Upload
dangtram
View
215
Download
0
Embed Size (px)
Citation preview
Forum des Compétences Stratégie d'investigation dans le cas d’une compromission de système d’information
Une étude menée avec
THALES
Stratégie d'investigation dans le cas d’une compromission de
système d’information 2015
Forum des Compétences Stratégie d'investigation dans le cas d’une compromission de système d’information
Ce document est la propriété intellectuelle du Forum des Compétences
Reproduction totale ou partielle interdite
TABLE DES MATIÈRES
Le Forum des compétences est une association composée de banques et de sociétés d’assurance qui échangent dans le domaine de la sécurité de l’information dans
l’objectif d’élaborer des bonnes pratiques applicables dans leurs secteurs d’activités. Le résultat de ces échanges fait l’objet de publications sur son site web (www.forum-des-competences.org). L’organisation d’évènements est l’occasion de partager ces
réflexions et d’échanger avec les acteurs de la place, notamment avec les régulateurs et les prestataires.
Forum des Compétences Stratégie d'investigation dans le cas d’une compromission de système d’information
1 CONTENU
1 Historique des versions _____________________________________________________________________________ 1
2 Références documentaires _________________________________________________________________________ 1
3 Introduction _________________________________________________________________________________________ 2
3.1 Contexte ________________________________________________________________________________________ 2
3.2 Démarche et structure _________________________________________________________________________ 2
4 Les enjeux de l’investigation numérique __________________________________________________________ 3
5 La préparation _______________________________________________________________________________________ 4
5.1 Les moyens organisationnels _________________________________________________________________ 4
5.2 Les moyens humains ___________________________________________________________________________ 4
5.3 Les moyens matériels et informationnels ____________________________________________________ 5
6 La gestion d’un incident de sécurité _______________________________________________________________ 6
6.1 Détection ________________________________________________________________________________________ 7
6.2 Qualification et décision _______________________________________________________________________ 7
6.3 Investigation ____________________________________________________________________________________ 8
6.3.1 Etape 1 : Qualification préalable _________________________________________________________ 9
6.3.2 Etape 2 : La préparation __________________________________________________________________ 9
6.3.3 Etape 3 : L’exécution ___________________________________________________________________ 11
6.3.4 Etape 4-5 : La restitution et l’élaboration du rapport d’incident____________________ 12
6.4 Remédiation et durcissement du SI _________________________________________________________ 13
6.5 Retour d’expérience _________________________________________________________________________ 13
7 Cadre juridique ____________________________________________________________________________________ 13
8 Le partage des indicateurs de compromission : réflexion sur un standard d’échange ______ 15
8.1 Standard de partage _________________________________________________________________________ 14
Annexe 1 : Les grandes typologies de cybers attaques ______________________________________________ 15
Annexe 2 : Partage de bonnes pratiques ______________________________________________________________ 16
INFORMATIONS AUX LECTEURS
Ce document s’adresse aux directions métiers et aux responsables du système d’information et
plus particulièrement de la sécurité informatique.
Forum des Compétences Stratégie d'investigation dans le cas d’une compromission de système d’information
Forum des Compétences Stratégie d'investigation dans le cas d’une compromission de système d’information
1
1 HISTORIQUE DES VERSIONS
Date Version Evolution du document
Rédacteur
25/05/2015 0.1 Version préliminaire interne THALES
THALES COMMUNICATIONS & SECURITY
12/06/2015 1.0 Première version diffusée au GT
THALES COMMUNICATIONS & SECURITY
25/06/2015 1.1 Prise en compte de remarques en séance de GT
THALES COMMUNICATIONS & SECURITY
01/07/2015 1.2 Evolution du document suite aux remarques
THALES COMMUNICATIONS & SECURITY
2 REFERENCES DOCUMENTAIRES
Renvoi Document R-01 Article 22 de la LPM
ELI: http://legifrance.gouv.fr/eli/loi/2013/12/18/DEFX1317084L/jo/article_22 Alias: http://legifrance.gouv.fr/eli/loi/2013/12/18/2013-1168/jo/article_22
R-02 Décret d’application de l’article 22 de la LPM Décret n° 2015-351 du 27 mars 2015 relatif à la sécurité des systèmes d'information des opérateurs d'importance vitale et pris pour l'application de la section 2 du chapitre II du titre III du livre III de la première partie de la partie législative du code de la défense NOR: PRMD1502905D ELI: http://legifrance.gouv.fr/eli/decret/2015/3/27/PRMD1502905D/jo/texte Alias: http://legifrance.gouv.fr/eli/decret/2015/3/27/2015-351/jo/texte
R-03 Recommandations de sécurité pour la mise en œuvre d’un système de journalisation, ANSSI (http://www.ssi.gouv.fr/uploads/IMG/pdf/NP_Journalisation_NoteTech.pdf).
R-04 Prestataires de réponse aux incidents de sécurité – Référentiel d’exigences (http://www.ssi.gouv.fr/uploads/IMG/pdf/PRIS_Referentiel_d_exigences_anssi.pdf).
R-05 Norme international ISO/IEC 27035:2011 : Technologies de l’information – Techniques de sécurité – Gestion des incidents de sécurité de l’information
Forum des Compétences Stratégie d'investigation dans le cas d’une compromission de système d’information
2
3 INTRODUCTION
3.1 CONTEXTE
En 2014, d’après PWC (PricewaterhouseCoopers), le nombre de cyberattaques a augmenté de
48%. Leur complexité et leur sophistication ont également crus, augmentant mécaniquement le
coût et le temps de résolution - qui passe de 26 jours à 43 jours en moyenne. Ces cyberattaques
touchent aussi bien les PME que les grandes entreprises imposant ainsi à leurs responsables de la
sécurité des systèmes d’information de sécuriser d’une part leur infrastructure et d’autre part
d’élaborer une stratégie de prise en charge de ces cyberattaques quand elles se produisent.
Ainsi ce document a pour objectif d’aider les responsables métier, les DSI ou les RSSI à identifier
les incidents de sécurité1 majeurs et à servir de cadre pour mettre en œuvre une déclinaison plus
précise et adaptée des actions ainsi que des moyens humains, matériels, organisationnels et de
communication afin de mener à bien les investigations nécessaires à l’endiguement rapide de
l’incident.
3.2 DEMARCHE ET STRUCTURE Ce recueil a été élaboré à partir du référentiel d’exigences des prestataires de réponses aux
incidents de sécurité publié par l’ANSSI et d’une réflexion du groupe de travail autour de ses
retours d’expérience de prise en charge de cyberattaques. Il a pour objectif d’aider les non-initiés
de l’investigation numérique à comprendre les enjeux et à adopter la bonne conduite afin d’aider
– ou au moins de pas entraver – l’investigation.
Ce recueil est construit de la manière suivante :
Dans une première partie, les enjeux de l’investigation numérique ;
Dans une deuxième partie, la préparation ;
Dans une troisième partie, la prise en charge d’un incident de sécurité ;
Dans une quatrième partie, quelques éléments juridiques ;
Dans une dernière partie, les indicateurs de compromission.
1 Incident de sécurité : un ou plusieurs événements liés à la sécurité de l’information indésirables ou inattendus présentant une probabilité forte de compromettre les activités de l’organisation et de menacer la sécurité de l’information (cf ISO 27035, [R-05]).
Forum des Compétences Stratégie d'investigation dans le cas d’une compromission de système d’information
3
4 LES ENJEUX DE L’INVESTIGATION NUMERIQUE Lorsqu’une entreprise suspecte une activité malveillante sur son système d’information suite à
un ou plusieurs événements de sécurité2 (arrêt de service, alerte d’un partenaire, etc.), elle se
doit de mettre en œuvre une réponse rapide et adaptée, afin de comprendre les causes et les
conséquences de ce(s) événement(s) sur le système d’information.
Cet(s) événement(s) sera(ont) analysés au cours de l’investigation dont les enjeux sont de :
Déterminer le mode opératoire de l’attaquant et l’historique de compromission ;
Détourer le périmètre de compromission ;
Evaluer les risques et impacts sur le système d’information ;
Identifier les mesures conservatoires ;
Préconiser des mesures de remédiation adaptées ;
Dégager les éléments pertinents à la sécurisation du système d’information ;
Dégager les éléments pertinents à la détection de cette compromission sur d’autres
systèmes d’information.
Les preuves collectées au cours de l’investigation feront l’objet de quatre (4) activités dites de
forensique que sont :
L’analyse réseau (systèmes de journalisation, de supervision, équipement de sécurité) ;
L’analyse système (Système de fichiers, postes utilisateur, serveurs, application, middleware, etc.) ;
L’analyse de code malveillant ;
Et la coordination de ces trois (3) activités.
2 Evénement de sécurité : occurrence identifiée de l’état d’un service, d’un système ou d’un réseau indiquant une faille possible dans la politique de sécurité de l’information ou un échec des mesures de sécurité ou encore une situation inconnue jusqu’alors et pouvant relever de la sécurité (cf ISO 27035, [R-05]).
Forum des Compétences Stratégie d'investigation dans le cas d’une compromission de système d’information
4
5 LA PREPARATION Avant même la détection de signaux faibles laissant supposer une activité malveillante, il est
nécessaire de préparer les moyens organisationnels, humains et matériels nécessaires au
pilotage de la réponse à l’incident de sécurité, à sa gouvernance et à son investigation.
5.1 LES MOYENS ORGANISATIONNELS Le dispositif de la gestion d’incident doit être décrit au travers de :
Une analyse des menaces, de leurs impacts et des actions de remédiation ;
Procédures de remontée d’alerte ;
Diagrammes de décisions et procédures d’urgence (par exemple, remasterisation de poste de travail en cas d’infection générique, coupure de l’accès Internet en cas
d’exfiltration massive d’information, blocage d’adresses IP ou de sites de mauvaise
réputation, etc.) ;
Procédures de communication de crise dédiées cyber (interne, métier, clients, médias,
etc.) ;
Un annuaire dédié à la gestion d’incident composé des contacts utiles, des équipes d’astreinte, des équipes métier, de l’équipe d’investigation, et de la liste des PRIS.
Il doit également être accompagné d’une sensibilisation des collaborateurs, partenaires et clients
aux incidents de sécurité et à leur signalement précoce.
Ces moyens organisationnels doivent s’interfacer avec le dispositif de gestion de crise de
l’établissement déjà en place.
5.2 LES MOYENS HUMAINS Le dispositif nécessite d’identifier les moyens humains nécessaires à l’investigation et à son
pilotage:
Une équipe de supervision de type SOC qui centralise les journaux d’événement et
détient la capacité à corréler des événements (capable de fonctionner en H24 si
nécessaire et de mettre en détection les différentes signatures du traitement d’incident) ;
De nombreux acteurs pouvant détecter des signaux faibles (help desk, correspondants sécurité, etc.) ;
Un correspondant réponse à incident (comme préconisé par le [R-04]) en charge de
mettre en relation l’équipe d’analyse avec les différents interlocuteurs
impliqués (administrateurs des SI) ;
Une équipe d’analyse et d’investigation pouvant être un CERT (interne ou de
prestataires) composée d’un pilote technique (responsable d’équipe), et d’analystes (cf.
[R-04]) ;
Une équipe d’auditeurs en charge de la construction ou de la mise à jour de la
cartographie ainsi que de l’identification de l’ensemble des vulnérabilités du SI ;
Une équipe renforcée voire dédiée de support de proximité aux utilisateurs (tel que le help desk) afin d’éviter l’engorgement du service nominal.
Forum des Compétences Stratégie d'investigation dans le cas d’une compromission de système d’information
5
5.3 LES MOYENS MATERIELS ET INFORMATIONNELS Le dispositif nécessite la mise en place de moyens matériels et informationnels pour une prise en
charge rapide et efficace d’un incident de sécurité :
La cartographie du ou des réseaux(x) (tel qu’il est dans [R-04]) ;
L’identification des données / réseaux/ zones sensibles ;
Les moyens de supervision ;
L’activation des journaux d’événements utiles des différents systèmes et applications (cf les recommandations de l’ANSSI dans [R-03]);
Un système de gestion de ticket d’incident ;
Une base documentaire de gestion d’incident ;
Les moyens de maintenir la confidentialité durant l’investigation (réseau dédié, messagerie chiffrée, etc.) ;
Les modalités d’accès, de stockage, de transport, de reproduction, de destruction et de restitution des informations et supports collectés et analysés (cf. [R-04]) ;
Modèle de convention en cas d’externalisation de prestation d’investigation (cf. [R-04]) ;
Modèle d’accord de non-divulgation (NDA) en cas d’externalisation de prestation d’investigation (cf. [R-04]).
Forum des Compétences Stratégie d'investigation dans le cas d’une compromission de système d’information
6
6 LA GESTION D’UN INCIDENT DE SECURITE
Le cycle de vie du traitement d’un incident de sécurité suit les différentes phases suivantes
résumées dans le précédent diagramme :
La détection d’un événement de sécurité, à partir d’un SOC, de signaux faibles ou d’informations reçues ;
La qualification de l’événement de sécurité en simple événement, en incident mineur, en
incident intermédiaire ou bien en incident majeur afin
o d’identifier s’il y a lieu d’appliquer des mesures de réaction génériques ou
o d’activer une cellule d’analyse (investigations complémentaires) voire de crise
conformément aux procédures d’escalade en vigueur ;
L’investigation d’un incident lorsque la compromission est avérée mais que son étendue
reste encore inconnu ;
La remédiation (action immédiate en cas d’incident mineur connu et procédure de réaction formalisée) et le durcissement du SI, le cas échéant ;
Le retour d’expérience.
Détection
Qualification et décision
InvestigationRemédiation et
durcissement du SI
Retour d'expérience
Forum des Compétences Stratégie d'investigation dans le cas d’une compromission de système d’information
7
6.1 DETECTION Le dispositif nécessite de mettre en place les moyens de détection et le processus de remontée
d’incident.
Dans un premier temps, les moyens de détection doivent prendre en considération :
Les potentielles menaces en précisant leurs cibles (par exemple : exfiltration de données sensibles, etc.) ;
Les synoptiques d’attaque (par exemple, chiffrement de serveurs de fichiers par un cryptolocker qui a infecté un poste de travail par hameçonnage) ;
Les comportements suspects à identifier (binaires en pièce jointe des messages électroniques, spoofing d’adresse de messagerie interne, accès à des sites non conformes
à la PSSI etc.) et les indicateurs de compromission (accès à certains sites malveillants,
etc.)
Dans un second temps, les modalités de remontée et de résolution d’incident doivent décrire :
La fréquence des rapports de surveillance (quotidiens, hebdomadaires, etc.) ;
Le contenu des rapports de surveillance (indicateurs, tableau de bord, analyses
éventuelles, identification de besoins supplémentaires de surveillance, etc.) ;
La procédure de traitement et de remontée d’événement de sécurité.
6.2 QUALIFICATION ET DECISION La bonne définition des risques, des menaces et des moyens de détection (cf. chapitre.0) vont
faciliter et accélérer le processus de qualification d’un simple événement de sécurité en incident
de sécurité mineur, intermédiaire ou bien majeur, et ainsi, garantir la pertinence du dispositif
d’alerte (la qualification de l’événement de sécurité est à mettre en relation et en cohérence avec
les classifications adoptées dans les dispositifs de Gestion de Crise de chaque établissement).
Forum des Compétences Stratégie d'investigation dans le cas d’une compromission de système d’information
Figure 1 : Echelle d'évaluation des événements de sécurité (à titre d’exemple)
Pour information, conformément à l’article 22 de la Loi de Programmation Militaire (LPM) pour
les années 2014 à 2019, les Opérateurs d’Importance Vitale ont l’obligation de faire part de leurs
incidents de sécurité aux autorités compétentes (cf [R-01] et [R-02]).
« Art. L. 1332-6-2.-Les opérateurs mentionnés aux articles L. 1332-1 et L. 1332-2 informent sans
délai le Premier ministre des incidents affectant le fonctionnement ou la sécurité des systèmes
d'information mentionnés au premier alinéa de l'article L. 1332-6-1. »
Incident
majeur
Incident intermédiaire
Incident mineur
Evénement
Forum des Compétences Stratégie d'investigation dans le cas d’une compromission de système d’information
8
6.3 INVESTIGATION Lors d’une suspicion d’un incident de sécurité majeur, la cellule d’analyse doit faire appel à une
équipe d’expert en investigation numérique interne ou de prestation, si possible, préalablement
identifiée lors de la phase de préparation afin de mener à bien les analyses complémentaires et
déterminer le périmètre de la compromission.
La phase d’analyse est essentiellement assurée par l’équipe d’investigation dont la procédure est
décrite dans le référentiel d’exigences du PRIS [R-04] et notamment le traitement dans le cadre
d’une affaire judiciaire, civile ou arbitrale.
Cette démarche peut se découper en 5 étapes décrites ci-dessous.
Etape 1
Qualification préalable
Etape 2
Préparation
Etape 3
Exécution
Etape 4
Restitution
Etape 5
Elaboration du rapport
Forum des Compétences Stratégie d'investigation dans le cas d’une compromission de système d’information
9
6.3.1 Etape 1 : Qualification préalable
Sur la base des informations initiales (événements de sécurité, premières analyses, cartographie,
etc.) l’équipe d’investigation élaborera une posture initiale3 issue d’une phase d’analyse de
l’incident de sécurité et des risques associés qui fera apparaître les points suivants :
Le niveau de discrétion requis vis-à-vis de l’attaquant (élevé, moyen, faible) ;
La stratégie de communication interne et externe ;
La démarche générale des opérations d’investigation ;
Les activités d’analyse et les moyens humains à engager afin de les réaliser.
Cette analyse pourra déboucher sur la conclusion d’une absence d’activité malveillante, auquel
cas les étapes suivantes ne seront pas réalisées.
6.3.2 Etape 2 : La préparation
Sur la base de la posture initiale, cette étape vise à clarifier et mettre en place :
L’organisation ;
Les moyens opérationnels ;
Les mesures conservatoires ;
Les procédures d’urgence.
L’équipe d’investigation procèdera à la désignation d’un responsable d’équipe d’analyse en charge de coordonner et de suivre l’investigation.
Alors que le commanditaire veillera à désigner un référent chargé des relations avec l’équipe d’investigation (CRI) tout au long de la prestation, à mettre en place une structure projet permettant d’arbitrer les décisions et à suivre la prestation. Le CRI devra informer l’équipe d’investigation des actions réalisées sur le système d’information et qui pourraient impacter l’analyse.
L’équipe d’investigation veillera à obtenir auprès du CRI les privilèges nécessaires pour réaliser les opérations de collecte. Toutes les actions menées, les informations collectées et analysées par l’équipe d’analyse seront consignées dans un registre centralisé, imputable et chronologique
L’équipe d’investigation pourra proposer une réévaluation de la gravité de l’incident et aider à la définition des procédures d’urgence –si non existantes-permettant de réagir rapidement dans des cas précis : exfiltration massive de données, compromission de l’environnement d’administration… Ces procédures doivent être applicables en 24/7.
3 Stratégie initiale d’investigation (déterminé en fonction du contexte de l’attaque)
Forum des Compétences Stratégie d'investigation dans le cas d’une compromission de système d’information
10
6.3.3 Etape 3 : L’exécution
L’exécution de la prestation nécessite de réaliser, de manière itérative, les actions suivantes telles
que décrites dans le référentiel de Prestataires de Réaction aux Incidents de Sécurité (cf [R-04]) :
1 - La collecte des informations qui seront ensuite analysées. Cette collecte suit une
méthode dont les actions ont été préalablement identifiées et dont la démarche est
reproductible. Les informations recueillies pourront être des informations techniques
(configuration des systèmes, plan d’adressage), des journaux d’événements, des copies
physiques ou des captures de flux. L’objectif recherché des analystes est d’identifier toute
trace de compromission, notamment à l’aide des premiers indicateurs de compromission
(IOC : Indicator of Compromise), identifiés lors de la phase de compréhension de
l’incident. Au besoin, une surveillance de circonstance, basée sur la collecte en continu de
différentes sources d’information (activité réseau, activité système), pourra être mise en
œuvre et complétée par des sondes de détection d’intrusion.
2 – L’analyse des informations collectées dans l’objectif d’améliorer la compréhension de l’incident de sécurité, de rechercher des indicateurs de compromission déjà connus de
l’incident en cours de traitement ou issus de bases de connaissances, de rechercher une
activité malveillante voire la présence d’un mécanisme de persistance ou d’anomalies par
rapport aux pratiques sur le système d’information. La caractérisation des activités de
l’attaquant pourra être facilitée par la mise en place d’une surveillance de circonstance,
complétée d’une ou plusieurs sondes IDS.
3 – La synthèse des analyses. Le responsable d’équipe d’analyse synthétise les résultats
des analyses, révise la compréhension de l’incident de sécurité, révise éventuellement la
posture initiale (pour notamment préparer la prochaine campagne de collecte et lancer
des analyses complémentaires).
4 – L’identification des mesures de remédiation. L’équipe d’analyse aide à la définition
du plan de remédiation qui comporte les mesures de durcissement et d’assainissement
susceptibles de supprimer les moyens utilisés par l’attaquant.
Cette étape est étroitement liée à la typologie de l’incident et se schématise difficilement. Elle
pourra être effectuée en une ou plus itérations. Dans le second cas, un suivi adapté doit être
assuré par la cellule de crise, afin de mettre en œuvre les mesures d’endiguement de l’incident au
fur et à mesure des besoins.
L’investigation d’un incident peut nécessiter de faire appel en parallèle à des prestations
complémentaires :
1. La réalisation d’un audit de compréhension afin de confirmer ou mettre à jour la
cartographie du système d’information et cerner le périmètre potentiel de la
compromission (interconnexions de systèmes d’informations, relations d’approbations
entre différents domaines, etc.) ;
2. La réalisation d’un audit exhaustif afin d’identifier l’ensemble des vulnérabilités du
système d’information compromis ainsi que l’ensemble des mesures permettant d’élever
le niveau de sécurité.
Forum des Compétences Stratégie d'investigation dans le cas d’une compromission de système d’information
11
6.3.4 Etape 4-5 : La restitution et l’élaboration du rapport d’incident
Au cours de ces étapes, l’équipe d’investigation formalisera et soutiendra le rapport d’incident
comportant :
une synthèse, compréhensible par des non-experts, qui précise :
o le rappel du contexte de l’incident ;
o le périmètre concerné par l’attaque et le périmètre compromis ;
o les actions réalisées par l’attaquant ayant un impact fort ;
o les mesures prises pour remédier à l’incident ;
o les étapes clés du mode opératoire de l’attaquant et la chronologie associée ;
un ou plusieurs schémas récapitulatifs de l’attaque : o désignation des systèmes compromis ;
o horodatage des événements ;
o la description des analyses réalisées ;
o les éléments collectés et analysés ;
o les codes malveillants utilisés et leur analyse ;
o les méthodes de persistance ;
o les vulnérabilités exploitées ;
o les méthodes d’escalade de privilèges,
o le vecteur initial de compromission.
la liste exhaustive des ressources et comptes compromis ;
les indicateurs de compromission ;
les mesures de remédiation identifiées, leur périmètre et leur séquencement de mise en
œuvre.
Forum des Compétences Stratégie d'investigation dans le cas d’une compromission de système d’information
12
6.4 REMEDIATION ET DURCISSEMENT DU SI La remédiation d’un incident de sécurité peut prendre différentes formes. Selon le périmètre de
la compromission déterminé grâce à l’investigation, il peut s’agir soit de réinstaller un poste de
travail ou un serveur compromis, soit de réaliser une reconstruction globale du système
d’information selon un séquencement des opérations très précis consistant à isoler le SI
compromis et à basculer vers un nouveau cœur de confiance (réinstallation des serveurs et des
postes de travail compromis, réinitialisation des mots de passe des comptes connus de
l’attaquant, etc.).
6.5 RETOUR D’EXPERIENCE Le retour d’expérience vise à améliorer la prise en charge des futurs incidents de sécurité à tous
les niveaux :
Amélioration des capacités de détection (nouvelles menaces, nouveaux équipements de détection, nouveaux indicateurs de compromission) ;
Amélioration du niveau de sécurisation du SI ;
Amélioration de la culture sécurité de l’entreprise (campagnes de sensibilisation) ;
Amélioration de la chaîne de commandement.
Forum des Compétences Stratégie d'investigation dans le cas d’une compromission de système d’information
13
7 CADRE JURIDIQUE
Lors d’une investigation numérique la législation nationale reste applicable aussi bien à
l’entreprise victime qu’aux personnes impliquées dans l’investigation. Sans être exhaustif, nous
citerons :
- LOI n° 2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années
2014 à 2019 et portant diverses dispositions concernant la défense et la sécurité nationale
- Le secret professionnel (article 226-13) : La révélation d'une information à caractère secret par une
personne qui en est dépositaire soit par état ou par profession, soit en raison d'une fonction ou d'une
mission temporaire, est punie d'un an d'emprisonnement et de 15 000 euros d'amende.
- Le secret des correspondances privées (article 226-15) : Le fait, commis de mauvaise foi, d'ouvrir,
de supprimer, de retarder ou de détourner des correspondances arrivées ou non à destination et
adressées à des tiers, ou d'en prendre frauduleusement connaissance, est puni d'un an
d'emprisonnement et de 45000 euros d'amende.
Est puni des mêmes peines le fait, commis de mauvaise foi, d'intercepter, de détourner, d'utiliser ou de
divulguer des correspondances émises, transmises ou reçues par la voie des télécommunications ou
de procéder à l'installation d'appareils conçus pour réaliser de telles interceptions.
- L’atteinte à la vie privée : Loi n° 2004-801 du 6 août 2004 relative à la protection des personnes
physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17
du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.
- L’atteinte à la vie privée (article 34) : Le responsable du traitement est tenu de prendre toutes
précautions utiles, au regard de la nature des données et des risques présentés par le traitement,
pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées,
endommagées, ou que des tiers non autorisés y aient accès.
Des décrets, pris après avis de la Commission nationale de l'informatique et des libertés, peuvent fixer
les prescriptions techniques auxquelles doivent se conformer les traitements mentionnés au 2° et au
6° du II de l'article 8.
- L’accès ou le maintien frauduleux à un système d’information (article 323-1) : Le fait d'accéder ou
de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de
données est puni de deux ans d'emprisonnement et de 30 000 euros d'amende.
Lorsqu'il en est résulté soit la suppression ou la modification de données contenues dans le système,
soit une altération du fonctionnement de ce système, la peine est de trois ans d'emprisonnement et de
45 000 euros d'amende.
Lorsque les infractions prévues aux deux premiers alinéas ont été commises à l'encontre d'un système
de traitement automatisé de données à caractère personnel mis en œuvre par l'Etat, la peine est
portée à cinq ans d'emprisonnement et à 75 000 € d'amende.
Forum des Compétences Stratégie d'investigation dans le cas d’une compromission de système d’information
14
8 LE PARTAGE DES INDICATEURS DE COMPROMISSION : REFLEXION SUR
UN STANDARD D’ECHANGE
8.1 STANDARD DE PARTAGE La préparation aux cyberattaques nécessite l’amélioration des capacités de détection en termes
de sondes et d’indicateurs de compromission (IOC).
L’émergence, ces dernières années, des formats d’échange tels qu’OpenIOC et STIX montre bien
l’intérêt grandissant des états et des grandes entreprises d’échanger sur les nouvelles menaces.
Type d’IOC Sous-Type Détails
Informations générales
Identifiant unique et normalisé de l’affaire Date de création de l’affaire (AAAMMJJ) Date de mise à jour de l’affaire (AAAMMJJ) Secteur d’activité (Financier, Défense, Energie, etc.) Diffusion (Tous, Sectorielle, Nominative) TLP (Rouge, Jaune, Vert, Blanc) Sévérité (Critique, Important, Moyen, Faible) Niveau de confiance (de 1 à 10) Références publiques Attribution Type (Courrier électronique, Réseau, etc.)
Courrier électronique
Informations générales Date d’envoi (AAAMMJJ) Heure d’envoi (UTC) Emetteur(s) (Statique, Polymorphique) Récepteur(s) Objet Pièce(s) jointe(s) Corps En-tête Notes
Réseau Informations générales Description (C2, site légitime compromis, etc.) Format (Adresse IP, Domaine, Sous-domaine, etc.) Données Notes
Système Fichier Cible (Windows 32-bits, Windows 64-bits, Linux, etc.) Fichier/chemin Taille (Octet) Empreinte (MD5, SHA1, SHA256) Date de compilation (AAAMMJJ) SSDEEP Strings Description
Forum des Compétences Stratégie d'investigation dans le cas d’une compromission de système d’information
Système Registre Cible (Windows 32-bits, Windows 64-bits) Ruche Clef de registre Valeur Données Notes
Système Service Cible (Windows 32-bits, Windows 64-bits, Linux, etc.) Service Notes
Système Mutex Cible (Windows 32-bits, Windows 64-bits, Linux, etc.) Mutex Notes
Système Tube nommé Cible (Windows 32-bits, Windows 64-bits, Linux, etc.) Tube nommé Notes
Système Evénement antivirus
Cible (Windows 32-bits, Windows 64-bits, Linux, etc.) Antivirus Signature(s) AV Notes
Système Evénement Windows
Cible (avant/après W7, avant/après W2008 ) Event ID Valeur Notes
Forum des Compétences Stratégie d'investigation dans le cas d’une compromission de système d’information
15
ANNEXE 1 : LES GRANDES TYPOLOGIES DE CYBERS ATTAQUES
Objectif Quoi ? Comment ? Impacts ? Exemples Pour challenger
Sites Internet Points d’accès Wi-Fi Toute surface exposée sur Internet
Utilisation d’outils d’exploitation
Déni de service Destruction de données
Nuire à l’image
Site Internet, Pages officielles
Déni de service Défacement de site Internet
Perte de clients
Vol de données sensibles (savoir-faire, liste de clients, etc.)
Réseau interne et données stockées sur ce réseau
Intrusion sur le réseau d’entreprise (par phishing, social engineering, etc.)
Perte de chiffre d’affaire
Destruction de données
Réseau interne et données stockées sur ce réseau
Intrusion sur le réseau d’entreprise (par phishing, social engineering, etc.)
Perte de données
Faire passer des messages idéologiues
Sites Internet, Pages officielles
Défacement de site Internet
Déni de service Impact sur l’image
Affaire PayPal (2010)
Escroquerie Poste client Cryptolocker Fraude au président Vol d’informations bancaires (Zeus) Hameçonnage Usurpation d’identité Malware
Perte de données Perte de chiffre d’affaire
Affaire TARGET (2014)
Se venger Données stockées Suppression de Perte données, de
Forum des Compétences Stratégie d'investigation dans le cas d’une compromission de système d’information
sur le réseau données Malware
clients, de chiffre d’affaire
Revendre des données sensibles
Données stockées sur le réseau
Clés USB, messagerie, webmail Logiciel espion
Perte données, de clients, de chiffre d’affaire
Revendre des données sensibles
Données stockées sur le réseau
Clés USB, messagerie, webmail
Perte données, de clients, de chiffre d’affaire
Voler le savoir-faire et les informations confidentielles
Réseau interne et données stockée sur ce réseau
Hameçonnage Waterholing, social engineering, Exploitation d’une machine vulnérable
Perte de confidentialité
Affaires Stuxnet et Red October
Forum des Compétences Stratégie d'investigation dans le cas d’une compromission de système d’information
16
ANNEXE 2 : PARTAGE DE BONNES PRATIQUES La capacité à anticiper la menace passe aussi par la détection des signaux faibles, afin de
capter les premières étapes d'attaques se basant sur de l'ingénierie sociale et ne générant pas de
traces techniques, les évolutions de scénarios ou bien encore une cyber-attaque avancée (APT).
Exemple de dispositif mis en place au sein d’une entreprise du secteur financier :
- Un canal unique (adresse email dédiée) et simple (pas de formulaire) pour la remontée des signaux faibles (appel, email ou évènement suspect), ouvert à l’ensemble des collaborateurs ;
o En fonction de signal faible remonté, certaines précisions sont alors demandées au collaborateur. Par exemple, dans le cas d’un appel suspect, les informations demandées sont :
Nom du Correspondant contacté en interne Date, heure et durée de l’appel Numéro de téléphone de l’appelant Voix (homme/femme, âge, accent, compétences linguistiques) Objet de la demande
- Un partage d'informations en temps réel entre les différentes équipes concernées (Sécurité physique, sécurité informatique, gestion des risques, juridique, conformité, déontologie et audit) ;
- Un reporting mensuel anonymisé des signaux faibles ; - Une sensibilisation de tout le personnel, avec une newsletter trimestrielle sur la base
d’exemples réels, internes et récents, ainsi que des sessions de formation spécifiques en fonction du profil des collaborateurs.