ARS cours 1 - HackMD

--- title: ARS cours 1 authors: jeremy.delbarre tags: ARS, jeremy.delbarre --- # gestion de crise Lors d'une gestion de crise important de gerer le signal faible et fort **signal fort**:alarme dans un siem qui montre une actions dangeureuse **signal faible**: admin en vac mais connexion de l'admin détecté les 3 critére pour passer de incident a crise: - impact - niveau de décision supérieur - moyen plus important necéssaire Il vaut mieux lancer une crise pour la régler rapidement que rester en incident et se faire déborder. l'accumulation de petite attaques peut transformer un incident en crise. les crises sont aujourd'hui sont de plus en plus sévère notamment rançon. Deux type d'équipe: - equipe de crise hors cadre: qui s'entraine a tout les moyens necéssaire etc - equipe de crise a base de plan: des procédure sont prévu pour chaque système Il est important de connaitre toutes les informations necéssaire pdt une attaque pour ne pas perdre de temps lors d'une gestion de crise. Ces informations sont importantes pour la mise en place d'un plan. Certains outils sont très sensible et sont des cibles parfaites pour les attaquants. Lors d'une attaque vous aller prendre des décisions qui impacteront plus ou moins le métier. le métier va devoir aussi déclencher leur plan pour continuer au maximum possible le métier durant l'attaque un AD lorsqu'il est infecté va devoir etre reinstaller installation en dehors de réseau c'est un AD bascule. un redémarrage de SI est complexe dépendances, système plus a jour # PCA une gestion de crise peut déclencher une PCA # impact RH et logistiques compliquer pour les RH de comprendre le temps necéssaire (4-5 mois). Il faut passer sur une gestion de crise de durée avec avec des personnes pour la nuit. Pour l'état, il y a des réservistes. Pour des entreprises, ils peuvent faire appel a des prestataires ou grace a des contrats. Etude de la crise après pour comprendre ce qui c'est passé # intéret de la confidentialité et de l'initiative pas de journaliste etc sur le dos ce qui peut permettre d'avoir de l'initiative sur l'attaquant. car si l'attaquant découvre qu'on l'a repéré il peut changer de mode opératoire ou décider de tout casser. faire des simulation permet donc de mieux se préparer de faire des plans etc... # Audit norme la plus importante pour l'audit ISO 19001 l'audit va permettre de mesurer l'ecart entre la doc et la mise en place sur le terrain (ecart d'application) si pas de doc sur des mesures (ecart documentaire) et si les technique ont mis en places des chose sans en parler a la direction c'est de la surprotection qui peut etre non necéssaire. Chaque écart doit etre documenté avec une preuve qui peut etre de tout type. non-conformité majeure: pas de certification non-conformité mineure réevaluation ultérieur remarque: hors scope de l'audit mais importante. ## déroulé d'un audit programme d'audit d'une section particulière comme le SI par exemple - nomination d'un responsable d'audit - qu'est ce que l'on souhaite audité, définir le périmètre, la profondeur etc - revue documentaire (pas forcément sur place) - mesurer la durée de l'audit (mise en place d'emploi du temps) - une fois l'audit terminer il faut faire un rapport - il y a ensuite un suivi de l'audit ## audit passi audit avec un niveau d'exigence particulier avec différent type d'audit: - intrusion - audit de code - configuration certains audit ne peuvent pas être fait seul est doivent etre couplé avec d'autre pour être intérressant. audit PASSI LPM avec des points de controle supplémentaire chaque auditeur doit avoir la qualification