Directive de la remontée d`incident de sécurité

Directive de la remontée d'incident de sécurité
Information Security Guidelines
Version : 1.00
20 juin 2014
ISMS
(Information Security Management System)
Directive de la remontée d'incident de
sécurité
Version control – please always check if you are using the latest version.
Doc. Ref. :isms.051.security incident escalation directive.fr.v.1.0
Release
Status
Date
Written by
FR_1.0
Final
01/06/2014
Alain Houbaille
Edited by
Approved by
Remarque : Ce document intègre les remarques formulées par un groupe de travail auquel ont participé les personnes
suivantes : messieurs Bochart (BCSS), Costrop (Smals), Lévêque (ONVA), Houbaille (BCSS), Petit (FMP), Perot (ONSS),
Quewet (SPF Santé publique), Symons (ONEm), Van Cutsem (ONSS-APL), Van der Goten (INAMI).
Directive de la remontée d'incident de sécurité
Information Security Guidelines
Version : 1.00
20 juin 2014
TABLE DES MATIÈRES
1.
INTRODUCTION................................................................................................................................................... 3
2.
SCOPE ................................................................................................................................................................. 3
3.
GROUPE CIBLE..................................................................................................................................................... 3
4.
POLITIQUE DE LA GESTION D’INCIDENT DE SÉCURITÉ.......................................................................................... 3
4.1. OBJECTIFS ............................................................................................................................................................... 3
4.2. QU’EST-CE QU’UN INCIDENT DE SÉCURITÉ ? .................................................................................................................. 3
4.3. CRITÈRES DE DÉCISION .............................................................................................................................................. 4
4.3.1.
Définitions des critères de remontées d’incident ........................................................................................ 4
4.3.2.
Tableaux de priorisation ............................................................................................................................. 5
4.4. CLASSIFICATION DES INCIDENTS DE SÉCURITÉ ................................................................................................................. 5
5.
PROPRIÉTAIRE DU DOCUMENT ........................................................................................................................... 8
6.
RÉFÉRENCES ........................................................................................................................................................ 8
7.
ANNEXE A: LIEN AVEC LA NORME ISO 27002....................................................................................................... 8
P2
Directive de la remontée d'incident de sécurité
Information Security Guidelines
Version : 1.00
20 juin 2014
1. Introduction
Ce document fait partie des politiques de sécurité de la sécurité sociale et interagit avec plusieurs autres
politiques et procédures dont elle fait partie intégrante. Ce document concerne les exigences de la norme
minimale section 13 à propos de la gestion des incidents de sécurité de l'information.
Le présent document décrit la classification des incidents de sécurité, telle qu'elle est utilisée par les institutions de
la sécurité sociale. Cette classification est utilisée dans le processus de gestion des incidents de sécurité et fournit
des directives claires relatives à la remontée d’incident au sein de la sécurité sociale.
2. Scope
La présente politique contient les directives relatives à la remontée d’incidents de sécurité au sein de la sécurité
sociale sur base d’une classification.
3. Groupe cible
Cette politique est d’application pour toutes les institutions de la sécurité sociale.
4. Politique de la gestion d’incident de sécurité
4.1. Objectifs
La politique de remontée des incidents de sécurité vise à:
•
•
Classifier les incidents de sécurité de l’information,
Garantir la notification des événements et des failles liés à la sécurité de l’information aux parties
prenantes.
4.2. Qu’est-ce qu’un incident de sécurité ?
Tout évènement avéré, indésirable et/ou inattendu, impactant ou présentant une probabilité d’impacter de
manière significative la sécurité de l’information dans ses critères de disponibilité, d’intégrité, de confidentialité et
de non-répudiation.
P3
Directive de la remontée d'incident de sécurité
Information Security Guidelines
Version : 1.00
20 juin 2014
4.3. Critères de décision
Les tableaux ci-dessous définissent les critères de décision permettant d’établir le niveau de priorité de remontée
d’action pour chaque scénario d’incident de sécurité listé dans la section 4.4.
4.3.1.
Définitions des critères de remontées d’incident
Valeur
1
Priorité - Gravité d’incident – Action de remontée de sécurité d’incident
3
Le conseiller en sécurité de l’institution doit être informé au moins au travers un
rapportage périodique (ex : statistique).
2
Le conseiller en sécurité de l’institution est informé dans la journée et celui-ci
s’assure que l’incident de sécurité est traité dans les meilleurs délais.
1
Le conseiller en sécurité est informé dans les plus brefs délais. Le conseiller en
sécurité s’assure que le service de sécurité de la banque carrefour et le
responsable de l’extranet aient été avertis et que les actions urgentes ont été
prises (incident majeur selon la norme «Gestion d’incidents relatifs à la
sécurité de l’information »).
Niveau
2
Urgence = Etendue de la propagation de l’incident ou des conséquences
L
Incident de sécurité isolé
M
Incident de sécurité pouvant se propager rapidement à l’institution
H
Incident de sécurité dont les conséquences peuvent se propager rapidement à
d’autres institutions de la sécurité sociale
Niveau
L
M
H
Impact Potentiel
•
Impact mineur au niveau opérationnel (dégradation des ressources SI),
•
peu d’utilisateurs affectés,
•
Aucune atteinte à l’image de l’institution.
•
Impact modéré au niveau opérationnel (dégradation effective des
ressources du SI, risque d’altération ou de perte d’information),
•
population modérée d’utilisateurs affectés,
•
risque potentiel d’atteinte à l’image de l’institution
•
Impact majeur au niveau opérationnel (altération des ressources du SI,
perte de confidentialité,..),
•
population importante d’utilisateurs impactés,
•
atteinte sévère à l’image de l’institution.
1
Priorité 3= basse ; Priorité 1= haute
2
L= low – M= Medium – H=High
P4
Directive de la remontée d'incident de sécurité
Information Security Guidelines
Version : 1.00
4.3.2.
20 juin 2014
Tableaux de priorisation
Impact\Urgence
L
M
H
L
3
3
2
M
3
2
1
H
2
1
1
4.4. Classification des incidents de sécurité
Classes d’
incidents
Collecte
Types
d’incidents
Scanning
d’informations
Description /Exemples
Attaques qui consistent à envoyer des requêtes
Impact
Urgence
P
L
M
3
à un système pour découvrir ses failles. Ceci
inclut également tout type de processus de test
pour collecter des informations sur les hôtes, les
services et les comptes. Exemple : fingerd,
requête DNS, ICMP, SMTP (EXPN, RCPT,…)
Sniffing
Observer et enregistrer le trafic réseau (Ecoute)
M
M
2
Social Ingeneering
Collecte d’informations sur un être humain sans
H
L
2
H
M
1
L
L
3
L
M
3
M
M
2
M
M
2
utiliser de moyens techniques (ex : mensonges,
menaces,…)
Phishing au nom de
La technique consiste à faire croire à la victime
l’institution
qu'elle s'adresse à un tiers de confiance dans le
but de perpétrer une usurpation d'identité.
Tentatives
Exploiter des
Une tentative pour compromettre un système ou
d’intrusion
Vulnérabilités
interrompre tout service en exploitant les
connues
vulnérabilités avec des identifiants standardisés
comme un nom CVE (ex : Buffer overflow, Portes
dérobées, cross side scripting ,etc).
Intrusions
Tentatives de
Tentatives de connexion multiples (vol ou crack de
connexion
mots de passe, force brute).
Signature d’une
Détection d’un comportement anormal, spam avec
nouvelle attaque
contenu malvaillant non détécté par les mesures
potentielle
de sécurité
Compromission d’un
compte privilégié 3
3
Une compromission réussie d’un système ou
d’une application (service). Ceci peut être causé à
Compte privilégié = Compte Administrateur d’un système
P5
Directive de la remontée d'incident de sécurité
Information Security Guidelines
Version : 1.00
Classes d’
incidents
Code malicieux
Types
d’incidents
Description /Exemples
Compromission d’un
distance par une nouvelle vulnérabilité ou une
compte non privilégié
vulnérabilité inconnue, mais aussi par un accès
Compromission d’une
application sans
répercussion externe
Compromission d’une
application avec
répercussion externe
Virus, Spyware, ver,
Cheval de Troie, Dialler
20 juin 2014
Impact
Urgence
P
M
M
2
M
M
2
H
M
1
M
M
2
M
H
1
H
M
1
M
M
2
H
M
1
M
M
2
M
M
2
L
L
3
local non autorisé.
Logiciel intentionnellement introduit dans un
système pour un but nocif. L’interaction d’un
utilisateur est normalement nécessaire pour activer
ce code. Constat d’une infection réussie.
Disponibilité
DDOS ou DOS
Dans ce type d’attaque, un système est bombardé
réussie
avec une grande quantité de paquets que les
processus deviennent lents ou que le système
Sabotage
crache. Exemple d’un Dos distant : SYS-a,
PINGflooding ou des bombes E-mails ( DDOS :
TFN, Trinity,etc).
Toutefois, la disponibilité peut aussi être affectée
par des actions locales (ex :
destruction,interruption d’alimentation électrique,
etc).
Panne Hardware
Panne hardware qui risque de fortement impacter la
continuité opérationnelle de l’institution
Panne Hardware
Panne hardware qui risque de fortement impacter la
avec répercussion
continuité opérationnelle de la sécurité sociale
externe
Mauvaise utilisation
Accès non autorisé
Un utilisateur a accès au système pour lequel il n'a
des systèmes
intentionnel ou non
pas été officiellement autorisé ; accès inapproprié en
d’information, erreur
un système de production ; détection d’une brèche
système
de sécurité
Affaiblissement des
Un utilisateur a involontairement abaissé la sécurité
mesures de sécurité
d'un système de l’institution.
des systèmes
d’information
Mauvais
Système peu performant dû à un manque d’espace
fonctionnement
disque, délais de réponse important,…
système
P6
Directive de la remontée d'incident de sécurité
Information Security Guidelines
Version : 1.00
Classes d’
incidents
Types
d’incidents
Description /Exemples
Activité illicite,
Usage non autorisé
L’utilisation des ressources à des buts non
Fraude,Vol
des
autorisés, incluant des activités à but lucratif (ex.
ressources
l’usage de système interne pour participer à des
20 juin 2014
Impact
Urgence
P
H
L
2
M
M
2
H
L
2
M
L
3
actions illégales, envoi vers des sites externes de
données internes sensibles.)
Droit d’auteur
(Copyright)
Vendre ou installer illégalement des logiciels
commerciaux ou autres matériels sous droit
d’auteur (ex : warez); problème de suivi des
licenses
Mascarade
Type d’attaques dans lequel, une entité assume
illégitimement l’identité d’un autre dans le but de
bénéficier de lui.
Vol ou perte de
Vol ou perte d’un pc portable dans le train,
dispositif mobile
carjacking ou cambriolage dans la maison
Cambriolage
Cambriolage au sein d’une institution …..
H
L
2
Une ou plusieurs adresses e-mail de l’institution
M
L
3
M
M
2
H
H
1
d’institution
Contenu Abusif
Spam
est trop spammée ou harcelée.
Atteinte à l’image
Publication ou diffusion de données diffamatoires
ou gènantes envers l’institution (blog de
discussion, réseaux sociaux,….).
Autre
Tout incident qui ne
Si le nombre d’incidents dans cette catégorie croît,
fait pas partie des
ceci indique que le schéma de classification doit
catégories citées ci-
être revisé.
dessus.
P7
Directive de la remontée d'incident de sécurité
Information Security Guidelines
Version : 1.00
20 juin 2014
5. Propriétaire du document
Le maintien, le suivi et la révision de la présente politique relèvent de la responsabilité du service Sécurité de
l'information de la BCSS.
6. Références
Les références utilisées sont:
- les normes minimales 2014 de la BCSS
- ENISA : Guide de bonne pratique pour la gestion d’incident de sécurité
- Les standards :
o la norme ISO 27002:2013: code de bonnes pratiques pour la gestion de la sécurité de
l’information
o la norme ISO 27035:2001: Gestion des incidents de sécurité
7. Annexe A: Lien avec la norme ISO 27002
Ci-après nous indiquons les principales clauses de la norme ISO 27002 qui ont, de manières standard, un rapport avec
l’objet de la présente politique.
norme ISO 27002
Politique de sécurité
Oui
Organisation de la sécurité de l’information
Oui
Gestion des ressources d’entreprise
Exigences de sécurité relatives au personnel
Sécurité physique
Sécurité opérationnelle
Sécurité d'accès logique
Maintenance et développement de systèmes
d’information
Maîtrise des incidents de sécurité
Oui
Protection de l'information dans le cadre de la
continuité de l'entreprise
Respect/audit
P8