Le référentiel du NIST de réponse aux incidents

Le référentiel NIST 800-61 propose des bonnes pratiques pour mettre en œuvre un processus de réponse aux incidents de cybersécurité. Les recommandations de ce document sont particulièrement utiles pour mettre en place un SOC et un CSIRT. Il complète les recommandations issues des normes ISO 27035. Aux Etats-Unis, la mise en place d’un processus de réponse aux incidents est par exemple imposée aux agences publiques au travers de la conformité FISMA. Autre exemple en France, l’obligation des organismes soumis aux réglementations des activités d’importance vitale de déclarer les incidents à l’ANSSI.

 

Articulation

La mise en place d'une capacité de réponse aux incidents comprend :

  • La politique et le plan de réponse .
  • Les procédures pour traiter les incidents.
  • Les lignes directrices pour communiquer avec les parties prenantes internes et externes.
  • La constitution et les moyens de l’équipe de traitement des incidents de sécurité, les relations avec les autres départements IT, juridique, DPO… et les services à fournir à l’entité.

Le NIST 800-61 comprend 3 parties principales : organisation de la capacité de réponse, gestion d’un incident, coordination et partage d’informations ainsi qu’une série d’annexes dont la définition de scénarios, des exemples de fiches de qualification et des bonnes pratiques de gestion de crise.

Concepts

Le NIST, comme la norme ISO 27035 fait la distinction entre :

  • Un événement : toute observation sur un système ou un réseau.
  • Un incident : une violation ou une menace imminente de violation des politiques de sécurité).

Les notions d’indicateurs de compromission (signe qu'un incident a pu se produire ou est en train de se produire) et de signature sont détaillés.

La politique de réponse à incident comprend les informations suivantes : engagement de la direction, objectifs, périmètre, définitions, rôles et responsabilités, critères de priorisation et de sévérité des incidents, indicateurs de performance, formulaires types.

Le programme de mise en œuvre d’un processus de réponse à incidents dégage les ressources et répond aux besoins suivants : définition des missions et des objectifs, approbation de la direction, définition de l’organisation, modalités de communication, feuille de route de montée en puissance.

Les SOP (Standard Operating Procedures) sont les modes opératoires utilisés par les équipes de réponse à incident. Le NIST 800-61 donne des exemples.

La communication est fondamentale. Elle comprend des parties prenantes divers : clients, médias, équipes internes, opérateurs, régulateurs, prestataires et éditeurs.

Structure de l’équipe de réponse

Différents critères sont à discuter en fonction du besoin de l’entité :

  • Equipe centralisée ou équipes multiples.
  • Ressources internes, partiellement ou entièrement externalisées.
  • Couverture horaire, 24/7 pour la plupart des organisations.
  • Types et niveaux d’expertises.

Si l’externalisation a des avantages, elle comporte aussi des risques comme le manque de responsabilisation, la perte de compétence interne, la difficulté pour corréler des événements de sources multiples, la présence sur site.

Processus de réponse à incident.

Le NIST 800-61 distingue les étapes suivantes :

  • Préparation.
  • Détection et analyse.
  • Mise sous contrôle, résolution et reprise.
  • Retour sur expérience.

Blog16

Le NIST 800-61 donne quelques exemples de scénarios d’incidents : Dénis de service, programmes malveillants, vol de document, compromission d’un serveur, fuite d’informations sensibles, accès non autorisés à une application, point d’accès sans fil illicite.

Le FIRST, association reconnue de CSIRT / CERT fournit de nombreuses ressources intéressantes pour mettre en œuvre un processus de réponse à incidents efficace. SIM3 permet de mesurer l'efficacité de son processus de gestion des incidents et d'un CSIRT.

 

NIST, RéponseIncidents