Transcript Gestion incidents

Gestion Opérationnelle Sécurité
Thierry MANCIOT – SFR
GT Sécurité CRIP
Le GT Sécurité CRIP
124 membres inscrits
Démarrage au mois de Mars 2012
Une quinzaine de membres actifs
– MACIF, Generali, Bouygues Telecom, Orange, SFR, Renault, Groupama,
PSA, DISIC, Lafarge, CNP Assurances, Météo France, Matmut, DGAC
• Partage de retours d’expérience sur des
thématiques sécurité ciblées
• Approche opérationnelle et
pragmatique
• Publication d’une newsletter
GOS : De quoi parle-t-on ?

Administration des briques sécurité

Administration des outils de surveillance et

contrôle

incluant la réputation Internet
Gestion d’éléments de sécurité (certificats,

secrets,…)

Veille sécurité opérationnelle
Administration
Gestion des vulnérabilités et correctifs de
Surveillance
/ détection
Détection / Surveillance des
événements de sécurité
sécurité

Audits / tests d’intrusion

Gestion
incidents

Traitement des incidents sécurité
Contrôle de conformité à la politique

Gestion crise sécurité
sécurité

Analyses post mortem
Contrôle
Organisation – pilotage transverse
Processus sécurité opérationnels
Reportings / Tableaux de bord
GOS : quelles évolutions ?
Les domaines liés à la surveillance / détection et
gestion des incidents prennent de l’ampleur
La GOS adresse de plus en plus les couches applicatives
Les maillages fraude et sécurité se créent
Les compétences évoluent vers plus d’expertise
notamment dans la détection
Contexte réglementaire
Paquet Telecom – transposition dans le droit français
–
S’applique aux opérateurs de communication électronique
–
Ordonnance relative aux communications électroniques adoptée le 24 aout 2011 et décret 2012-436 du 30
mars 2012 – Notification en cas de vol de données à caractère personnel
–

Obligation d’avertir sans délai la CNIL

La CNIL peut mettre en demeure le fournisseur d’informer l’intéressé

Obligation de tenir à jour un registre des violations de données personnelles
Décret 2012-488 du 13 avril 2012

Obligation de notifier les failles de sécurité sans délai à l’autorité publique
Projet de règlement européen sur la protection des données personnelles
–
25 janvier 2012: publication du projet de Règlement
–
Règlement applicable à tout fournisseur qui traite les données d’un utilisateur UE
–
Obligation pour toutes les entreprises > 250 employés d’avoir un CIL
–
Notification des violations de données personnelles à l’autorité nationale
Projet de règlement européen NIS (Network and Information Security)
–
07 Février 2013 : publication du projet de Règlement
–
Obligation de notifier à l’autorité nationale les failles de sécurité touchant les infrastructures critiques
Principales problématiques
Quels sont les modèles de mise en œuvre des processus
opérationnels sécurité (ITIL vs spécifique) ?
Comment évaluer et communiquer sur les risques sécurité liés
aux incidents ?
Comment mobiliser les équipes opérationnelles en réaction aux
incidents de sécurité ?
Comment valoriser / mesurer l’efficacité des dispositifs
opérationnels de sécurité ?
Comment étendre les canaux de détection et d’alerte ?
Incident sécurité et ambivalence
Confidentialité
Mobilisation
Une approche standard qui requiert certaines spécificités
S’appuyer sur les dispositifs standards de gestion des incidents
– Organisation, process ITIL, schéma d’escalades, outils de ticketing,…
Intégrer le détail des incidents dans un référentiel à accès restreint
Traiter de manière spécifique certains types d’incidents (fraude, RH, obligations légales,…)
Créer son propre réseau de confiance
Mettre en place les dispositifs de communication vis-à-vis des instances de réglementation
Anticiper les arrêts volontaires de services dans les plans de réaction
Gérer dans le temps la durée d’un incident / crise sécurité
Process incident sécurité
Détection
Equipes de
production
Pré-qualification
Alerte
Qualification / Traitement de l’incident
Fiche d’aide à la
qualification
Process incident production
Matrice IG
Si impact
sécurité
Acteurs internes
Equipes sécurité
Services clients
Process incident sécurité
Crise
Dispositifs de
surveillance et
contrôle
SOC
Métiers
Matrice impact métiers
Modèle d’aide à la qualification
Fiche d’aide à la
qualification
Matrice IG
Matrice impact métiers
Basée sur :
Basée sur :
Aide à qualifier l’événement
observé en incident de sécurité
‐ Catégories d’incidents
‐ Catégories d’impacts métiers
‐ Sensibilité des actifs
‐ Niveau d’impact métier
Aide à identifier les points de
contacts
‐ Ampleur
Indique les premiers réflexes
Echelle d’IG sécurité équivalente à l’échelle
IG de production :
‐ Mobilisation des équipes de production
Diffusée sur l’intranet + campagne
de sensibilisation
‐ Schémas d’escalades déjà en place
Evolution de l’IG dans le temps
Notion de « confiance » dans la qualification des incidents sécurité
Notion de « récurrence » des incidents
Permet de mieux communiquer
avec les entités métiers pendant
l’incident et post incident
Démarche d’amélioration continue
•
Systématiser les REX sur les incidents sécurité majeurs afin de :
• Améliorer la détection et la qualification
• Expliquer/Communiquer sur le niveau de gravité de l’incident
• Définir les plans d’actions de prévention dans le cadre de la gestion des problèmes
sécurité
•
Réaliser périodiquement des exercices de crise sur différents types de
scénarios:
• Le plus probable
• Celui avec fort impact technique
• Le plus transverse (impactant le plus de directions techniques et métiers)
• Celui qui est couplé avec un exercice de PRA
Conclusion et perspectives
Accompagner l’évolution de la Gestion Opérationnelle Sécurité
Industrialiser les dispositifs opérationnels de sécurité
Renforcer l’expertise sécurité dans les domaines de la surveillance
Accompagner le changement, communiquer
Ne pas négliger les phases de Build pour être efficace dans le Run
Perspectives 2013 du GT Sécurité CRIP : Sécurité dans les projets
•
•
•
•
Organisation et acteurs
Classification des besoins de sécurité par types de projets
Gestion de la donnée sensible dans le cycle projet
Contrôles et validations sécurité dans le projet
Merci de votre attention
Questions ?
Matrice IG sécurité
Catégories d’incidents :
•
Accès, modification, collecte non autorisés de données
•
Divulgation d’information
•
Intrusion / prise de contrôle
•
Comportements anormaux (usages frauduleux, usages abusifs, comportements déviants,…)
•
Présence de fichiers malveillants (malware)
•
Dysfonctionnements (déni de service par ex, indisponibilité de service non expliquée)
•
Vulnérabilités critiques
Actifs :
•
Sensibilité du service / application
•
Sensibilité de la donnée
Ampleur :
•
Nombre d’actifs impactés par l’incident
•
Niveau de contagion
Matrice impacts métier
Catégories d’impacts :
• Perte financière
• Réputation / Image de marque
• Réglementation / Juridique
• Insatisfaction clients
• Disponibilité des services