formation Cybersécurité et protection des données Session printemps 2020 Erroussafi Elmehdi 11 -12-13 Mars 2020, Kénitra La gestion de crise - Méthodologie L’investigation RCA, méthodes Introduire les outils d’inventaire/analyse risque Mettre en place un PCA
Risque C. Se préparer : Détecter D. Se préparer : Investiguer et Réagir E. Se préparer : Processus de gestion F. Se Préparer : Plan de Continuité d’activité G. Se Préparer : Test et Simulations Agenda de la journée Ensemble pour un Internet meilleur CMRP: Ateliers de formation Cybersécurité et protection des données Session printemps 2020 Erroussafi Elmehdi 11 -12-13 Mars 2020, Kénitra
… Ensemble pour un Internet meilleur CMRP: Ateliers de formation Cybersécurité et protection des données Session printemps 2020 Erroussafi Elmehdi 11 -12-13 Mars 2020, Kénitra Mais tout d’abord … la suite …
ressources intangibles – fichiers, bases de données, informations confidentielles ou secrètes, procédures, etc. ➢ Les biens tangibles – locaux, machines, logistique, serveurs et postes de travail, téléphonie, réseau, etc. ➢ Les ressources humaines – personnel, compétences particulières, savoir-faire humains, titulaires de droits d’accès spéciaux aux logiciels, etc Se préparer à gérer une crise Cyber Ensemble pour un Internet meilleur CMRP: Ateliers de formation Cybersécurité et protection des données Session printemps 2020 Erroussafi Elmehdi 11 -12-13 Mars 2020, Kénitra
Ateliers de formation Cybersécurité et protection des données Session printemps 2020 Erroussafi Elmehdi 11 -12-13 Mars 2020, Kénitra Inventaire des machines Version 1.0 Revision 1 Technologie Plateforme Description Nom de la machine Adresses IP Passerelle/Gateway Système d'exploitation NMS01 Service : 10.104.70.4 Management : 10.104.67.171 10.104.70.126 Solaris NMS02 Service : 10.104.70.4 Management : 10.104.67.172 10.104.70.127 Solaris Serveur de Magement du sous réseau nord MANsrvNR Service : 10.104.70.4 Management : 10.104.67.173 10.104.70.128 Windows Serveur de Management du sous réseau sud MANsrvSD Service : 10.104.70.4 Management : 10.104.67.174 10.104.70.129 Windows NMS01 Service : 10.104.70.4 Management : 10.104.67.171 10.104.70.126 Solaris NMS02 Service : 10.104.70.4 Management : 10.104.67.172 10.104.70.127 Solaris Serveur de Magement du sous réseau nord MANsrvNR Service : 10.104.70.4 Management : 10.104.67.173 10.104.70.128 Windows Serveur de Management du sous réseau sud MANsrvSD Service : 10.104.70.4 Management : 10.104.67.174 10.104.70.129 Windows NMS01 Service : 10.104.70.4 Management : 10.104.67.171 10.104.70.126 Solaris NMS02 Service : 10.104.70.4 Management : 10.104.67.172 10.104.70.127 Solaris Serveur de Magement du sous réseau nord MANsrvNR Service : 10.104.70.4 Management : 10.104.67.173 10.104.70.128 Windows Serveur de Management du sous réseau sud MANsrvSD Service : 10.104.70.4 Management : 10.104.67.174 10.104.70.129 Windows NMS01 Service : 10.104.70.4 Management : 10.104.67.171 10.104.70.126 Solaris NMS02 Service : 10.104.70.4 Management : 10.104.67.172 10.104.70.127 Solaris Serveur de Magement du sous réseau nord MANsrvNR Service : 10.104.70.4 Management : 10.104.67.173 10.104.70.128 Windows Serveur de Management du sous réseau sud MANsrvSD Service : 10.104.70.4 Management : 10.104.67.174 10.104.70.129 Windows NMS01 Service : 10.104.70.4 Management : 10.104.67.171 10.104.70.126 Solaris NMS02 Service : 10.104.70.4 Management : 10.104.67.172 10.104.70.127 Solaris Serveur de Magement du sous réseau nord MANsrvNR Service : 10.104.70.4 Management : 10.104.67.173 10.104.70.128 Windows Serveur de Management du sous réseau sud MANsrvSD Service : 10.104.70.4 Management : 10.104.67.174 10.104.70.129 Windows NMS01 Service : 10.104.70.4 Management : 10.104.67.171 10.104.70.126 Solaris NMS02 Service : 10.104.70.4 Management : 10.104.67.172 10.104.70.127 Solaris Serveur de Magement du sous réseau nord MANsrvNR Service : 10.104.70.4 Management : 10.104.67.173 10.104.70.128 Windows Serveur de Management du sous réseau sud MANsrvSD Service : 10.104.70.4 Management : 10.104.67.174 10.104.70.129 Windows NMS01 Service : 10.104.70.4 Management : 10.104.67.171 10.104.70.126 Solaris NMS02 Service : 10.104.70.4 Management : 10.104.67.172 10.104.70.127 Solaris Serveur de Magement du sous réseau nord MANsrvNR Service : 10.104.70.4 Management : 10.104.67.173 10.104.70.128 Windows Serveur de Management du sous réseau sud MANsrvSD Service : 10.104.70.4 Management : 10.104.67.174 10.104.70.129 Windows NMS01 Service : 10.104.70.4 Management : 10.104.67.171 10.104.70.126 Solaris NMS02 Service : 10.104.70.4 Management : 10.104.67.172 10.104.70.127 Solaris Serveur de Magement du sous réseau nord MANsrvNR Service : 10.104.70.4 Management : 10.104.67.173 10.104.70.128 Windows Serveur de Management du sous réseau sud MANsrvSD Service : 10.104.70.4 Management : 10.104.67.174 10.104.70.129 Windows Routage Réseau Plateforme de routage Réseau Serveurs de Supervision Plateforme de routage Réseau Routage Réseau Plateforme de routage Réseau Serveurs de Supervision Plateforme de routage Réseau Routage Réseau Plateforme de routage Réseau Serveurs de Supervision Plateforme de routage Réseau Routage Réseau Plateforme de routage Réseau Serveurs de Supervision Plateforme de routage Réseau Routage Réseau Plateforme de routage Réseau Serveurs de Supervision Plateforme de routage Réseau Routage Réseau Plateforme de routage Réseau Serveurs de Supervision Plateforme de routage Réseau Routage Réseau Plateforme de routage Réseau Serveurs de Supervision Plateforme de routage Réseau Routage Réseau Plateforme de routage Réseau Serveurs de Supervision Plateforme de routage Réseau
données personnelles, bancaires, stratégiques… ➢ Leur sensibilité : confidentialité, intégrité, disponibilité ➢ Leur attractivité : quelles sont les informations qui peuvent avoir un intérêt et une valeur pour un cybercriminel et à quelles fins ➢ Leur localisation : sur quels supports (CMDB), dans quelles applications, et comment sont-elles sauvegardées ➢ Leur circulation et « cycle de vie » : qui en est propriétaire et qui les administre , qui a accès à ces données et quels sont les processus métiers concernés ,… Se préparer à gérer une crise Cyber Ensemble pour un Internet meilleur CMRP: Ateliers de formation Cybersécurité et protection des données Session printemps 2020 Erroussafi Elmehdi 11 -12-13 Mars 2020, Kénitra
(risques) : 1. Elle a des conséquences considérées comme nuisibles à l’activité. ces conséquences peuvent être de gravité variable. un incendie, par exemple, peut endommager l’ensemble d’un site informatique ou, au contraire, être circonscrit aux poubelles de la cantine. On voit bien ici que le même événement menaçant « incendie » peut avoir différentes conséquences. 2 . Elle possède une probabilité d’occurrence. Cette probabilité est considérée comme suffisamment forte pour que l’on ait à s’en soucier. Quantifier les probabilités d’occurrence est un art difficile dans bien des cas, mais il est au moins possible de déterminer ce qui est plus probable par rapport à ce qui l’est moins, en raisonnant uniquement par valeur relative. 3 . Elle a une origine, soit humaine, soit technique, soit naturelle. Cette caractéristique est importante, car elle influencera les moyens mis en œuvre en prévention. Se préparer à gérer une crise Cyber Ensemble pour un Internet meilleur CMRP: Ateliers de formation Cybersécurité et protection des données Session printemps 2020 Erroussafi Elmehdi 11 -12-13 Mars 2020, Kénitra
et éducation des salariés ➢Des outils de contrôle d’accès et de protection des données Moyens de prévention et de detection Ensemble pour un Internet meilleur CMRP: Ateliers de formation Cybersécurité et protection des données Session printemps 2020 Erroussafi Elmehdi 11 -12-13 Mars 2020, Kénitra
Management), se sont des applications qui fournissent une analyse en temps réel de l’ensemble des alertes de sécurité pouvant être émises par les équipements (réseau, base de données) ou les applications du Si. ➢ Mise en place de sondes techniques et humaines. ➢ Systèmes de détection des intrusions (iDS Intrusion Detection System). Moyens de detection Ensemble pour un Internet meilleur CMRP: Ateliers de formation Cybersécurité et protection des données Session printemps 2020 Erroussafi Elmehdi 11 -12-13 Mars 2020, Kénitra
rapidement aux menaces, de travailler plus étroitement entre les équipes et de partager plus efficacement les connaissances. SOC : Principe et Enjeux Ensemble pour un Internet meilleur CMRP: Ateliers de formation Cybersécurité et protection des données Session printemps 2020 Erroussafi Elmehdi 11 -12-13 Mars 2020, Kénitra
et d'administration de la sécurité. L’objectif du SOC est de fournir des services de détection des incidents de sécurité, mais aussi de fournir des services pour y répondre. Il regroupe un ensemble de moyens humains, logistiques et techniques organisés et hautement qualifiés. SOC : Définition et objectifs Ensemble pour un Internet meilleur CMRP: Ateliers de formation Cybersécurité et protection des données Session printemps 2020 Erroussafi Elmehdi 11 -12-13 Mars 2020, Kénitra
et analyser les opérations malveillantes • Répondre aux incidents de sécurité • Surveiller en permanence et améliorer la posture de sécurité d’une organisation SOC : Mission Ensemble pour un Internet meilleur CMRP: Ateliers de formation Cybersécurité et protection des données Session printemps 2020 Erroussafi Elmehdi 11 -12-13 Mars 2020, Kénitra
une capacité à mobiliser rapidement des expertises complémentaires ➢ Développer sa capacité à contenir et répondre à des attaques en autonomie et doit également pouvoir faire appel à des expertises complémentaires nécessaires à la résolution de la crise en cas de besoin. ➢ Résolution d’un certain nombre d’incidents de sécurité dans son groupe de niveau 1. ➢ Cela se fait essentiellement au travers de la formalisation de procédures préétablies (fiches Réponse) qui détaillent la liste des actions à exécuter pour répondre à certains types d’incidents. ➢ Quand le SOC niveau 1 ne trouve pas de réponse procédure, il escalade à son niveau 2 (SOC niveau 2 ou CeRt), qui lui-même peut avoir à escalader vers des partenaires externes à un niveau 3 en cas de besoin. Moyens de réactions et de réponse Ensemble pour un Internet meilleur CMRP: Ateliers de formation Cybersécurité et protection des données Session printemps 2020 Erroussafi Elmehdi 11 -12-13 Mars 2020, Kénitra
Analysis RCA part du constat qu'il est plus judicieux de traiter les causes d'un problème que d'en traiter les symptômes immédiats. • Analyser les causes d'un problème permet d'en déterminer une solution définitive, et donc, empêcher qu'il ne se reproduise de nouveau. L’investigation : Le Root Cause Analysis Ensemble pour un Internet meilleur CMRP: Ateliers de formation Cybersécurité et protection des données Session printemps 2020 Erroussafi Elmehdi 11 -12-13 Mars 2020, Kénitra
une analyse des causes profondes dans d’autres domaines et disciplines. La méthode d’analyse utilisée pour identifier la ou les causes profondes d’un incident de cybersécurité dépend de : • Les circonstances de l’incident • les informations disponibles / découvrables • Les catégories de menace ou les vecteurs d’attaques RCA : Méthodologie Ensemble pour un Internet meilleur CMRP: Ateliers de formation Cybersécurité et protection des données Session printemps 2020 Erroussafi Elmehdi 11 -12-13 Mars 2020, Kénitra
cours Vous pouvez utiliser plusieurs méthodes ou une approche hybride. Un processus d’analyse des causes peut guider les analystes à travers les multiples questions et chemins pour identifier la ou les causes initiales et la vulnérabilité source ayant permis une attaque. RCA : Processus d’Analyse Ensemble pour un Internet meilleur CMRP: Ateliers de formation Cybersécurité et protection des données Session printemps 2020 Erroussafi Elmehdi 11 -12-13 Mars 2020, Kénitra
Cette méthode est utilisée dans de nombreuses techniques d’analyse de cause, y compris la phase d'analyse de Six Sigma. Continuez à demander «Pourquoi…?» Jusqu'à ce que la cause fondamentale soit identifiées ou jusqu’à ce qu’aucune autre donnée / information ne soit disponible. Auquel cas la cause racine demeure inconnue. RCA : The 5 Why Ensemble pour un Internet meilleur CMRP: Ateliers de formation Cybersécurité et protection des données Session printemps 2020 Erroussafi Elmehdi 11 -12-13 Mars 2020, Kénitra
questions, selon le problème. • Pour répondre aux questions Pourquoi, vous devez souvent également répondre à des questions liées : Quoi et Comment (ainsi que Qui et Quand). RCA : The 5 Why Ensemble pour un Internet meilleur CMRP: Ateliers de formation Cybersécurité et protection des données Session printemps 2020 Erroussafi Elmehdi 11 -12-13 Mars 2020, Kénitra
sur le SIEM ? • Parce que un grand volume de données était envoyé sur le lien internet • Pourquoi est ce qu’il y a eu un pic de données envoyées ? • Parce qu’une station de travail en particulier envoyait beaucoup de données sur le reseau. • Pourquoi est ce que le système envoyait cette masse de données ? • Parce qu’il y a un malware installé sur le système • Pourquoi le malware etait execute sur le système ? • Parce que l’utilisateur a désactivé l’antivirus. • Pourquoi le malware était installé sur le système ? • Parce que l’utilisateur a cliqué sur un lien sur un mail fishing. The 5 Why : Exemple Ensemble pour un Internet meilleur CMRP: Ateliers de formation Cybersécurité et protection des données Session printemps 2020 Erroussafi Elmehdi 11 -12-13 Mars 2020, Kénitra
quand, pourquoi, comment): • Qu'est-il arrivé? • Les données sortantes volumineuses ont été détectées par l'outil SIEM. • D'où provient le trafic? • Il est né sur un poste de travail local. • Qui / qu'est-ce qui envoyait les données? • Un logiciel malveillant, fonctionnant comme un processus caché, envoyait les données. • Pourquoi / comment les logiciels malveillants ont-ils été installés? • L'utilisateur a cliqué sur un lien dans un courrier électronique de phishing. 5 W with a twist ! 5W+H Ensemble pour un Internet meilleur CMRP: Ateliers de formation Cybersécurité et protection des données Session printemps 2020 Erroussafi Elmehdi 11 -12-13 Mars 2020, Kénitra
à un effet. • Il peut être utilisé comme outil de modération d’un brainstorming et comme outil de visualisation synthétique et de communication des causes identifiées. • Il peut être utilisé dans le cadre de recherche de cause d'un problème ou d'identification et gestion des crises et incidents. RCA : Diagramme de Ichikawa Ensemble pour un Internet meilleur CMRP: Ateliers de formation Cybersécurité et protection des données Session printemps 2020 Erroussafi Elmehdi 11 -12-13 Mars 2020, Kénitra
Les 5M RCA : Diagramme de Ichikawa Ensemble pour un Internet meilleur CMRP: Ateliers de formation Cybersécurité et protection des données Session printemps 2020 Erroussafi Elmehdi 11 -12-13 Mars 2020, Kénitra
un Internet meilleur CMRP: Ateliers de formation Cybersécurité et protection des données Session printemps 2020 Erroussafi Elmehdi 11 -12-13 Mars 2020, Kénitra
peut être dressé. Les actions choisies doivent avoir pour objectif d’atténuer l’incident, mettre en utilisation de nouveaux indicateurs et améliorer les détection. Analyse, la suite … Ensemble pour un Internet meilleur CMRP: Ateliers de formation Cybersécurité et protection des données Session printemps 2020 Erroussafi Elmehdi 11 -12-13 Mars 2020, Kénitra
les causes premières (correctifs, solutions de contournement, modifications, par exemple). • Récupérez et sécurisez le ou les systèmes affectés. • Communiquer / coordonner avec les autres. • Suivre toute information de suivi. • Organisez une réunion post mortem sur les leçons tirées. • Mettre en œuvre des mesures d'atténuation sur d'autres systèmes vulnérables. • Ajouter de nouvelles signatures / indicateurs IOC / prévention / scan de l’existant. • Fermer l'incident. Analyse : La suite Ensemble pour un Internet meilleur CMRP: Ateliers de formation Cybersécurité et protection des données Session printemps 2020 Erroussafi Elmehdi 11 -12-13 Mars 2020, Kénitra
d’activité : 1. Accepter le risque : cela consiste à ne rien faire face au risque. 2. Eviter ou supprimer le risque, en éliminant les conditions de sa réalisation : on effectue alors un changement important qui fait que le risque ne s’applique plus. 3. Réduire le risque, en jouant sur ses deux paramètres de probabilité d’occurrence et de coût/impact . 4. Transférer le risque à une autre entité par la sous-traitance ou l’assurance . Plan de continuité d’activité Ensemble pour un Internet meilleur CMRP: Ateliers de formation Cybersécurité et protection des données Session printemps 2020 Erroussafi Elmehdi 11 -12-13 Mars 2020, Kénitra
de tout Plan de Continuité d’Activité (PCA) et il doit définir pour chaque partie critique du Si, en sus de toutes les autres mesures visant à se prémunir d’un sinistre. le plan de reprise d’activité doit donc permettre, en cas de sinistre sur une partie critique du Si, de basculer sur un système de relève capable de suppléer le système mis en défaut et donc assurer la continuité des services et opérations informatiques nécessaires à la survie de l’entreprise. il existe plusieurs niveaux de capacité de reprise, et le choix doit dépendre des besoins exprimés par l’entreprise. Plan de reprise d’activité Ensemble pour un Internet meilleur CMRP: Ateliers de formation Cybersécurité et protection des données Session printemps 2020 Erroussafi Elmehdi 11 -12-13 Mars 2020, Kénitra
procédures (techniques, organisationnelles, sécurité) qui permet à une entreprise de prévoir par anticipation, les mécanismes pour reconstruire et remettre en route un système d'information en cas de sinistre important ou d'incident critique PRA : Définition Ensemble pour un Internet meilleur CMRP: Ateliers de formation Cybersécurité et protection des données Session printemps 2020 Erroussafi Elmehdi 11 -12-13 Mars 2020, Kénitra
de planification Procéder à une évaluation des risques Établir des priorités pour traiter l’incident Déterminer les stratégies de récupération Organiser et documenter un plan écrit Le développeme nt de critères et procédures d'essai Tester le plan Obtention de l'approbation du plan Etablissement d’un plan de reprise d’activité Ensemble pour un Internet meilleur CMRP: Ateliers de formation Cybersécurité et protection des données Session printemps 2020 Erroussafi Elmehdi 11 -12-13 Mars 2020, Kénitra
L’entreprise doit s’assurer que les personnes internes peuvent être mobilisées au delà des heures de travail toute en respectant les dispositions du code de travail. o Impact Achat : L’entreprise devra s’assurer qu’elle peut bien mobiliser les prestataires externes nécessaires dans son dispositif. Cela suppose que ces conditions d’intervention « en mode crise » soient clairement prévues et négociées dans les contrats de services externes. o Impact services généraux/sécurité : prévoir l’accé au lieu de la cellule de crise en HO et HNO (cela peut nécessiter un processus spécial d’accréditation et d’attribution de badges d’accès) et mettre en œuvre des moyens logistiques pour les personnels mobilisés sur site (transfert sur site des personnes en taxi, mise en place d’un service de restauration…). Anticiper les situations de blocage en gestion de crise Ensemble pour un Internet meilleur CMRP: Ateliers de formation Cybersécurité et protection des données Session printemps 2020 Erroussafi Elmehdi 11 -12-13 Mars 2020, Kénitra
tester en le mettant à l’épreuve de situations réelles l’est tout autant. ➢ Il y a toujours des écarts et des surprises lorsque l’on passe de la théorie à la pratique et il vaut mieux, pour les entreprises, les découvrir dans un contexte simulé sans enjeux opérationnels réels plutôt que lors d’une vraie crise. ➢ Les entreprises ont donc tout intérêt à s’évaluer et à s’entraîner régulièrement en organisant des exercices de gestion de crise qui doivent viser un double objectif : o Tester le niveau de maturité de l’organisation et sa capacité de détection et d’escalade des incidents. o Tester la capacité de réponse opérationnelle du dispositif de crise . Tester son dispositif Ensemble pour un Internet meilleur CMRP: Ateliers de formation Cybersécurité et protection des données Session printemps 2020 Erroussafi Elmehdi 11 -12-13 Mars 2020, Kénitra
mehdierroussafi
ju_hnny5
puhitaku
recruitengineers
pacificspatialsolutions
nakasho
yu4u
yushin_n
handy
taishin
shoota
heleeen
oracle4engineer
philhawksworth
sachag
bryan
andyhume
keavy
samanthasiow
danielanewman
eileencodes
marcduiker
soudai
jonyablonski
tmm1
