Gestion des incidents de sécurité informatique, selon les normes et recommandations ANSSI

on

|

views

and

comments

En France, le rôle de l’ANSII est primordial et indispensable, dans de nombreux cas, ses agents sont intervenus pour aider les responsables « informatiques » à mieux solutionner les incidents, l’un des cas les plus graves fut celui qui nous reste en mémoire, de TV5Monde en 2015 ; et sans le soutien technique de l’ANSII, la reprise du service eut été bien plus problématique encore.

Comment fonctionne la gestion des incidents de sécurité informatique, selon les normes et recommandations ANSSI ; les incidents de sécurité informatique, en particulier les attaques de cybersécurité graves telles que les menaces persistantes avancées (APT) ou encore les attaques par ransomware, font régulièrement la une des journaux et causent de graves dommages aux organisations de tous types.

Heureusement, des moyens de répondre à ces incidents de manière rapide, efficace et complète sont activement développés au plus haut niveau dans les entreprises. Les agences publiques sont également impliquées, car la sécurité informatique est devenue pratiquement une affaire d’Etat. En France, c’est l’ANSSI (Agence nationale de la sécurité des systèmes d’information), un service à compétence nationale, qui est chargée de la promotion d’une culture de la cybersécurité.

Pour aider les organisations françaises à mieux faire face aux incidents de sécurité, l’ANSSI en qualité d’autorité nationale en matière de sécurité et de défense des systèmes d’information, a établi ses propres normes et recommandations de gestion des incidents de sécurité informatique qu’il convient de connaître et d’appliquer.

Des normes il en existe beaucoup, certaines sont complexes et plus ou moins adaptées, l’avantage avec l’ANSSI, c’est que vous pouvez les joindre et échanger avec eux, pour leur détailler vos éventuels soucis, et c’est un gage de réussite supplémentaire.

L’ANSSI en un coup d’œil

Comme évoqué plus haut, l’ANSSI est l’autorité nationale chargée d’accompagner et de sécuriser le développement du numérique en France. Elle a remplacé la DCSSI en 2001, c’est une agence publique ayant reçu la mission de définir les normes de la sécurité des systèmes d’information en particulier les normes sur l’évaluation et la certification des systèmes d’information. Une tâche qui est encore aujourd’hui assurée par l’ANSSI.

Outre la définition des normes de la sécurité des systèmes d’information, l’ANSSI instruit et prépare aussi les décisions gouvernementales relatives à la sécurité du numérique et à celle des données sensibles.

Depuis 2013, elle a également reçu le devoir d’accompagner les opérateurs dits d’importance vitale dans la sécurisation de leurs systèmes d’information critiques, et ce n’est pas peu dire, compte tenu du nombre d’attaques quotidiennes sur les réseaux.

Enfin, auprès des entreprises et des citoyens, l’ANSSI assure la mission de faire la promotion d’une culture de la cyber sécurité, qui explose quotidiennement, la cybersécurité est en plus exarcerbee par la problème de la guerre en Ukraine, et jamais nous n’avons relevé autant d’attaques sur le net; tout le monde est concerné.

La gestion des incidents de sécurité informatique, c’est quoi ?

Selon l’ISO 27000, une norme de sécurité de l’information, un Incident de sécurité fait référence à un ou plusieurs évènements de sécurité de l’information indésirables ou inattendus, comme une cyberattaque par exemple, un vol ou perte d’un équipement informatique contenant des données sensibles ou encore une utilisation d’une ressource informatique par une personne mal intentionnée, pouvant compromettre les opérations liées à l’activité de l’organisme et/ou de menacer la sécurité de l’information.

La gestion des incidents de sécurité informatique, quant à elle, est un ensemble d’actions et de procédures se concentrant sur la détection et la résolution rapide des incidents afin de s’assurer que les services ne subissent pas trop de temps d’arrêt, et ne deviennent des problèmes.

Elle doit toujours être appuyée par une équipe compétente et bien coordonnée, des outils de détection, d’alerte d’incidents et de communication performants ainsi qu’un plan de gestion des incidents de sécurité informatique adapté.

D’une importance capitale, c’est ce dernier (plan de gestion) qui va guider l’équipe de gestion des incidents à détecter les incidents de sécurité et fournir une réponse technique adaptée et rapide pour résoudre les incidents.

Mesures – dispositifs permettant de réduire le risque d’apparition des incidents

Pour sécuriser efficacement les systèmes d’information et par la même occasion réduire grandement le risque d’apparition des incidents, l’ANSSI suggère aux organisations de mettre en place les mesures, et une série d’éléments dont les dispositifs suivants :

  • Une politique de sécurité des systèmes d’information adaptée qui permettrait d’engager toutes les parties prenantes de l’organisation à contribuer à la sécurisation du SSI. Pour atteindre cet objectif, il est conseillé de mettre en place des plans de formation et de sensibilisation à la sécurité SI.
  • Obtenir une homologation pour chaque SIIV. L’homologation est une démarche permettant de s’assurer que les risques pesant sur le SI soient connus et maîtrisés.
  • Une cartographie de chaque SIIV. La cartographie, logicielle dans notre cas, est la représentation d’une information statique ou dynamique d’un programme informatique et de ses processus à l’aide d’une carte en 2D ou 3D. Elle a pour avantage de faciliter le traitement des incidents de sécurité, notamment en offrant à l’équipe informatique le pouvoir apprécier l’impact d’une compromission.
  • S’assurer que les SI d’importance vitale conservent un niveau de sécurité constant, adapté à l’évolution des menaces.

Points clés de la gestion des incidents de sécurité informatique, selon ANSSI

Selon l’ANSSI, voici les conditions requises pour s’assurer d’une bonne gestion des incidents de sécurité informatique :

  • La mise en place d’un système de journalisation pour les SI et SIIV

En informatique, le concept de journalisation désigne l’enregistrement dans un fichier de tous les événements affectant un processus. Le journal fait alors référence à un fichier contenant ces enregistrements.

L’analyse des journaux, appelés aussi fichiers logs, permet aux administrateurs système et réseau de surveiller le système et réseau informatique concerné et de détecter les éventuels dysfonctionnements et pertes de performance d’un système.

Dans son guide sur les meilleures pratiques en matière de gestion des incidents de sécurité informatique, l’ANSSI insiste sur l’importance de la mise en place d’un système de journalisation pour chaque système d’information (SI) et SI d’importance vitale (SIIV).

La but avec la mise en place d’un tel système est de pouvoir enregistrer les évènements permettant de détecter des incidents de sécurité et de disposer les données nécessaires pour pouvoir réaliser des investigations a posteriori en cas d’incident.

  • Mise en œuvre de systèmes de détection qualifiés

Évidemment, un système de journalisation n’a pas d’utilité si les journaux qu’il génère ne sont  pas exploités. C’est pourquoi, après avoir mis en place un système de journalisation, les organisations doivent ensuite installer un système de détection des incidents basé sur la corrélation et l’analyse des journaux.

L’objectif d’un tel dispositif est de permettre la détection rapide et de manière proactive des incidents et ainsi offrir à l’équipe informatique la possibilité de réagir rapidement avant que le ou les incidents détectés ne fassent des dégâts.

  • Mise en place d’une procédure adaptée de traitement des incidents

Une procédure de traitement des incidents fait référence à un ensemble de mesures, d’actions, de règles et de méthodes à exécuter pour traiter et contenir un incident donné.

En se basant sur les référentiels d’exigences mis à disposition par l’ANSSI sur son site, les organisations doivent mettre en place une procédure adaptée permettant d’assurer la gestion et la supervision des incidents.

  • Mise en place d’un outil de traitement des alertes performant

L’outil de traitement des alertes est ce qui va permettre d’informer au plus vite l’équipe informatique en interne ou bien l’opérateur (si vous êtes client) d’un risque d’apparition d’un incident majeur notable qui va gêner le bon fonctionnement du système informatique ou du système informatique d’importance vitale (SIIV).

Conclusion, il faut s’appuyer sur l’ANSSI

Peu de gens le savent, et parfois il doutent de faire appel à l’ANSSI, pourtant cette agence d’état est là, pour aider les responsables « informatique » en cas d’attaque ou de cyber attaque, cela fait partie de leurs obligations ou devoirs (ils sont là pour cela).

Ils l’ont démontré de nombreuses fois, mais l’une de celles qui reste en mémoire, fut l’attaque ou cyberattaque mémorable subie par TV5 Monde, en 2015, qui fut solutionnée, grâce à l’intervention et à la collaboration des équipes de l’ANSSI.

Les analystes en investigation numérique sont d’abord intervenus, pour évaluer les dégâts, et estimer l’importance ou l’ampleur de l’attaque, cette phase préalable est nécessaire, et elle permet de donner  (estimer) aux experts numériques impliqués,  l’ampleur et les dégâts à gérer.

Une fois les premières analyses faites, ce fut au tour des auditeurs d’intervenir, car à ce moment là, ils pouvaient disposer d’une parfaite connaissance de ce qui se passait, et surtout du niveau de sécurité remis en cause.

Les auditeurs sont des experts de haut niveau, dans de nombreux domaines (système, applications, réseaux, et organisations). Ils sauront faire les synthèses nécessaires, pour bien restituer aux responsables sur place, les vulnérabilités et les améliorations nécessaires.

Donc nous répétons et concluons qu’en cas d’attaque, il est impératif de faire appel à eux.

 

Auteur Antonio Rodriguez, Editeur et Directeur de Clever Technologies

Source :

Des systèmes d’information ANSSI, très spécialisés sur le sujet

La cybersecurite, n’est pas toujours prise au sérieux

 

Clem Debure
Clem Deburehttps://dryadalis.com
Je gère l'ensemble du magazine et les auteurs pour qu'ils gardent notre ligne éditoriale.
Partagez
Tags

LES PLUS LUS

Pour Sabry Pascal Dabou, l’utilisation de biocarburant est l’avenir du secteur

Ces dernières années, plusieurs annonces ont été faites concernant l’utilisation de biocarburant dans l’aviation. Il faut savoir que ce secteur représente 2% des émissions...

Quelles différences entre des médecins conventionnés secteur 1, 2 ou 3 ?

En France, les relations entre les médecins et le système national de sécurité sociale sont régies par une convention de soins. Cette convention a...

Quel est le lien entre seo, référencement naturel et article sponsorisé ?

Le SEO est une technique de référencement naturel des sites web, qui utilise différentes méthodes pour améliorer la visibilité d’un site internet sur les...

Articles recents

en rapport avec ce contenu

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.