ISO 27035 pour évaluer et améliorer sa réponse aux incidents de sécurité

En cybersécurité, la détection des événements suspects et la mise en œuvre de réactions adaptées est une tâche incontournable mais ardue. Les obstacles à surmonter sont nombreux : collecter et remonter des informations fiables, faire le tri entre les faux positifs et les indicateurs pertinents, disposer de l’expertise adaptée pour qualifier les incidents, mettre en place les bonnes réactions, communiquer au bon moment… Une vision focalisée seulement sur les moyens (services d’un SOC, outils de centralisation et de corrélation des logs, sondes de détection des intrusions, outils CTI, SOAR…) ne peut pas être efficace si elle ne s’inscrit pas dans une démarche organisée. Les normes ISO 27035 peuvent apporter une aide pour évaluer sa capacité à répondre aux incidents et améliorer son organisation. Sont abordés dans cet article à titre d’exemples, trois composants à évaluer.

La politique de gestion des incidents de sécurité

Ce document définit les éléments structurants. Il doit être pragmatique et adapté aux enjeux et à la taille de l’entité. Une bonne appropriation de la politique par les collaborateurs est indispensable. La norme récapitule les incontournables de ce document :

  • Organisation générale (rôles et responsabilités, processus, parties prenantes internes et externes, régulateurs ou agences nationales par exemple).
  • Définitions retenues (en particulier événement, incident, alerte et vulnérabilité).
  • Sources (techniques et humaines) de remontée d’événements.
  • Catégorisation et priorisation des incidents suivant des critères à préciser.
  • Analyse post-mortem et formalisation des retours d’expérience.
  • Activation et fonctionnement de la cellule de réponse aux incidents (IRT - Incident Response Team) comprenant les modalités de notification des incidents majeurs et d’activation de la cellule de crise.

Capacité de support technique

Les phases de qualification et de décision reposent sur des expertises techniques très diverses en fonction des incidents.

  • Les expertises liées aux aspects « détection » s’appuient sur les solutions et équipements disponibles (IDPS : intrusion Detection Prevention System, Security Information and Event Management : SIEM, antivirus, logs locaux, analyseurs réseaux, supervision…), les partenaires et fournisseurs (CERT/CSIRT : Computer Emergency Response Team privés ou gouvernementaux, opérateurs et fournisseurs d’accès, clients) et les utilisateurs.
  • Les expertises liées aux aspects qualification dépendent des caractéristiques des systèmes d’information. Le niveau de compétence des équipes internes et des intégrateurs assurant la maintenance conditionne la qualification initiale d’un événement suspect. A ce titre la maitrise des outils de sécurité proposés par les fournisseurs Cloud est primordiale pour les entités concernées.
  • Des qualifications plus poussées pour orienter la réaction nécessitent des expertises pointues en sécurité (maitrise de Wireshark pour déterminer des « patterns » lors d’un déni de service, analyse du mode de propagation d’un programme malveillant, analyse « forensic » d’un poste de travail potentiellement compromis…).

Le niveau de capacité de support technique détermine le temps et la qualité de la réaction à l’incident. Les mauvaises décisions prises dans l’urgence pendant un incident sont souvent dues à un manque d’expertise ou d’organisation dans la phase de qualification. Ces mauvaises décisions peuvent amplifier les impacts de l’incident voire faire basculer l’entité en crise.

Tests et exercices

L’organisation d’exercices est intéressante pour évaluer le niveau de préparation. Ils sont l’occasion d’ajuster les éléments préparatoires auxquelles on n’a pas pensé, en particulier pour des incidents les plus difficiles à traiter (attaques ciblées par exemple). En fonction du temps disponible et de la maturité de l’entité, différents choix sont possibles : simple déroulé des procédures, exercice sur table, simulation avec scénario…. Les objectifs peuvent être : la validation d’une nouvelle procédure, la formation des équipes ou la détection d’anomalies organisationnelles avant la mise en place du processus dans une nouvelle filiale.

Les clauses détaillées dans les différents volets des normes ISO 27035 peuvent aussi être employées pour évaluer d’autres aspects : l’investigation numérique et les aspects légaux, les capacités et l’organisation de la cellule de réponse aux incidents ou les interactions avec des processus connexes (gestion des vulnérabilités, data loss prevention, fraudes internes, …).

Liens avec d’autres normes

Les autres normes liées à l’ISO 27035 et qui peuvent avoir un intérêt dans le cadre de la mise en place d’un processus de réponse aux incidents cyber sont les suivantes :

  • ISO 27037, ISO 27041 et ISO 27042 et ISO 27043 pour les investigations numériques.
  • ISO 27050 pour les mécanismes d’eDiscovery (aspects par ailleurs évoqués dans les programmes de certifications sécurité Cloud CCSP et CCSK).
  • ISO 30121 pour un cadre organisationnel sur les investigations numériques.

Par ailleurs, la norme ISO 27035-1 propose une correspondance avec les clauses du SMSI (Système de Management de la Sécurité de l’Information) ISO 27001. La norme ISO 27035-3 se focalise sur les opérations de réponse aux incidents de cybersécurité.

PROSICA propose une formation intensive de deux jours pour mettre en place un processus de réponse aux incidents de sécurité adapté à son contexte. Cette formation est adaptable, soit en présentiel soit à distance au format inter sur catalogue ou intra à partir de 4 collaborateurs de la même société. Elle peut être dispensée en français ou en anglais.

 Pour en savoir plus sur les 20 meilleures formations sur la sécurité des systèmes d’information, téléchargez gratuitement notre livre blanc ci-dessous :

Cybersécurité, ISO 27035, IncidentsSécurité, IncidentResponse, Security Operation Center, Réaction Incidents sécurité, Formation Incidents Sécurité, Forensic, InvestigationsNumériques