Evaluer la gestion des incidents avec SIM3

La maturité d'un CSIRT peut être mesurée à l'aide du référentiel SIM3 (Security Information Management) Maturity Model). Ce référentiel est proposé par la fondation OpenCSIRT à l’origine de la collaboration des CSIRT en Europe, au travers par exemple l’association TF-CSIRT. Le modèle SIM3 est requis pour l’autoévaluation des nouveaux membres du FIRST, association internationale de CSIRT. Ce référentiel peut aussi être utilisé pour évaluer l’efficacité de son processus global de gestion des incidents sous les angles prévention, détection, résolution et qualité.

Les bases de SIM3

Le référentiel repose sur la description des paramètres liés à l’organisation, aux ressources humaines, aux outils et aux processus.

Les paramètres sont mesurés selon 5 niveaux :

  • 0 : non disponible(non défini, non connu).
  • 1 : implicite (connu, considéré oralement mais non écrit).
  • 2 :  explicite, interne (écrit mais non formalisé d'une manière ou d'une autre).
  • 3 :  explicite, formalisé sous l'autorité du responsable du CSIRT (approuvé ou publié).
  • 4 : explicite, audité sous l’autorité de la direction (autre que le responsable du CSIRT, soumis à un processus de contrôle et d’audit).

Le rapport SIM3 récapitule : 

  • Le niveau commenté de chaque paramètre. 
  • Un digramme de type « radar » reprenant les niveaux de maturité des paramètres et le cas échéant la comparaison avec des bonnes pratiques constatées (voir par exemple les niveaux du référentiel de l’ENISA).
  • Une vue simplifiée des notes par domaine (organisation, ressources humaines, outils et processus).

Contenu

Les paramètres décrivent : 

  • Pour la partie organisationnelle: l’engagement de la direction, les clients du CSIRT, le périmètre d’intervention, les responsabilités, les services fournis, la classification des incidents, la participation à des associations de CSIRT, les référentiels utilisés, la politique de sécurité.
  • Pour la partie des ressources humaines: le code de conduite et d’éthique, le plan de résilience, les compétences, la formation, la communication, la participation aux évènements et aux conférences.
  • Pour la partie outils: la liste des ressources, les sources de veille et de CTI, la gestion des tickets, les moyens de communication, la liste des applications de prévention, de détection et de réponse aux incidents. 
  • Pour la partie processus: l’escalade, la communication, les aspects juridiques, les procédures, les audits, la gestion des urgences, la déclaration des incidents, la classification des informations, les comptes rendus, les statistiques, les échanges entre CSIRT.

Un outil d’autoévaluation est proposé par la fondation OpenCSIRT. L’outil permet de se mesurer au regard de plusieurs niveaux comme : 

  • La certification proposée par le TF-CSIRT. 
  • Le niveau minimum demandé par les nouveaux entrants au FIRST.
  • Les niveaux basiques, intermédiaires et avancés de l’ENISA.
CSIRT Certification

 

 



RéponseIncidents, CSIRT, SIM3