Transcript Cybercriminalité, cybersécurité et réglementation, SOC, gestion de

L’Essentiel
Club des Responsables
d’Infrastructures et de Production
# 26
Avril 2014
Sécurité
CRiP Thématique
Cybercriminalité, cybersécurité et
réglementation, SOC, gestion de la sécurité
opérationnelle, sécurité dans les projets
du 19 mars 2014
L’état des menaces impose plus que jamais aux organisations de gagner en
maturité dans la sécurisation de leurs SI. Il faut industrialiser les dispositifs de
sécurité et adopter une approche processus de la sécurité opérationnelle.
SOC, gestion des vulnérabilités, gestion des comptes à privilèges, sécurité
dans les projets sont autant de leviers pour améliorer la sécurité des SI.
Le contexte
En quelques phrases
Cette conférence CRiP Thématique a été organisée
par le Groupe de Travail Sécurité du CRiP piloté par
Thierry Manciot, RSSI SFR, et Jean-Pierre Blanc, RSI
Bouygues Télécom, avec le parrainage de Brigitte
Declerck, Responsable du pôle Production & Sécurité
de la DSI des fédérations AGIRC ARRCO. Un point
a été fait sur les tendances du moment en matière
de menaces et de sécurité des SI. L’ANSSI (Agence
Nationale de la Sécurité des Systèmes d’Information),
la BEFTI (Brigade d’Enquête sur les Fraudes aux
Technologies de l’Information, de la Direction Régionale
de la Police Judiciaire de Paris), l’OWASP (Open Web
Application Project) et le CLUSIF (Club de la Sécurité
de l’Information Français) ont dressé un état des
menaces.
Des spécialistes sécurité de SFR, Safran, Bouygues
Télécom et Generali ont apporté un éclairage sur
certains aspects de la sécurité des SI, tandis que le
GT Sécurité du CRiP a présenté une synthèse de ses
travaux. La journée a été ponctuée de deux tables
rondes réunissant les intervenants.
•Le paysage actuel de la sécurité des SI est marqué
par une augmentation générale très vive des
attaques et de leurs impacts, en particulier des
attaques ciblées et des attaques métier.
•
La cybercriminalité galopante pousse les
organisations à industrialiser leurs dispositifs
de sécurité et le législateur à renforcer le cadre
réglementaire entourant la sécurité des SI.
• La mise en place d’un processus de gestion des
incidents sécurité est un jalon essentiel dans
l’installation d’un SOC, laquelle demande du temps.
• L’approche processus de la sécurité opérationnelle
est le levier pour élever son niveau de maturité en
matière de sécurité des SI.
• La gestion des vulnérabilités, qui s’assimile à un
processus de gestion de risques, doit couvrir les
aspects humains, process et outillage.
• Les comptes à privilèges sont un facteur de risques
qui nécessite la mise en place d’une solution de
contrôle en temps réel des accès et de traçabilité
des actions associées.
• Les risques métier et techniques d’un projet doivent
être analysés et le respect des exigences de sécurité
doit être contrôlé à chaque phase du cycle projet.
1
Ce qu’il faut retenir
transverse avec la gestion de crise et des incidents et la
capitalisation des retours d’expérience. Pour cela, des
méthodes, normes et bonnes pratiques existent dans
les domaines de la sécurité des SI (ISO 27001:2013,
27005, 22301, ANSSI, EBIOS, etc.), de la Production
(ISO 20000, ITIL) et des Etudes (PMBOK, OWASP, etc.),
sur lesquels les organisations peuvent s’appuyer.
Menaces et cybercriminalité
Dans les faits marquants de 2013 en matière de
sécurité des SI, on retient la cybermenace relative à
l’appropriation massive de données personnelles (plus
d’un demi-milliard de données personnelles ont été
volées dans le monde en 2013; cf. l’affaire Target aux
Etats-Unis) et la cybermenace étatique (affaires APT1 et
Prism/NSA). Au-delà des analyses croisées de la BEFTI
et du CLUSIF, émergent les tendances suivantes :
La protection des données passe par une sécurité à
plusieurs strates : données (chiffrement), applications
(gestion des accès, patterns sécurisés), socles
techniques (antivirus, patchs, sécurité physique), réseau
(firewalls, DMZ, filtres). Les mesures de prévention
doivent aussi et notamment inclure la sensibilisation des
utilisateurs, la réalisation de sauvegardes, de tests et
audits de vulnérabilité et d’intrusion.
- les méthodes d’attaque se multiplient et se diversifient
(méthode du ‘point d’eau’, attaques ciblées, attaques
destructrices/incapacitantes, phishing basé sur
l’ingénierie sociale, etc.),
En France, la cybersécurité est dotée d’un cadre
réglementaire
(opérateurs
de
communications
électroniques, opérateurs d’importance vitale (OIV),
etc.). L’agence gouvernementale ANSSI appuie les
Services de l’Etat et les OIV dans la sécurisation de
leurs SI sensibles. Elle labellise des solutions de sécurité,
émet des recommandations en matière de sécurité des
SI. Ce cadre règlementaire a été renforcé par la Loi de
Programmation Militaire 2014-2019, qui place les OIV
sous la surveillance étroite des Services du Premier
Ministre concernant la sécurité de leurs SI.
- les attaques ciblant les processus métier connaissent
une croissance inquiétante,
- les attaques ciblées (APT) ne cessent d’augmenter, le
nombre de malwares sur mobile explose (2,47 millions
en 2013), les ransomwares (type Cryptolocker) sont en
très forte croissance,
- cybercriminalité et criminalité traditionnelle collaborent,
-
l’hacktivisme historique (type Anonymous) cède le
pas à la cybercriminalité financière et à l’hacktivisme
étatique/para-étatique,
- l’offre de produits et de services de cybercriminalité,
disponible en ligne, ne cesse de se développer et de
se professionnaliser.
SOC : une mise en place entre
industrialisation et expertise
Les craintes pour le futur portent sur les vulnérabilités
issues de la fin du support de Windows XP et du
développement des objets connectés ainsi que sur la
faiblesse, d’une façon générale, des moyens consacrés
à la cybersécurité et à la formation.
Au sein d’une organisation, l’entité COS (Centre des
Opérations de Sécurité; SOC en anglais) constitue le point
focal de gestion de la sécurité. Son rôle va des actions de
prévention à la gestion des incidents, crises et investigations
associées, en passant par la mission cœur de détection.
La mise en place d’un COS est un processus long qui
passe par des jalons (sondes IDS, gestion de logs, gestion
de crise, dispositif H24, etc.), dont celui, essentiel, de la
mise en œuvre d’un processus de gestion des incidents
sécurité. Le COS communique avec les entités de sécurité
externes (ANSSI, DCRI, CERT) et les Directions internes
de la Communication, du Juridique et du Service Client.
Il interagit avec les équipes IT de Production autour de la
sécurité opérationnelle et avec les Métiers et départements
internes en charge de la fraude, des enquêtes et de
l’intelligence économique autour des investigations et de
la planification de la surveillance. Autour du processus de
gestion des incidents sécurité, le COS mène un travail
d’information régulier auprès des équipes de Production
et d’astreinte pour les garder mobilisées et aptes à réagir
rapidement. Il accompagne les équipes susceptibles de
remonter des incidents sécurité et les aide à adopter les
bons réflexes. Le COS capitalise sur ses connaissances
(veille, surveillance, REX sur les incidents, etc.) pour une
amélioration continue de son efficacité.
Cybersécurité, bonnes pratiques
et cadre réglementaire
La cybersécurité est aujourd’hui une exigence aiguë :
les attaques, leurs types, leurs durées et leurs impacts
augmentent, l’informatique distribuée est moins
nativement sécurisée, les nouveaux usages (mobilité,
BYOD, etc.) progressent avec de nouvelles vulnérabilités.
Autre constat : le délai moyen de détection d’une
attaque ciblée est supérieur à un an et les cibles sont
visées en fonction du ROI espéré.
Face à ce contexte, les organisations doivent déployer
un processus de sécurité en boucle, s’appliquant tant au
Build qu’au Run. Cela commence au niveau stratégique
(RSSI) avec l’analyse des risques, se poursuit au niveau
opérationnel (RSI) avec le traitement des risques identifiés,
puis au niveau technique (Production, Infrastructures)
avec la détection des attaques grâce aux technologies
et outils déployés à cet effet et, enfin, jusqu’à un niveau
2
Une base de vulnérabilités est constituée et mise à jour
à l’issue de chaque étape de ce processus. La gestion
des vulnérabilités gagnerait à voir cette base intégrée
dans la CMDB.
On distingue 3 niveaux croissants de maturité des
organisations en matière de sécurité des SI : zone dite
d’humiliation, sécurité élémentaire, sécurité maîtrisée.
L’objectif de tout RSSI est de sortir de la zone d’humiliation.
C’est en adoptant une approche processus de la
sécurité opérationnelle et en l’appliquant tant au niveau
du Build que du Run qu’il peut y parvenir. Par exemple,
en matière d’antivirus, les organisations pensent être
protégées en déployant des produits fonctionnellement
riches et matures provenant d’éditeurs reconnus. De
nombreuses questions restent pourtant en suspens: les
agents installés sur les postes le sont-ils correctement
(userID unique, version conforme…) et sont-ils actifs ?
Les postes sont-ils bien déclarés dans la console ? La
partition stockant les signatures virales est-elle pleine ?
Gestion des comptes à privilèges
La criticité du risque que présentent les comptes à
privilèges pour la sécurité des SI provient de plusieurs
facteurs qui se conjuguent. Cette criticité est accrue par
la grande complexité des SI : les droits d’administration
sur le SI ouverts aux administrateurs sont extrêmement
étendus (réseau, OS, applications, sécurité). Ils ouvrent
autant de possibilités pour des actes de malveillance; les
administrateurs peuvent accéder au SI à distance (par
exemple, dans le cas d’une infogérance et/ou après
avoir quitté leur employeur); leurs actions ne sont pas
tracées ni traçables (forts de leurs privilèges, ils peuvent
effacer leurs propres traces). Ceci rend impossible
l’imputation d’une action erronée ou malveillante. Et il
est très difficile de savoir ce qui a été fait sur un actif
du SI. Cette situation requiert la mise en place, les logs
ne suffisant plus, d’une solution assurant, en temps
réel, un contrôle centralisé des accès et une traçabilité
des actions effectuées à partir de comptes à privilèges.
L’architecture de ce type de solution peut être une
gestion des accès intégrée à la gestion des identités et
des habilitations, à une CMDB (serveurs, applications) et
à un SIEM. La mise en place de ce type de solution peut
répondre aussi à des exigences de conformité.
Un processus ad hoc prévoira donc, en phase projet,
de comprendre chaque cas de non-fonctionnement,
d’identifier les postes à traiter et de corriger, puis,
en phase d’exploitation, d’identifier les postes non
protégés, de lancer des scans réguliers, de lancer et
suivre les actions correctives. Tous les autres domaines
de la sécurité opérationnelle doivent être couverts par
cette approche processus : mots de passe, droits et
comptes, correctifs, réseaux, accès distants, gestion
des identités, gestion des incidents sécurité, etc.
Pour bâtir ces processus, il conviendra, pour chaque
domaine, de recenser les tâches relevant du Build
et celles relevant du Run. Ceci permettra d’élaborer
respectivement un plan projet (diagramme de Gantt,
plan de traitement des risques) et un plan annuel
d’exploitation (calendrier détaillé et précis des actions de
contrôle).
Sécurité dans les projets
La sécurité dans les projets doit s’envisager d’un bout
à l’autre du cycle projet. Elle commence avec l’analyse
des risques :
Gestion des vulnérabilités :
approche méthodologique
- analyse des risques métier par les Métiers (sur la base
des risques majeurs identifiés pour l’entreprise via une
démarche type EBIOS/ANSSI intégrant le REX lié à la
gestion des incidents sécurité, les autres risques étant
adressés en gestion de crise),
La gestion des vulnérabilités, qui correspond à une
gestion des risques, commence avec l’identification des
ressources et actifs critiques à risque du SI : utilisateurs
(comportements/habitudes), processus (complexité),
middleware et éléments d’infrastructure (multiplicité
des briques, technologies et acteurs). La mitigation de
ces risques passe respectivement par la formation/
sensibilisation des utilisateurs, une rigueur de conception
et des contrôles/audits des processus. La coopération
de la chaîne des acteurs concourt à la sécurité du
SI (RSSI, architectes, responsables d’exploitation,
administrateurs, etc.). Elle s’appuiera pour cela sur des
normes et référentiels (ITIL, ISO 27xxx, CMMI, CoBIT,
etc.) et une palette de moyens techniques (firewalls,
antivirus, SIEM, PSI, gestion des accès et des identités,
etc.). La gestion des vulnérabilités s’apparente, là aussi,
à un processus : signalement (veille, alertes CERT/
éditeurs, déclarations d’incident, rapports de tests
d’intrusion et d’audits, alertes de supervision), analyse
(criticité, études d’impacts, recherche et planification
- analyse des risques techniques, portée par le RSSI
(cadrée par la gestion des exigences de sécurité et
s’appuyant sur des contrôles tout au long du cycle
projet).
Selon que le projet est évalué comme sensible ou
non (mesure DICP), les équipes Sécurité, aux moyens
contraints face à des projets nombreux et à un timeto-market raccourci, iront contrôler que les exigences
de sécurité ont été prises en compte (conception/
réalisation) et sont respectées (phases de tests/
recette et d’exploitation) ou s’appuieront sur la
responsabilisation des acteurs (MOE, Production). Ces
équipes s’impliqueront fortement sur la gestion des
incidents sécurité avec un objectif de capitalisation.
3
L’Essentiel
des correctifs/mesures de protection), validation (par le
RSSI/Comité de Sécurité), déploiement.
CRiP Thématique Cybercriminalité, cybersécurité et réglementation, SOC, gestion de la sécurité opérationnelle, sécurité dans les projets
Sécurité opérationnelle
et approche processus
United
Kingdom
Digital Technology & Innovation
Club des Responsables d’Infrastructures et de Production
24 rue Erlanger 75016 Paris - [email protected]
www.crip-asso.fr
En application de la loi du 11 mars 1957, il est interdit de reproduire ; sous forme de copie, photocopie, reproduction, traduction ou conversion, le
présent ouvrage que ce soit mécanique ou électronique, intégralement ou partiellement, sur quelque support que ce soit, sans autorisation du CRiP.
4
Rédaction : Pierre-Yves Henry & Pierre Mangin, CRiP - Création Fred.lameche - www.anousdejouer.fr
Les exigences de sécurité pour les projets web pourront
utilement s’appuyer sur les principales vulnérabilités web
constatées, compilées chaque année par l’OWASP
pour son Top 10.
La gestion des données sensibles doit être adressée sous
un angle fonctionnel, en amont du projet (classification,
principes d’usage, cycle de vie). La recette sécurité sera
menée directement par les équipes Sécurité pour les
projets sensibles (audits et tests d’intrusion) et déléguée
pour les autres.