Stratégie d'investigation dans le cas d’une … · 06/12/2015 · sécurité (cf ISO 27035, [R-05]). Forum des Compétences Stratégie d'investigation dans le cas d’une compromission

Forum des Compétences Stratégie d'investigation dans le cas d’une compromission de système d’information

Une étude menée avec

THALES

Stratégie d'investigation dans le cas d’une compromission de

système d’information 2015


Ce document est la propriété intellectuelle du Forum des Compétences

Reproduction totale ou partielle interdite

TABLE DES MATIÈRES

Le Forum des compétences est une association composée de banques et de sociétés d’assurance qui échangent dans le domaine de la sécurité de l’information dans

l’objectif d’élaborer des bonnes pratiques applicables dans leurs secteurs d’activités. Le résultat de ces échanges fait l’objet de publications sur son site web (www.forum-des-competences.org). L’organisation d’évènements est l’occasion de partager ces

réflexions et d’échanger avec les acteurs de la place, notamment avec les régulateurs et les prestataires.


1 CONTENU

1 Historique des versions _____________________________________________________________________________ 1

2 Références documentaires _________________________________________________________________________ 1

3 Introduction _________________________________________________________________________________________ 2

3.1 Contexte ________________________________________________________________________________________ 2

3.2 Démarche et structure _________________________________________________________________________ 2

4 Les enjeux de l’investigation numérique __________________________________________________________ 3

5 La préparation _______________________________________________________________________________________ 4

5.1 Les moyens organisationnels _________________________________________________________________ 4

5.2 Les moyens humains ___________________________________________________________________________ 4

5.3 Les moyens matériels et informationnels ____________________________________________________ 5

6 La gestion d’un incident de sécurité _______________________________________________________________ 6

6.1 Détection ________________________________________________________________________________________ 7

6.2 Qualification et décision _______________________________________________________________________ 7

6.3 Investigation ____________________________________________________________________________________ 8

6.3.1 Etape 1 : Qualification préalable _________________________________________________________ 9

6.3.2 Etape 2 : La préparation __________________________________________________________________ 9

6.3.3 Etape 3 : L’exécution ___________________________________________________________________ 11

6.3.4 Etape 4-5 : La restitution et l’élaboration du rapport d’incident____________________ 12

6.4 Remédiation et durcissement du SI _________________________________________________________ 13

6.5 Retour d’expérience _________________________________________________________________________ 13

7 Cadre juridique ____________________________________________________________________________________ 13

8 Le partage des indicateurs de compromission : réflexion sur un standard d’échange ______ 15

8.1 Standard de partage _________________________________________________________________________ 14

Annexe 1 : Les grandes typologies de cybers attaques ______________________________________________ 15

Annexe 2 : Partage de bonnes pratiques ______________________________________________________________ 16

INFORMATIONS AUX LECTEURS

Ce document s’adresse aux directions métiers et aux responsables du système d’information et

plus particulièrement de la sécurité informatique.



1

1 HISTORIQUE DES VERSIONS

Date Version Evolution du document

Rédacteur

25/05/2015 0.1 Version préliminaire interne THALES

THALES COMMUNICATIONS & SECURITY

12/06/2015 1.0 Première version diffusée au GT


25/06/2015 1.1 Prise en compte de remarques en séance de GT


01/07/2015 1.2 Evolution du document suite aux remarques


2 REFERENCES DOCUMENTAIRES

Renvoi Document R-01 Article 22 de la LPM

ELI: http://legifrance.gouv.fr/eli/loi/2013/12/18/DEFX1317084L/jo/article_22 Alias: http://legifrance.gouv.fr/eli/loi/2013/12/18/2013-1168/jo/article_22

R-02 Décret d’application de l’article 22 de la LPM Décret n° 2015-351 du 27 mars 2015 relatif à la sécurité des systèmes d'information des opérateurs d'importance vitale et pris pour l'application de la section 2 du chapitre II du titre III du livre III de la première partie de la partie législative du code de la défense NOR: PRMD1502905D ELI: http://legifrance.gouv.fr/eli/decret/2015/3/27/PRMD1502905D/jo/texte Alias: http://legifrance.gouv.fr/eli/decret/2015/3/27/2015-351/jo/texte

R-03 Recommandations de sécurité pour la mise en œuvre d’un système de journalisation, ANSSI (http://www.ssi.gouv.fr/uploads/IMG/pdf/NP_Journalisation_NoteTech.pdf).

R-04 Prestataires de réponse aux incidents de sécurité – Référentiel d’exigences (http://www.ssi.gouv.fr/uploads/IMG/pdf/PRIS_Referentiel_d_exigences_anssi.pdf).

R-05 Norme international ISO/IEC 27035:2011 : Technologies de l’information – Techniques de sécurité – Gestion des incidents de sécurité de l’information

http://www.ssi.gouv.fr/uploads/IMG/pdf/NP_Journalisation_NoteTech.pdf

http://www.ssi.gouv.fr/uploads/IMG/pdf/PRIS_Referentiel_d_exigences_anssi.pdf


2

3 INTRODUCTION

3.1 CONTEXTE

En 2014, d’après PWC (PricewaterhouseCoopers), le nombre de cyberattaques a augmenté de

48%. Leur complexité et leur sophistication ont également crus, augmentant mécaniquement le

coût et le temps de résolution - qui passe de 26 jours à 43 jours en moyenne. Ces cyberattaques

touchent aussi bien les PME que les grandes entreprises imposant ainsi à leurs responsables de la

sécurité des systèmes d’information de sécuriser d’une part leur infrastructure et d’autre part

d’élaborer une stratégie de prise en charge de ces cyberattaques quand elles se produisent.

Ainsi ce document a pour objectif d’aider les responsables métier, les DSI ou les RSSI à identifier

les incidents de sécurité1 majeurs et à servir de cadre pour mettre en œuvre une déclinaison plus

précise et adaptée des actions ainsi que des moyens humains, matériels, organisationnels et de

communication afin de mener à bien les investigations nécessaires à l’endiguement rapide de

l’incident.

3.2 DEMARCHE ET STRUCTURE Ce recueil a été élaboré à partir du référentiel d’exigences des prestataires de réponses aux

incidents de sécurité publié par l’ANSSI et d’une réflexion du groupe de travail autour de ses

retours d’expérience de prise en charge de cyberattaques. Il a pour objectif d’aider les non-initiés

de l’investigation numérique à comprendre les enjeux et à adopter la bonne conduite afin d’aider

– ou au moins de pas entraver – l’investigation.

Ce recueil est construit de la manière suivante :

Dans une première partie, les enjeux de l’investigation numérique ;

Dans une deuxième partie, la préparation ;

Dans une troisième partie, la prise en charge d’un incident de sécurité ;

Dans une quatrième partie, quelques éléments juridiques ;

Dans une dernière partie, les indicateurs de compromission.

1 Incident de sécurité : un ou plusieurs événements liés à la sécurité de l’information indésirables ou inattendus présentant une probabilité forte de compromettre les activités de l’organisation et de menacer la sécurité de l’information (cf ISO 27035, [R-05]).


3

4 LES ENJEUX DE L’INVESTIGATION NUMERIQUE Lorsqu’une entreprise suspecte une activité malveillante sur son système d’information suite à

un ou plusieurs événements de sécurité2 (arrêt de service, alerte d’un partenaire, etc.), elle se

doit de mettre en œuvre une réponse rapide et adaptée, afin de comprendre les causes et les

conséquences de ce(s) événement(s) sur le système d’information.

Cet(s) événement(s) sera(ont) analysés au cours de l’investigation dont les enjeux sont de :

Déterminer le mode opératoire de l’attaquant et l’historique de compromission ;

Détourer le périmètre de compromission ;

Evaluer les risques et impacts sur le système d’information ;

Identifier les mesures conservatoires ;

Préconiser des mesures de remédiation adaptées ;

Dégager les éléments pertinents à la sécurisation du système d’information ;

Dégager les éléments pertinents à la détection de cette compromission sur d’autres

systèmes d’information.

Les preuves collectées au cours de l’investigation feront l’objet de quatre (4) activités dites de

forensique que sont :

L’analyse réseau (systèmes de journalisation, de supervision, équipement de sécurité) ;

L’analyse système (Système de fichiers, postes utilisateur, serveurs, application, middleware, etc.) ;

L’analyse de code malveillant ;

Et la coordination de ces trois (3) activités.

2 Evénement de sécurité : occurrence identifiée de l’état d’un service, d’un système ou d’un réseau indiquant une faille possible dans la politique de sécurité de l’information ou un échec des mesures de sécurité ou encore une situation inconnue jusqu’alors et pouvant relever de la sécurité (cf ISO 27035, [R-05]).


4

5 LA PREPARATION Avant même la détection de signaux faibles laissant supposer une activité malveillante, il est

nécessaire de préparer les moyens organisationnels, humains et matériels nécessaires au

pilotage de la réponse à l’incident de sécurité, à sa gouvernance et à son investigation.

5.1 LES MOYENS ORGANISATIONNELS Le dispositif de la gestion d’incident doit être décrit au travers de :

Une analyse des menaces, de leurs impacts et des actions de remédiation ;

Procédures de remontée d’alerte ;

Diagrammes de décisions et procédures d’urgence (par exemple, remasterisation de poste de travail en cas d’infection générique, coupure de l’accès Internet en cas

d’exfiltration massive d’information, blocage d’adresses IP ou de sites de mauvaise

réputation, etc.) ;

Procédures de communication de crise dédiées cyber (interne, métier, clients, médias,

etc.) ;

Un annuaire dédié à la gestion d’incident composé des contacts utiles, des équipes d’astreinte, des équipes métier, de l’équipe d’investigation, et de la liste des PRIS.

Il doit également être accompagné d’une sensibilisation des collaborateurs, partenaires et clients

aux incidents de sécurité et à leur signalement précoce.

Ces moyens organisationnels doivent s’interfacer avec le dispositif de gestion de crise de

l’établissement déjà en place.

5.2 LES MOYENS HUMAINS Le dispositif nécessite d’identifier les moyens humains nécessaires à l’investigation et à son

pilotage:

Une équipe de supervision de type SOC qui centralise les journaux d’événement et

détient la capacité à corréler des événements (capable de fonctionner en H24 si

nécessaire et de mettre en détection les différentes signatures du traitement d’incident) ;

De nombreux acteurs pouvant détecter des signaux faibles (help desk, correspondants sécurité, etc.) ;

Un correspondant réponse à incident (comme préconisé par le [R-04]) en charge de

mettre en relation l’équipe d’analyse avec les différents interlocuteurs

impliqués (administrateurs des SI) ;

Une équipe d’analyse et d’investigation pouvant être un CERT (interne ou de

prestataires) composée d’un pilote technique (responsable d’équipe), et d’analystes (cf.

[R-04]) ;

Une équipe d’auditeurs en charge de la construction ou de la mise à jour de la

cartographie ainsi que de l’identification de l’ensemble des vulnérabilités du SI ;

Une équipe renforcée voire dédiée de support de proximité aux utilisateurs (tel que le help desk) afin d’éviter l’engorgement du service nominal.


5

5.3 LES MOYENS MATERIELS ET INFORMATIONNELS Le dispositif nécessite la mise en place de moyens matériels et informationnels pour une prise en

charge rapide et efficace d’un incident de sécurité :

La cartographie du ou des réseaux(x) (tel qu’il est dans [R-04]) ;

L’identification des données / réseaux/ zones sensibles ;

Les moyens de supervision ;

L’activation des journaux d’événements utiles des différents systèmes et applications (cf les recommandations de l’ANSSI dans [R-03]);

Un système de gestion de ticket d’incident ;

Une base documentaire de gestion d’incident ;

Les moyens de maintenir la confidentialité durant l’investigation (réseau dédié, messagerie chiffrée, etc.) ;

Les modalités d’accès, de stockage, de transport, de reproduction, de destruction et de restitution des informations et supports collectés et analysés (cf. [R-04]) ;

Modèle de convention en cas d’externalisation de prestation d’investigation (cf. [R-04]) ;

Modèle d’accord de non-divulgation (NDA) en cas d’externalisation de prestation d’investigation (cf. [R-04]).


6

6 LA GESTION D’UN INCIDENT DE SECURITE

Le cycle de vie du traitement d’un incident de sécurité suit les différentes phases suivantes

résumées dans le précédent diagramme :

La détection d’un événement de sécurité, à partir d’un SOC, de signaux faibles ou d’informations reçues ;

La qualification de l’événement de sécurité en simple événement, en incident mineur, en

incident intermédiaire ou bien en incident majeur afin

o d’identifier s’il y a lieu d’appliquer des mesures de réaction génériques ou

o d’activer une cellule d’analyse (investigations complémentaires) voire de crise

conformément aux procédures d’escalade en vigueur ;

L’investigation d’un incident lorsque la compromission est avérée mais que son étendue

reste encore inconnu ;

La remédiation (action immédiate en cas d’incident mineur connu et procédure de réaction formalisée) et le durcissement du SI, le cas échéant ;

Le retour d’expérience.

Détection

Qualification et décision

InvestigationRemédiation et

durcissement du SI

Retour d'expérience


7

6.1 DETECTION Le dispositif nécessite de mettre en place les moyens de détection et le processus de remontée

d’incident.

Dans un premier temps, les moyens de détection doivent prendre en considération :

Les potentielles menaces en précisant leurs cibles (par exemple : exfiltration de données sensibles, etc.) ;

Les synoptiques d’attaque (par exemple, chiffrement de serveurs de fichiers par un cryptolocker qui a infecté un poste de travail par hameçonnage) ;

Les comportements suspects à identifier (binaires en pièce jointe des messages électroniques, spoofing d’adresse de messagerie interne, accès à des sites non conformes

à la PSSI etc.) et les indicateurs de compromission (accès à certains sites malveillants,

etc.)

Dans un second temps, les modalités de remontée et de résolution d’incident doivent décrire :

La fréquence des rapports de surveillance (quotidiens, hebdomadaires, etc.) ;

Le contenu des rapports de surveillance (indicateurs, tableau de bord, analyses

éventuelles, identification de besoins supplémentaires de surveillance, etc.) ;

La procédure de traitement et de remontée d’événement de sécurité.

6.2 QUALIFICATION ET DECISION La bonne définition des risques, des menaces et des moyens de détection (cf. chapitre.0) vont

faciliter et accélérer le processus de qualification d’un simple événement de sécurité en incident

de sécurité mineur, intermédiaire ou bien majeur, et ainsi, garantir la pertinence du dispositif

d’alerte (la qualification de l’événement de sécurité est à mettre en relation et en cohérence avec

les classifications adoptées dans les dispositifs de Gestion de Crise de chaque établissement).


Figure 1 : Echelle d'évaluation des événements de sécurité (à titre d’exemple)

Pour information, conformément à l’article 22 de la Loi de Programmation Militaire (LPM) pour

les années 2014 à 2019, les Opérateurs d’Importance Vitale ont l’obligation de faire part de leurs

incidents de sécurité aux autorités compétentes (cf [R-01] et [R-02]).

« Art. L. 1332-6-2.-Les opérateurs mentionnés aux articles L. 1332-1 et L. 1332-2 informent sans

délai le Premier ministre des incidents affectant le fonctionnement ou la sécurité des systèmes

d'information mentionnés au premier alinéa de l'article L. 1332-6-1. »

Incident

majeur

Incident intermédiaire

Incident mineur

Evénement


8

6.3 INVESTIGATION Lors d’une suspicion d’un incident de sécurité majeur, la cellule d’analyse doit faire appel à une

équipe d’expert en investigation numérique interne ou de prestation, si possible, préalablement

identifiée lors de la phase de préparation afin de mener à bien les analyses complémentaires et

déterminer le périmètre de la compromission.

La phase d’analyse est essentiellement assurée par l’équipe d’investigation dont la procédure est

décrite dans le référentiel d’exigences du PRIS [R-04] et notamment le traitement dans le cadre

d’une affaire judiciaire, civile ou arbitrale.

Cette démarche peut se découper en 5 étapes décrites ci-dessous.

Etape 1

Qualification préalable

Etape 2

Préparation

Etape 3

Exécution

Etape 4

Restitution

Etape 5

Elaboration du rapport


9

6.3.1 Etape 1 : Qualification préalable

Sur la base des informations initiales (événements de sécurité, premières analyses, cartographie,

etc.) l’équipe d’investigation élaborera une posture initiale3 issue d’une phase d’analyse de

l’incident de sécurité et des risques associés qui fera apparaître les points suivants :

Le niveau de discrétion requis vis-à-vis de l’attaquant (élevé, moyen, faible) ;

La stratégie de communication interne et externe ;

La démarche générale des opérations d’investigation ;

Les activités d’analyse et les moyens humains à engager afin de les réaliser.

Cette analyse pourra déboucher sur la conclusion d’une absence d’activité malveillante, auquel

cas les étapes suivantes ne seront pas réalisées.

6.3.2 Etape 2 : La préparation

Sur la base de la posture initiale, cette étape vise à clarifier et mettre en place :

L’organisation ;

Les moyens opérationnels ;

Les mesures conservatoires ;

Les procédures d’urgence.

L’équipe d’investigation procèdera à la désignation d’un responsable d’équipe d’analyse en charge de coordonner et de suivre l’investigation.

Alors que le commanditaire veillera à désigner un référent chargé des relations avec l’équipe d’investigation (CRI) tout au long de la prestation, à mettre en place une structure projet permettant d’arbitrer les décisions et à suivre la prestation. Le CRI devra informer l’équipe d’investigation des actions réalisées sur le système d’information et qui pourraient impacter l’analyse.

L’équipe d’investigation veillera à obtenir auprès du CRI les privilèges nécessaires pour réaliser les opérations de collecte. Toutes les actions menées, les informations collectées et analysées par l’équipe d’analyse seront consignées dans un registre centralisé, imputable et chronologique

L’équipe d’investigation pourra proposer une réévaluation de la gravité de l’incident et aider à la définition des procédures d’urgence –si non existantes-permettant de réagir rapidement dans des cas précis : exfiltration massive de données, compromission de l’environnement d’administration… Ces procédures doivent être applicables en 24/7.

3 Stratégie initiale d’investigation (déterminé en fonction du contexte de l’attaque)


10

6.3.3 Etape 3 : L’exécution

L’exécution de la prestation nécessite de réaliser, de manière itérative, les actions suivantes telles

que décrites dans le référentiel de Prestataires de Réaction aux Incidents de Sécurité (cf [R-04]) :

1 - La collecte des informations qui seront ensuite analysées. Cette collecte suit une

méthode dont les actions ont été préalablement identifiées et dont la démarche est

reproductible. Les informations recueillies pourront être des informations techniques

(configuration des systèmes, plan d’adressage), des journaux d’événements, des copies

physiques ou des captures de flux. L’objectif recherché des analystes est d’identifier toute

trace de compromission, notamment à l’aide des premiers indicateurs de compromission

(IOC : Indicator of Compromise), identifiés lors de la phase de compréhension de

l’incident. Au besoin, une surveillance de circonstance, basée sur la collecte en continu de

différentes sources d’information (activité réseau, activité système), pourra être mise en

œuvre et complétée par des sondes de détection d’intrusion.

2 – L’analyse des informations collectées dans l’objectif d’améliorer la compréhension de l’incident de sécurité, de rechercher des indicateurs de compromission déjà connus de

l’incident en cours de traitement ou issus de bases de connaissances, de rechercher une

activité malveillante voire la présence d’un mécanisme de persistance ou d’anomalies par

rapport aux pratiques sur le système d’information. La caractérisation des activités de

l’attaquant pourra être facilitée par la mise en place d’une surveillance de circonstance,

complétée d’une ou plusieurs sondes IDS.

3 – La synthèse des analyses. Le responsable d’équipe d’analyse synthétise les résultats

des analyses, révise la compréhension de l’incident de sécurité, révise éventuellement la

posture initiale (pour notamment préparer la prochaine campagne de collecte et lancer

des analyses complémentaires).

4 – L’identification des mesures de remédiation. L’équipe d’analyse aide à la définition

du plan de remédiation qui comporte les mesures de durcissement et d’assainissement

susceptibles de supprimer les moyens utilisés par l’attaquant.

Cette étape est étroitement liée à la typologie de l’incident et se schématise difficilement. Elle

pourra être effectuée en une ou plus itérations. Dans le second cas, un suivi adapté doit être

assuré par la cellule de crise, afin de mettre en œuvre les mesures d’endiguement de l’incident au

fur et à mesure des besoins.

L’investigation d’un incident peut nécessiter de faire appel en parallèle à des prestations

complémentaires :

1. La réalisation d’un audit de compréhension afin de confirmer ou mettre à jour la

cartographie du système d’information et cerner le périmètre potentiel de la

compromission (interconnexions de systèmes d’informations, relations d’approbations

entre différents domaines, etc.) ;

2. La réalisation d’un audit exhaustif afin d’identifier l’ensemble des vulnérabilités du

système d’information compromis ainsi que l’ensemble des mesures permettant d’élever

le niveau de sécurité.


11

6.3.4 Etape 4-5 : La restitution et l’élaboration du rapport d’incident

Au cours de ces étapes, l’équipe d’investigation formalisera et soutiendra le rapport d’incident

comportant :

une synthèse, compréhensible par des non-experts, qui précise :

o le rappel du contexte de l’incident ;

o le périmètre concerné par l’attaque et le périmètre compromis ;

o les actions réalisées par l’attaquant ayant un impact fort ;

o les mesures prises pour remédier à l’incident ;

o les étapes clés du mode opératoire de l’attaquant et la chronologie associée ;

un ou plusieurs schémas récapitulatifs de l’attaque : o désignation des systèmes compromis ;

o horodatage des événements ;

o la description des analyses réalisées ;

o les éléments collectés et analysés ;

o les codes malveillants utilisés et leur analyse ;

o les méthodes de persistance ;

o les vulnérabilités exploitées ;

o les méthodes d’escalade de privilèges,

o le vecteur initial de compromission.

la liste exhaustive des ressources et comptes compromis ;

les indicateurs de compromission ;

les mesures de remédiation identifiées, leur périmètre et leur séquencement de mise en

œuvre.


12

6.4 REMEDIATION ET DURCISSEMENT DU SI La remédiation d’un incident de sécurité peut prendre différentes formes. Selon le périmètre de

la compromission déterminé grâce à l’investigation, il peut s’agir soit de réinstaller un poste de

travail ou un serveur compromis, soit de réaliser une reconstruction globale du système

d’information selon un séquencement des opérations très précis consistant à isoler le SI

compromis et à basculer vers un nouveau cœur de confiance (réinstallation des serveurs et des

postes de travail compromis, réinitialisation des mots de passe des comptes connus de

l’attaquant, etc.).

6.5 RETOUR D’EXPERIENCE Le retour d’expérience vise à améliorer la prise en charge des futurs incidents de sécurité à tous

les niveaux :

Amélioration des capacités de détection (nouvelles menaces, nouveaux équipements de détection, nouveaux indicateurs de compromission) ;

Amélioration du niveau de sécurisation du SI ;

Amélioration de la culture sécurité de l’entreprise (campagnes de sensibilisation) ;

Amélioration de la chaîne de commandement.


13

7 CADRE JURIDIQUE

Lors d’une investigation numérique la législation nationale reste applicable aussi bien à

l’entreprise victime qu’aux personnes impliquées dans l’investigation. Sans être exhaustif, nous

citerons :

- LOI n° 2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années

2014 à 2019 et portant diverses dispositions concernant la défense et la sécurité nationale

- Le secret professionnel (article 226-13) : La révélation d'une information à caractère secret par une

personne qui en est dépositaire soit par état ou par profession, soit en raison d'une fonction ou d'une

mission temporaire, est punie d'un an d'emprisonnement et de 15 000 euros d'amende.

- Le secret des correspondances privées (article 226-15) : Le fait, commis de mauvaise foi, d'ouvrir,

de supprimer, de retarder ou de détourner des correspondances arrivées ou non à destination et

adressées à des tiers, ou d'en prendre frauduleusement connaissance, est puni d'un an

d'emprisonnement et de 45000 euros d'amende.

Est puni des mêmes peines le fait, commis de mauvaise foi, d'intercepter, de détourner, d'utiliser ou de

divulguer des correspondances émises, transmises ou reçues par la voie des télécommunications ou

de procéder à l'installation d'appareils conçus pour réaliser de telles interceptions.

- L’atteinte à la vie privée : Loi n° 2004-801 du 6 août 2004 relative à la protection des personnes

physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17

du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

- L’atteinte à la vie privée (article 34) : Le responsable du traitement est tenu de prendre toutes

précautions utiles, au regard de la nature des données et des risques présentés par le traitement,

pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées,

endommagées, ou que des tiers non autorisés y aient accès.

Des décrets, pris après avis de la Commission nationale de l'informatique et des libertés, peuvent fixer

les prescriptions techniques auxquelles doivent se conformer les traitements mentionnés au 2° et au

6° du II de l'article 8.

- L’accès ou le maintien frauduleux à un système d’information (article 323-1) : Le fait d'accéder ou

de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de

données est puni de deux ans d'emprisonnement et de 30 000 euros d'amende.

Lorsqu'il en est résulté soit la suppression ou la modification de données contenues dans le système,

soit une altération du fonctionnement de ce système, la peine est de trois ans d'emprisonnement et de

45 000 euros d'amende.

Lorsque les infractions prévues aux deux premiers alinéas ont été commises à l'encontre d'un système

de traitement automatisé de données à caractère personnel mis en œuvre par l'Etat, la peine est

portée à cinq ans d'emprisonnement et à 75 000 € d'amende.


14

8 LE PARTAGE DES INDICATEURS DE COMPROMISSION : REFLEXION SUR

UN STANDARD D’ECHANGE

8.1 STANDARD DE PARTAGE La préparation aux cyberattaques nécessite l’amélioration des capacités de détection en termes

de sondes et d’indicateurs de compromission (IOC).

L’émergence, ces dernières années, des formats d’échange tels qu’OpenIOC et STIX montre bien

l’intérêt grandissant des états et des grandes entreprises d’échanger sur les nouvelles menaces.

Type d’IOC Sous-Type Détails

Informations générales

Identifiant unique et normalisé de l’affaire Date de création de l’affaire (AAAMMJJ) Date de mise à jour de l’affaire (AAAMMJJ) Secteur d’activité (Financier, Défense, Energie, etc.) Diffusion (Tous, Sectorielle, Nominative) TLP (Rouge, Jaune, Vert, Blanc) Sévérité (Critique, Important, Moyen, Faible) Niveau de confiance (de 1 à 10) Références publiques Attribution Type (Courrier électronique, Réseau, etc.)

Courrier électronique

Informations générales Date d’envoi (AAAMMJJ) Heure d’envoi (UTC) Emetteur(s) (Statique, Polymorphique) Récepteur(s) Objet Pièce(s) jointe(s) Corps En-tête Notes

Réseau Informations générales Description (C2, site légitime compromis, etc.) Format (Adresse IP, Domaine, Sous-domaine, etc.) Données Notes

Système Fichier Cible (Windows 32-bits, Windows 64-bits, Linux, etc.) Fichier/chemin Taille (Octet) Empreinte (MD5, SHA1, SHA256) Date de compilation (AAAMMJJ) SSDEEP Strings Description


Système Registre Cible (Windows 32-bits, Windows 64-bits) Ruche Clef de registre Valeur Données Notes

Système Service Cible (Windows 32-bits, Windows 64-bits, Linux, etc.) Service Notes

Système Mutex Cible (Windows 32-bits, Windows 64-bits, Linux, etc.) Mutex Notes

Système Tube nommé Cible (Windows 32-bits, Windows 64-bits, Linux, etc.) Tube nommé Notes

Système Evénement antivirus

Cible (Windows 32-bits, Windows 64-bits, Linux, etc.) Antivirus Signature(s) AV Notes

Système Evénement Windows

Cible (avant/après W7, avant/après W2008 ) Event ID Valeur Notes


15

ANNEXE 1 : LES GRANDES TYPOLOGIES DE CYBERS ATTAQUES

Objectif Quoi ? Comment ? Impacts ? Exemples Pour challenger

Sites Internet Points d’accès Wi-Fi Toute surface exposée sur Internet

Utilisation d’outils d’exploitation

Déni de service Destruction de données

Nuire à l’image

Site Internet, Pages officielles

Déni de service Défacement de site Internet

Perte de clients

Vol de données sensibles (savoir-faire, liste de clients, etc.)

Réseau interne et données stockées sur ce réseau

Intrusion sur le réseau d’entreprise (par phishing, social engineering, etc.)

Perte de chiffre d’affaire

Destruction de données

Réseau interne et données stockées sur ce réseau

Intrusion sur le réseau d’entreprise (par phishing, social engineering, etc.)

Perte de données

Faire passer des messages idéologiues

Sites Internet, Pages officielles

Défacement de site Internet

Déni de service Impact sur l’image

Affaire PayPal (2010)

Escroquerie Poste client Cryptolocker Fraude au président Vol d’informations bancaires (Zeus) Hameçonnage Usurpation d’identité Malware

Perte de données Perte de chiffre d’affaire

Affaire TARGET (2014)

Se venger Données stockées Suppression de Perte données, de


sur le réseau données Malware

clients, de chiffre d’affaire

Revendre des données sensibles

Données stockées sur le réseau

Clés USB, messagerie, webmail Logiciel espion

Perte données, de clients, de chiffre d’affaire

Revendre des données sensibles

Données stockées sur le réseau

Clés USB, messagerie, webmail

Perte données, de clients, de chiffre d’affaire

Voler le savoir-faire et les informations confidentielles

Réseau interne et données stockée sur ce réseau

Hameçonnage Waterholing, social engineering, Exploitation d’une machine vulnérable

Perte de confidentialité

Affaires Stuxnet et Red October


16

ANNEXE 2 : PARTAGE DE BONNES PRATIQUES La capacité à anticiper la menace passe aussi par la détection des signaux faibles, afin de

capter les premières étapes d'attaques se basant sur de l'ingénierie sociale et ne générant pas de

traces techniques, les évolutions de scénarios ou bien encore une cyber-attaque avancée (APT).

Exemple de dispositif mis en place au sein d’une entreprise du secteur financier :

- Un canal unique (adresse email dédiée) et simple (pas de formulaire) pour la remontée des signaux faibles (appel, email ou évènement suspect), ouvert à l’ensemble des collaborateurs ;

o En fonction de signal faible remonté, certaines précisions sont alors demandées au collaborateur. Par exemple, dans le cas d’un appel suspect, les informations demandées sont :

Nom du Correspondant contacté en interne Date, heure et durée de l’appel Numéro de téléphone de l’appelant Voix (homme/femme, âge, accent, compétences linguistiques) Objet de la demande

- Un partage d'informations en temps réel entre les différentes équipes concernées (Sécurité physique, sécurité informatique, gestion des risques, juridique, conformité, déontologie et audit) ;

- Un reporting mensuel anonymisé des signaux faibles ; - Une sensibilisation de tout le personnel, avec une newsletter trimestrielle sur la base

d’exemples réels, internes et récents, ainsi que des sessions de formation spécifiques en fonction du profil des collaborateurs.

Documents

Stratégie d'investigation dans le cas d’une … · 06/12/2015 · sécurité (cf ISO 27035, [R-05]). Forum des Compétences Stratégie d'investigation dans le cas d’une compromission