ISO 27035 pour évaluer et améliorer sa réponse aux incidents de sécurité

blog-01.jpg

En cybersécurité et plus largement pour tout système de protection, la détection des événements suspects et la mise en œuvre de réactions adaptées est une tâche fondamentale mais ardue. Les obstacles à surmonter sont nombreux : collecter et remonter des informations fiables, faire le tri entre les faux positifs et les vrais indicateurs, disposer de l’expertise adaptée pour qualifier les incidents, mettre en place les bonnes réactions, communiquer au bon moment… Une vision focalisée seulement sur les moyens (services d’un Security Operation Center, outils de centralisation et de corrélation des logs, sondes de détection des intrusions…) ne peut pas être efficace si elle ne s’inscrit pas dans une démarche organisée et réfléchie. Les normes ISO 27035 peuvent apporter une aide pour évaluer sa capacité à répondre aux incidents et améliorer son organisation. Sont abordés dans cet article à titre d’exemples, trois composants à évaluer.

La politique de gestion des incidents de sécurité

Ce document définit les éléments structurants. Il doit être pragmatique et adapté aux enjeux et à la taille de l’entité. Une bonne appropriation de la politique par les collaborateurs est indispensable. La norme récapitule les incontournables de ce document :

  • Organisation générale (rôles et responsabilités, processus, parties prenantes internes et externes, régulateurs ou agences nationales par exemple).
  • Définitions retenues (en particulier événement, incident, alerte et vulnérabilité).
  • Sources (techniques et humaines) de remontée d’événements.
  • Catégorisation et priorisation des incidents suivant des critères à préciser.
  • Analyse post-mortem et formalisation des retours d’expérience.
  • Activation et fonctionnement de la cellule de réponse aux incidents (IRT - Incident Response Team) comprenant les modalités de notification des incidents majeurs et d’activation de la cellule de crise.
  • Sensibilisation des collaborateurs et formations spécifiques.

Capacité de support technique

Les phases de qualification et de décision reposent sur des expertises techniques très diverses en fonction des incidents.

  • Les expertises liées aux aspects « détection » s’appuient sur les solutions et équipements disponibles (IDPS : intrusion Detection Prevention System, Security Information and Event Management : SIEM, antivirus, logs locaux, analyseurs réseaux, supervision…), les partenaires et fournisseurs (CERT : Computer Emergency Response Team privés ou gouvernementaux, opérateurs et fournisseurs d’accès, clients) et les utilisateurs.
  • Les expertises liées aux aspects qualification dépendent des caractéristiques des systèmes d’information. Le niveau de compétence des équipes internes et des intégrateurs assurant la maintenance conditionne la qualification initiale d’un événement suspect. A ce titre la maitrise des outils de sécurité proposés par les fournisseurs Cloud est primordiale pour les entités concernées.
  • Des qualifications plus poussées pour orienter la réaction nécessitent des expertises pointues en sécurité (maitrise de Wireshark pour déterminer des « patterns » lors d’un déni de service, analyse du mode de propagation d’un programme malveillant, analyse « forensic » d’un poste de travail potentiellement compromis…).

Le niveau de capacité de support technique détermine le temps et la qualité de la réaction à l’incident. Les mauvaises décisions prises dans l’urgence pendant un incident sont souvent dues à un manque d’expertise ou d’organisation dans la phase de qualification. Ces mauvaises décisions peuvent amplifier les impacts de l’incident voire faire basculer l’entité en crise.

Tests et exercices

L’organisation d’exercices est intéressante pour évaluer le niveau de préparation. Ils sont l’occasion d’ajuster les éléments préparatoires auxquelles on n’a pas pensé, en particulier pour des incidents les plus difficiles à traiter (attaques ciblées par exemple). En fonction du temps disponible et de la maturité de l’entité, différents choix sont possibles : simple déroulé des procédures, exercice sur table, simulation avec scénario…. Les objectifs peuvent être : la validation d’une nouvelle procédure, la formation des équipes ou la détection d’anomalies organisationnelles avant la mise en place du processus dans une nouvelle filiale.

Les clauses détaillées dans les différents volets des normes ISO 27035 peuvent aussi être employées pour évaluer d’autres aspects : l’investigation numérique et les aspects légaux, les capacités et l’organisation de la cellule de réponse aux incidents ou les interactions avec des processus connexes (gestion des vulnérabilités, data loss prevention, fraudes internes, …).

PROSICA propose une formation intensive de deux jours pour mettre en place un processus de réponse aux incidents de sécurité efficace et adapté à son contexte.

 

 Pour en savoir plus sur les 20 meilleures formations sur la sécurité des systèmes d’information, téléchargez gratuitement notre livre blanc ci-dessous :

Mots clés: Cybersécurité ISO 27035 IncidentsSécurité IncidentResponse Security Operation Center Réaction Incidents sécurité Formation Incidents Sécurité