En France, le rôle de l’ANSII est primordial et indispensable, dans de nombreux cas, ses agents sont intervenus pour aider les responsables « informatiques » à mieux solutionner les incidents, l’un des cas les plus graves fut celui qui nous reste en mémoire, de TV5Monde en 2015 ; et sans le soutien technique de l’ANSII, la reprise du service eut été bien plus problématique encore.
Comment fonctionne la gestion des incidents de sécurité informatique, selon les normes et recommandations ANSSI ; les incidents de sécurité informatique, en particulier les attaques de cybersécurité graves telles que les menaces persistantes avancées (APT) ou encore les attaques par ransomware, font régulièrement la une des journaux et causent de graves dommages aux organisations de tous types.
Heureusement, des moyens de répondre à ces incidents de manière rapide, efficace et complète sont activement développés au plus haut niveau dans les entreprises. Les agences publiques sont également impliquées, car la sécurité informatique est devenue pratiquement une affaire d’Etat. En France, c’est l’ANSSI (Agence nationale de la sécurité des systèmes d’information), un service à compétence nationale, qui est chargée de la promotion d’une culture de la cybersécurité.
Pour aider les organisations françaises à mieux faire face aux incidents de sécurité, l’ANSSI en qualité d’autorité nationale en matière de sécurité et de défense des systèmes d’information, a établi ses propres normes et recommandations de gestion des incidents de sécurité informatique qu’il convient de connaître et d’appliquer.
Des normes il en existe beaucoup, certaines sont complexes et plus ou moins adaptées, l’avantage avec l’ANSSI, c’est que vous pouvez les joindre et échanger avec eux, pour leur détailler vos éventuels soucis, et c’est un gage de réussite supplémentaire.
L’ANSSI en un coup d’œil
Comme évoqué plus haut, l’ANSSI est l’autorité nationale chargée d’accompagner et de sécuriser le développement du numérique en France. Elle a remplacé la DCSSI en 2001, c’est une agence publique ayant reçu la mission de définir les normes de la sécurité des systèmes d’information en particulier les normes sur l’évaluation et la certification des systèmes d’information. Une tâche qui est encore aujourd’hui assurée par l’ANSSI.
Outre la définition des normes de la sécurité des systèmes d’information, l’ANSSI instruit et prépare aussi les décisions gouvernementales relatives à la sécurité du numérique et à celle des données sensibles.
Depuis 2013, elle a également reçu le devoir d’accompagner les opérateurs dits d’importance vitale dans la sécurisation de leurs systèmes d’information critiques, et ce n’est pas peu dire, compte tenu du nombre d’attaques quotidiennes sur les réseaux.
Enfin, auprès des entreprises et des citoyens, l’ANSSI assure la mission de faire la promotion d’une culture de la cyber sécurité, qui explose quotidiennement, la cybersécurité est en plus exarcerbee par la problème de la guerre en Ukraine, et jamais nous n’avons relevé autant d’attaques sur le net; tout le monde est concerné.
La gestion des incidents de sécurité informatique, c’est quoi ?
Selon l’ISO 27000, une norme de sécurité de l’information, un Incident de sécurité fait référence à un ou plusieurs évènements de sécurité de l’information indésirables ou inattendus, comme une cyberattaque par exemple, un vol ou perte d’un équipement informatique contenant des données sensibles ou encore une utilisation d’une ressource informatique par une personne mal intentionnée, pouvant compromettre les opérations liées à l’activité de l’organisme et/ou de menacer la sécurité de l’information.
La gestion des incidents de sécurité informatique, quant à elle, est un ensemble d’actions et de procédures se concentrant sur la détection et la résolution rapide des incidents afin de s’assurer que les services ne subissent pas trop de temps d’arrêt, et ne deviennent des problèmes.
Elle doit toujours être appuyée par une équipe compétente et bien coordonnée, des outils de détection, d’alerte d’incidents et de communication performants ainsi qu’un plan de gestion des incidents de sécurité informatique adapté.
D’une importance capitale, c’est ce dernier (plan de gestion) qui va guider l’équipe de gestion des incidents à détecter les incidents de sécurité et fournir une réponse technique adaptée et rapide pour résoudre les incidents.
Mesures – dispositifs permettant de réduire le risque d’apparition des incidents
Pour sécuriser efficacement les systèmes d’information et par la même occasion réduire grandement le risque d’apparition des incidents, l’ANSSI suggère aux organisations de mettre en place les mesures, et une série d’éléments dont les dispositifs suivants :
Points clés de la gestion des incidents de sécurité informatique, selon ANSSI
Selon l’ANSSI, voici les conditions requises pour s’assurer d’une bonne gestion des incidents de sécurité informatique :
En informatique, le concept de journalisation désigne l’enregistrement dans un fichier de tous les événements affectant un processus. Le journal fait alors référence à un fichier contenant ces enregistrements.
L’analyse des journaux, appelés aussi fichiers logs, permet aux administrateurs système et réseau de surveiller le système et réseau informatique concerné et de détecter les éventuels dysfonctionnements et pertes de performance d’un système.
Dans son guide sur les meilleures pratiques en matière de gestion des incidents de sécurité informatique, l’ANSSI insiste sur l’importance de la mise en place d’un système de journalisation pour chaque système d’information (SI) et SI d’importance vitale (SIIV).
La but avec la mise en place d’un tel système est de pouvoir enregistrer les évènements permettant de détecter des incidents de sécurité et de disposer les données nécessaires pour pouvoir réaliser des investigations a posteriori en cas d’incident.
Évidemment, un système de journalisation n’a pas d’utilité si les journaux qu’il génère ne sont pas exploités. C’est pourquoi, après avoir mis en place un système de journalisation, les organisations doivent ensuite installer un système de détection des incidents basé sur la corrélation et l’analyse des journaux.
L’objectif d’un tel dispositif est de permettre la détection rapide et de manière proactive des incidents et ainsi offrir à l’équipe informatique la possibilité de réagir rapidement avant que le ou les incidents détectés ne fassent des dégâts.
Une procédure de traitement des incidents fait référence à un ensemble de mesures, d’actions, de règles et de méthodes à exécuter pour traiter et contenir un incident donné.
En se basant sur les référentiels d’exigences mis à disposition par l’ANSSI sur son site, les organisations doivent mettre en place une procédure adaptée permettant d’assurer la gestion et la supervision des incidents.
L’outil de traitement des alertes est ce qui va permettre d’informer au plus vite l’équipe informatique en interne ou bien l’opérateur (si vous êtes client) d’un risque d’apparition d’un incident majeur notable qui va gêner le bon fonctionnement du système informatique ou du système informatique d’importance vitale (SIIV).
Conclusion, il faut s’appuyer sur l’ANSSI
Peu de gens le savent, et parfois il doutent de faire appel à l’ANSSI, pourtant cette agence d’état est là, pour aider les responsables « informatique » en cas d’attaque ou de cyber attaque, cela fait partie de leurs obligations ou devoirs (ils sont là pour cela).
Ils l’ont démontré de nombreuses fois, mais l’une de celles qui reste en mémoire, fut l’attaque ou cyberattaque mémorable subie par TV5 Monde, en 2015, qui fut solutionnée, grâce à l’intervention et à la collaboration des équipes de l’ANSSI.
Les analystes en investigation numérique sont d’abord intervenus, pour évaluer les dégâts, et estimer l’importance ou l’ampleur de l’attaque, cette phase préalable est nécessaire, et elle permet de donner (estimer) aux experts numériques impliqués, l’ampleur et les dégâts à gérer.
Une fois les premières analyses faites, ce fut au tour des auditeurs d’intervenir, car à ce moment là, ils pouvaient disposer d’une parfaite connaissance de ce qui se passait, et surtout du niveau de sécurité remis en cause.
Les auditeurs sont des experts de haut niveau, dans de nombreux domaines (système, applications, réseaux, et organisations). Ils sauront faire les synthèses nécessaires, pour bien restituer aux responsables sur place, les vulnérabilités et les améliorations nécessaires.
Donc nous répétons et concluons qu’en cas d’attaque, il est impératif de faire appel à eux.
Auteur Antonio Rodriguez, Editeur et Directeur de Clever Technologies
Source :
Des systèmes d’information ANSSI, très spécialisés sur le sujet
La cybersecurite, n’est pas toujours prise au sérieux
Le carrelage en marbre est synonyme d’élégance et de sophistication. Utilisé tant pour les sols…
La phycocyanine, pigment bleu extrait de la spiruline, est connue pour ses bienfaits antioxydants et…
Le speed-dating a gagné en popularité au fil des ans, devenant une option de plus…
La chambre à coucher, véritable sanctuaire du repos, mérite une attention particulière lors de son…
Les énergies renouvelables sont de plus en plus présentes dans notre quotidien. Elles se distinguent…
L'école est le terrain de jeu de l'apprentissage, un lieu où l'esprit des jeunes se…
Ce site utilise des cookies.