Web blog d'un ingénieur en sécurité informatique. IT Security watcher's blog: news, threats analysis, AV issues, PoC, IT security, bugs... Contact: philippe.vialle@wanadoo.fr
Lassé de devoir agréger et recouper des documentations à droite et à gauche, concernant le processus de traitement des incidents SSI (dits "cyber"), conformément aux bonnes pratiques, je vais donc en proposer une synthèse ici. Cela peut être utile pour les contextes de SOC/CSIRT (oui, restons européens :) ).
Voici les documentations sur lesquelles je m'appuie (et je félicite leurs auteurs au passage) :
Tout d'abord, dans le processus de traitement des incidents de sécurité S.I., il y a 3 phases fondamentales :
Les puristes y rajouteront une quatrième phase, tout en premier : la préparation à l'activité de SOC/CSIRT. Soit.
Par ailleurs, il semble évident que selon la détection, la réaction appropriée à y apporter ne sera pas la même. Par exemple, si l'analyse incident de sécurité a abouti à la conclusion qu'une machine était compromise, réinstaller proprement ladite machine n'est pas suffisant : il faut aussi penser à réinitialiser les mots de passe des utilisateurs qui s'y sont connectés...
Revenons au processus de traitement.
En premier lieu, la phase de détection, qui se découpe en 2 étapes principales :
Puis, la phase de réaction se découpe, elle, en 2 étapes principales :
La combinaison des deux permet de parler, à mon sens, de remédiation.
Je voudrais d'ailleurs rappeler que le confinement et surtout l'éradication ne peuvent être efficaces que si le traitement en phase de détection a été suffisamment rigoureux... Par exemple, si jamais l'environnement compromis n'est pas bien identifié en phase de détection, alors la phase de réaction (et surtout l'étape d'éradication), ne sera pas des plus efficaces... A tout hasard, découvrir qu'un attaquant a encore l'accès admin aux équipements NIPS (pour supprimer ses propres alertes), la veille d'une bascule Active Directory, dénote clairement que la phase de détection n'a pas été correctement traitée. Sans parler des coûts (colossaux...!) des plans de remédiation à grande envergure, tout ça pour rien.
Enfin, la dernière phase : post-incident :
J'explique tout cela depuis quelques années déjà dans mon cours. J'espère que, maintenant que je l'ai publié, ceci vous sera utile, à vous, mes lecteurs.