L’efficacité du processus de réaction aux incidents de sécurité est un bon indicateur du niveau de maturité d’une entité en sécurité des systèmes d’information. Ce processus doit encadrer les activités incontournables : détecter les événements suspects, gérer les faux positifs, déclencher les expertises appropriées, coordonner les actions de réaction, communiquer, améliorer le niveau de protection en travaillant sur les causes profondes. La possibilité de bénéficier des services d’un SOC (Security Operation Center), qu’il soit externe ou interne, ne règle pas tout. C’est l’efficacité du processus qui reste le point clé, les CISO / RSSI en sont les plaques tournantes (Retrouver la première partie de l’article).

Le concept de CTI (Cyber Threat Intelligence) est issu du monde du renseignement. Il vise à collecter les informations idoines pour identifier les menaces cyber, par exemple des indicateurs de compromission, des alertes ou des techniques d’attaques. L’objectif est d’améliorer l’efficacité de sa réponse aux incidents de sécurité en dotant les parties prenantes (en particulier les SOC - Security Operation Center et les CERT – Computer Emergency Response Team) d’outils facilitant le partage d’informations. Comme dans le monde du renseignement, il ne suffit pas de collecter et partager des informations, il faut aussi les traiter pour prendre rapidement les bonnes décisions. Rappelons à ce sujet les normes ISO 27035 qui donnent un cadre pour améliorer son processus de qualification et de décision des événements et incidents de cybersécurité.

En cybersécurité, la détection des événements suspects et la mise en œuvre de réactions adaptées est une tâche incontournable mais ardue. Les obstacles à surmonter sont nombreux : collecter et remonter des informations fiables, faire le tri entre les faux positifs et les indicateurs pertinents, disposer de l’expertise adaptée pour qualifier les incidents, mettre en place les bonnes réactions, communiquer au bon moment… Une vision focalisée seulement sur les moyens (services d’un Security Operation Center, outils de centralisation et de corrélation des logs, sondes de détection des intrusions, outils CTI…) ne peut pas être efficace si elle ne s’inscrit pas dans une démarche organisée. Les normes ISO 27035 peuvent apporter une aide pour évaluer sa capacité à répondre aux incidents et améliorer son organisation. Sont abordés dans cet article à titre d’exemples, trois composants à évaluer.

Le premier CERT a été créé aux Etats-Unis en réponse à la propagation du premier programme autoreproducteur en novembre 1988 (ver Morris) sur les prémices d’Internet. La première cellule de réponse à incident était née et sera bientôt suivie par beaucoup d’autres que ce soit au niveau des agences nationales de sécurité, des groupes privés (bancaires en particulier) ou des sociétés spécialisées en cybersécurité. Le terme « CERT » ayant été enregistré aux Etats-Unis et son utilisation encadrée, c’est le terme CSIRT qui est souvent préféré. Rappelons que la série des normes ISO 27035 fournit des bonnes pratiques pour mettre en place un processus efficace de réponse aux incidents de sécurité.