 /septembre /2019 21:49

Lassé de devoir agréger et recouper des documentations à droite et à gauche, concernant le processus de traitement des incidents SSI (dits "cyber"), conformément aux bonnes pratiques, je vais donc en proposer une synthèse ici. Cela peut être utile pour les contextes de SOC/CSIRT (oui, restons européens :) ).

Voici les documentations sur lesquelles je m'appuie (et je félicite leurs auteurs au passage) :

 

Tout d'abord, dans le processus de traitement des incidents de sécurité S.I., il y a 3 phases fondamentales : 

  1. détection ;
  2. réaction ;
  3. post-incident.

Les puristes y rajouteront une quatrième phase, tout en premier : la préparation à l'activité de SOC/CSIRT. Soit.

Par ailleurs, il semble évident que selon la détection, la réaction appropriée à y apporter ne sera pas la même. Par exemple, si l'analyse incident de sécurité a abouti à la conclusion qu'une machine était compromise, réinstaller proprement ladite machine n'est pas suffisant : il faut aussi penser à réinitialiser les mots de passe des utilisateurs qui s'y sont connectés...

 

Revenons au processus de traitement.

En premier lieu, la phase de détection, qui se découpe en 2 étapes principales :

  1. la qualification : il s'agit de dire si oui ou non, il s'agit d'un incident de sécurité ("cyber") ;
  2. la caractérisation : si la réponse précédente est oui, alors il s'agit de déterminer à quelle attaque nous avons affaire, voire à quelle étape de la kill chain  nous sommes.

 

Puis, la phase de réaction se découpe, elle, en 2 étapes principales :

  1. le confinement : il s'agit d'isoler l'environnement compromis, afin de bloquer ou au moins limiter la latéralisation de l'attaquant ;
  2. l'éradication : là c'est la fin pour l'attaquant, le but est de le mettre vraiment dehors, qu'il s'agisse d'un simple code viral ou d'un accès malveillant à distance.

La combinaison des deux permet de parler, à mon sens, de remédiation.

Je voudrais d'ailleurs rappeler que le confinement et surtout l'éradication ne peuvent être efficaces que si le traitement en phase de détection a été suffisamment rigoureux... Par exemple, si jamais l'environnement compromis n'est pas bien identifié en phase de détection, alors la phase de réaction (et surtout l'étape d'éradication), ne sera pas des plus efficaces... A tout hasard, découvrir qu'un attaquant a encore l'accès admin aux équipements NIPS (pour supprimer ses propres alertes), la veille d'une bascule Active Directory, dénote clairement que la phase de détection n'a pas été correctement traitée. Sans parler des coûts (colossaux...!) des plans de remédiation à grande envergure, tout ça pour rien.

 

Enfin, la dernière phase : post-incident :

  1. rédiger une synthèse de l'incident : cela permet de garder une trace, facilement exploitable à posteriori si besoin, et cela crée au quotidien une base de connaissances ;
  2. déceler les points d'amélioration dans la supervision SSI : identifier ce qui peut être amélioré et ... le faire ! PDCA quand tu nous tiens !

 

J'explique tout cela depuis quelques années déjà dans mon cours. J'espère que, maintenant que je l'ai publié, ceci vous sera utile, à vous, mes lecteurs.

Partager cet article

Repost0

commentaires