B. ACTIVITÉS DE SÉCURITÉ POUR LA DÉTECTION, L'ÉVALUATION ET LA REMÉDIATION DES INCIDENTS
Les activités de la sécurité opérationnelle , d'un Security Operations Center ( SOC ), constituent un coût très voire trop onéreux pour les entreprises , en particulier du fait des compétences élevées et continues nécessaires aux experts. En outre, l'emploi de logiciels spécifiques, puissants et coûteux comme les systèmes de gestion des informations et événements de sécurité ( SIEM ) et les systèmes de détection d'intrusion ( IDS ) augmente cette difficulté.
Les activités de sécurité sont généralement l'oeuvre d'experts du domaine, regroupés au sein d'une institution (ANSSI, DGA, etc.) ou d'entreprises privées. Pour l'investigation ou l'audit , ces activités sont occasionnelles et à forte compétence experte ce qui justifie pleinement l'usage de ces activités sous forme de services.
1. La sécurité opérationnelle
Schéma n° 87 : Site de supervision d'un système d'information
Source : OPECST
a) Centre pour la supervision de la sécurité
Un centre de sécurité opérationnelle (ou SOC ) est la partie du système d'information de l'entreprise destinée à la mise en place de solutions pour la détection, la localisation et la qualification des événements de sécurité et la mise à disposition de plans de réaction.
Un centre de sécurité opérationnelle agit sur un site donné mais peut intervenir à distance à l'aide d'outils spécifiques et particulièrement sécurisés : cette supervision est dite centralisée et distribuée.
Les SIEM regroupent un ensemble d'outils en vue de l'analyse qui prend en compte un besoin de supervision de sécurité exprimé par un client.
b) Contrat de service de sécurité
La relation entre un centre de sécurité opérationnelle et son client s'établit au travers d' un contrat appelé SLA (Service Level Agreement ) qui scelle au préalable le périmètre surveillé, les modes et délais d'intervention, le mécanisme d'escalade en cas d'incident.
c) Incident informatique
Un incident informatique est une menace de violation imminente des politiques de sécurité informatique, des politiques d'usage ou des pratiques . Ensuite, l'incident fait l'objet d'un ticket ; l'usager qui en a été victime le déclare à l'aide d'un outil spécialisé auquel il accède généralement à l'aide d'un navigateur web . L'usager doit décrire l'incident afin de bénéficier du service. Le NIST a défini des rapports d'incidents devant inclure une description de l'incident ou de l'événement, en utilisant la taxonomie proposée.
Un centre de sécurité opérationnelle intervient en majorité après des incidents liés à des applications non testées ou modifiées , à des erreurs humaines par ignorance ou manque de documentation. Les problèmes matériels, électriques et de réseaux ne représentent que 20 % des incidents.
d) Compétences multiples et compétence d'équipe
L'expert est responsable d'incident ( incident responder ) mais, en réalité, il s'agit d'une équipe d'experts plutôt que d'un individu, du fait du besoin de compétences multiples et hétérogènes allant de l'expertise réseau à l'expertise « Java » mais également en raison de la durée de résolution d'un incident qui peut atteindre jusqu'à plusieurs jours en moyenne, plusieurs mois dans le cas d'attaques complexes et ciblées .
e) Architecture de supervision d'un SOC
La partie de la supervision de la sécurité repose sur l'analyse des traces provenant des systèmes de détection d'intrusion placés aux divers endroits du système d'information pour en assurer la surveillance.
Le rôle d'un SIEM sera de gérer ces traces et de les interpréter. D'un point de vue de la gouvernance, la gestion de ces données requiert d'organiser les fonctions du SIEM sur le système gouverné. Il s'agit d'un cycle en quatre étapes : collecte, détection, analyse et traitement des incidents de sécurité. Chacune d'entre elles est également l'objet d'un processus de décision :
- collecter : décider de la pertinence d'un signal par l'observation ;
- voir : décider que ce signal constitue un incident de sécurité ;
- comprendre : analyser en localisant, identifiant et caractérisant l'incident ;
- décider des actions correctives.
La performance d'un tel système de surveillance repose entièrement sur la précision à chacune des étapes du cycle du processus de décision.
Schéma n°
88
:
Architecture simplifiée du processus de surveillance
de la
sécurité numérique
Source : INSA thèse
f) Le processus d'escalade jusqu'à la résolution de l'incident
À partir de l'apparition de l'incident jusqu'à sa résolution, une méthodologie d'intervention en forme d'escalade doit être mise en oeuvre.
Schéma n°
89
:
Circuit du traitement de l'incident de sécurité
jusqu'à
sa résolution
Source : INSA TC
2. L'audit de sécurité
L'audit de sécurité d'un système d'information est un instantané de ce système dont le but est de détecter les vulnérabilités sur différents plans : organisationnel, technique, ressources humaines, conformité aux normes, aux règles de bonnes pratiques et aux contraintes juridiques.
L'audit peut être également conjoint à une analyse de risque selon le but poursuivi : réaction à une attaque, évaluation du niveau de sécurité du système d'information, évolution du système incorporant de nouveaux équipements ou processus, etc. L'audit devrait même être pratiqué à chaque modification du système d'information .
La démarche d'audit de sécurité est proche de celle de la démarche qualité : elle doit être méthodique et ne pas omettre de tester un élément du système, à savoir le maillon faible . L'audit repose sur plusieurs façons de faire : l'entretien, les tests d'intrusion, les relevés minutieux des configurations des systèmes (programmes, routeurs, postes de travail, serveurs, etc.). L'audit technique peut être mené seul ou s'inscrire dans un audit organisationnel. Il permet à l'expert de focaliser son attention sur les rouages d'une nouvelle application web afin de s'assurer qu'il ne présentera pas de faille lors sa mise en ligne.
Une inspection méthodique et périodique du système d'information est un atout considérable pour la bonne santé de celui-ci, néanmoins, les ressources humaines afférentes à ces opérations sont longues et entraînent des coûts non négligeables pour une entreprise qui sont de l'ordre de 1 500 € à 2 000 € la journée, impliquant facilement plusieurs experts pendant plusieurs semaines.
Le « test d'intrusion » est une alternative intéressante puisqu'elle fait intervenir une équipe durant environ une semaine pour un coût de l'ordre de 10 000 € et permet de détecter des vulnérabilités avant qu'elles ne soient exploitées par de véritables pirates.
3. L'investigation liée aux incidents
L'investigation est une étape de recherche de cause d'un incident ; elle est dite pour cette raison « post-mortem », également appelée analyse forensique pour détecter le mode opératoire d'un attaquant ou d'un robot s'il s'agit d'une attaque par virus , ou de l'intrusion d'un logiciel malveillant.
Des équipes spécialisées interviennent pour déterminer et délimiter le périmètre ainsi que l'ampleur de l'attaque informatique. À cette occasion, les preuves numériques sont collectées et analysées afin d'établir l'origine de la malveillance ou de l'incident.
Les éléments de preuve collectés peuvent être un support à la démarche juridique ou d'assurance.