L’efficacité du processus de réponse aux incidents de sécurité est un bon indicateur du niveau de maturité d’une entité en cybersécurité. Ce processus doit encadrer les activités incontournables : détecter les événements suspects, gérer les faux positifs, déclencher les expertises appropriées, coordonner les actions de réaction, communiquer, améliorer le niveau de protection en travaillant sur les causes profondes. La possibilité de bénéficier des services d’un SOC (Security Operation Center), qu’il soit externe ou interne, ne règle pas tout. C’est l’efficacité du processus qui reste le point clé, les CISO / RSSI en sont les plaques tournantes.
Le concept de CTI (Cyber Threat Intelligence) est issu du monde du renseignement. Il vise à collecter les informations idoines pour identifier les menaces cyber, par exemple des indicateurs de compromission, des alertes ou des techniques d’attaques. L’objectif est d’améliorer l’efficacité de sa réponse aux incidents de sécurité en dotant les parties prenantes, en particulier les SOCet les CSIRT, d’outils facilitant le partage d’informations. Comme dans le monde du renseignement, il ne suffit pas de collecter et partager des informations, il faut aussi les traiter pour prendre rapidement les bonnes décisions. Rappelons à ce sujet les normes ISO 27035 qui donnent un cadre pour améliorer son processus de qualification et de décision des événements et incidents de cybersécurité. Le CTI est de plus en plus intégré dans le référentiels de bonnes pratiques de cybersécurité, comme le référentiel CIS en particulier.
En cybersécurité, la détection des événements suspects et la mise en œuvre de réactions adaptées est une tâche incontournable mais ardue. Les obstacles à surmonter sont nombreux : collecter et remonter des informations fiables, faire le tri entre les faux positifs et les indicateurs pertinents, disposer de l’expertise adaptée pour qualifier les incidents, mettre en place les bonnes réactions, communiquer au bon moment… Une vision focalisée seulement sur les moyens (services d’un SOC, outils de centralisation et de corrélation des logs, sondes de détection des intrusions, outils CTI, SOAR…) ne peut pas être efficace si elle ne s’inscrit pas dans une démarche organisée. Les normes ISO 27035 peuvent apporter une aide pour évaluer sa capacité à répondre aux incidents et améliorer son organisation. Sont abordés dans cet article à titre d’exemples, trois composants à évaluer.
Le premier CERT a été créé aux Etats-Unis en réponse à la propagation du premier programme autoreproducteur en novembre 1988 (ver Morris) sur les prémices d’Internet. La première cellule de réponse à incident était née et sera bientôt suivie par beaucoup d’autres que ce soit au niveau des agences nationales de sécurité, des groupes privés (bancaires en particulier) ou des sociétés spécialisées en cybersécurité. Le terme « CERT » ayant été enregistré aux Etats-Unis et son utilisation encadrée, c’est le terme CSIRT qui est souvent préféré. Rappelons que la série des normes ISO 27035 fournit des bonnes pratiques pour mettre en place un processus efficace de réponse aux incidents de sécurité.
La norme ISO 27043 propose des lignes directrices pour élaborer des processus d’investigation sur incident impliquant des preuves numériques. L’investigation numérique utilise des méthodes scientifiques éprouvées pour procéder à l’identification, la collecte, le transport, le stockage, l’analyse, l’interprétation, la présentation, la distribution et éventuellement la destruction de preuves numériques. Les investigations numériques font partie du processus de réponse aux incidents de cybersécurité, pour lequel la série de normes ISO 27035 fournit des bonnes pratiques. Les investigations numériques comportent des exigences légales relatives notamment à la recevabilité des preuves devant une cour de justice. Si les exigences de recevabilité varient entre les juridictions, deux éléments fondamentaux sont la pertinence des preuves par rapport aux faits et l’authenticité, en démontrant que les preuves sont ce qu’elles sont censées être. Par exemple le juge pourra demander la garantie démontrable qu’un disque provient bien d’un serveur donné et qu’il n’a pas été modifié depuis sa collecte.