ARS .1 - COURS INTRODUCTION DE LA GESTION D`INCIDENTS

--- title: ARS .1 - COURS INTRODUCTION DE LA GESTION D`INCIDENTS tags: ARS, moemoea.fierin --- # Cours d'introduction de la gestion d'incident # Introducion gestion de crise On a balayer - la notion de strategie hybride - problematique geopolitique derriere il n'existe pas de def de cyberattk: - certain vont penser atk informationnel - d'autre une attaque physique - on a une notion de seuil de souvenrainete qui peut etre diff outil dev ou on insere des generateurs de code les pays s'attribue du code notion de seuil, demarquage, complexifie les flux de preparation de l'env, utilisation de l'outil economique il faut se dem; "quelle est la nationalité de ma société?"" **signal fort:** qqchose de concret; un signal d'alarme par ex. **signal faible:** qqchose que notre orga va generer, une connexion d'administrateur qui est en vacances. a quelle moment on est en crise et pas en incident: - l'impact - le niveau de décision (il faut des des bien au dessus que celle de dhab: comme desactive le SI) Au niveau ethatique, les impacts: - l'impact avéré: qu'est ce que j'ai deja dans le cadre de la cyeberattk - l'impact potentiel: qu'est ce qu'il va se passer, j'ai plusieurs petit element mais l'accumulation fait qu'on arrive a qqch de plus grave L'entite/l'entrise doit discuter avec l'ANSSI .. Objectif d'un état: -savor classifier les incidents, analyser, se poser des q? sur l'accumulation des effets, se poser des q? sur certaines menaces, et la on va parler de dissuasion (en physique c'est l'arme nucléaire) => rapport solarium rapport solarium: - on active toutes les partie (judiciaire, ...) - on a une doctrine national qui est claire pour l'acteur d'en face On a des attributions avec un degrée de confiance. Il y'a eu pas mal d'attrib présentée assez clairement alors que finalement ce n'etait pas si claire que ca quand on lisait le bulletin. Il faut donc bien comprendre le contexte dans lequel on est en crise. # Gestion de crise Gestion de crise: 2 maniere: - Équipe commando (n'importe qu'elle situation, on se prepare a tout gerer) => c'est de la gestion de crise hors cadre. 7/7j, qui est entraine pour ça - Gestion a base de plans; on a un plan pour tout, pour un crash important, des plans blancs. Quand on est dans une entreprise il faut savoir dans quelle type de gestion de crise on est. Il faut faire de la plannification: pour etudier ce qu'il faut faire en cas de gestion de crise. Trouver la personne qui peut appuyer sur le bouton. ## Les étapes ![](https://i.imgur.com/GKBWGiD.png) 1) la gestion de risque 2) la gestion de crise 3) la gestion de continuite Au niveau de l'organisation c'est pas instantannée: - y'a incomprehension des impact - y'a difficulter /resistances aux changements. On a tjrs des elements plus sensibles que d'autre: - l'AD - le coeur de réseau - les proxy - outils d'admin - outils de supervision - Les outils qui ont des privilèges A vouloir industrialiser on a creer se risque systemique, si on prend l'admin la on peut tout casser. C'est hypersensibe pour le SI, il faut donc etre particulierement vigilent. si un de ces elements est touche donc on est dans un risque systemique il faut reagir tout de suite. Il faut faire en sorte qu'on trouve tout dans le systeme sinon l'attaquant va revenir et va potentiellement etre plus agressive. Donc cette operation de changement des cles/renforcer ca s'appelle **une operation de bascule**. Notre crise demarre. Il faut gerer la cellule, convoquer les acteurs de la crise qui vont prendre les premiere mesures (comme bloquer les compte admin par ex) et peut etre aussi convoquer des ressources additionnele. de la part des partenaire on va recuperer de info: - info renforcer = quelle type de porte il a utiliser - info processedur = mesure d'ascennisemment des choses qu'on peut faire des maintenant en pre-bascule. Il y' des mesure qu'on fait pendant la bascule. Il va falloir prioriser les mesures pour savoir ce qu'on va faire en pre-pendant et post. Et ensuite mettre en place les equipes. Exemple mesure ---- Les mesure pre: - modif les config - desactiver certaines choses - supprimer des compte - ameliorer la gestion des logs les mesures pendant: - j'ai une machine compromise: en pre j'installe et je branche en reseau et pendant je debranche et je rebranche une machine saine a la place. -- Les mesures sur active directory sont particuliere: dans le SI il y'a des elements qui ne sont pas fait pour etre arrete: comme l'AD. Une fois mis en route il ne peut que croite. Quand on l'arrete on va avoir toutes les depenses qui vont devenir instable: les serveurs webs, de messagerie, DNS, .. tout ca en instable. En faisant ca on fait un enorme shutdown du SI. L'AD demande un nettoyage particulier: si on a rajouter des droits, des GPO, des tickets kerberos (golden tickets) il va falloir tout reset, donc nettoyer finement. Si le cyberattquant a pris controle du domaine il faut le reinstaller il y'a des preparation en amont: installer des domaine controlleur sur des machines saine. Tomber sur un domaine controlleur pivot par foret et par domaine. (DC pivot) Sur ce domaine pivot on fait une copie et on fait un nettoyage du contenue de l'allée. on replique les deux forets en ayant fait tout le nettoyage du domaine controlleur vers se nouveau domaine et puis on remet la replication en marche Derrière ca veut dire que les admins doivent partir sur des postes d'admin sain. Il faut preparer les machines avant, preparer des OS, ... Les mesures en pré-bascule sont importante de manière a condensee pendant la bascule. Le gestion de crise peut declenche des PCA (activité) PCA: - building plus accessible donc on change de building (dans les banque par exemple) Les difficultés gestion de crise: ca peut durer plusieurs mois. La gestion de crise peut durer longtemps le temps qu'on repere l'attaque. Il faut plus de personne pour la gestion de crise pour gerer l'astreinte constant. Affaire Saint gobain (notpetya) Il faut gerer les problemes de logistique (repas, acces la nuit, ..) Il faut gerer les passages de consignes (l'information, s'assurer qu'il n'y ai pas de perte au niveua des consignes) Des questions vont nous etre posés apres la crise. Peut etre 2-3ans apres il y'aura peut etre aussi des: Audit interne, Audit externe, enquete judiciaire: on nous demandera d'expliquer tel jours a tel heure pk on a pris tel deciscion, repondre a des partenaire (on était connectée, pk nous on n'est pas compromis), => il faut maintenir une main courante (prendre qqn a la rigeur) qui va noter toutes les informations on a pris tel descicion a tel heure on a envoyer l'heure d'execution a tel heure. Il faut faire ce suivit minutieusement. Sinon on nous prendra sur une justification. Dans une crise on ne revient pas a l'etat normal, on revient a l'etat NOMINAL (par ce que l'etat normal a generer la crise) C'est mieux de travailler en confidentialité, il faut communiquer au bon moment pour pas avoir la presse sur le dos, les partenaire, etc... L'attaquant s'il se rend compte qu'on est courant pour l'attaque il peut tout casser donc a eviter. C'est donc important de garder l'initiative et de maintenir cette confidentialité. L'attaquant peut aussi etre casse couille si on l'eject du compte admin, il peut creer des pannes, desactiver les compte-admin. Donc la simulation, faire des plans peut eviter tout un tas de probleme. Un esprit de gestion de crise ça s'entretient (quand on est regulierement en gestion de crise on a l'habitude du management..) Tout ca doit etre une oportunité (une crise n'est pas uen fatalité) permettant de modifier les elements qui doivent l'etre.. Definition main courante: Une main courante est une déclaration d'événements dont une personne a été victime ou témoin. Il s'agit d'un simple rapport de faits, qui ne vise pas une poursuite en justice, mais peut toutefois constituer un début de preuve en cas de plainte ultérieure. # Audit qu'est ce qu'un audit, qu'est ce que ca veut dire le metier d'audit test d'intrusion = c'est comme le dev, on est la pour tester la resistance du SI Audit c'est plus goblae ca peut inclure un volet test d'intrusion mais pas forcement Audit est extremement bien definit: norme ISO 19011 ## Norme 19011 norme 19011: 2 parties: - un proces qui va manager (audit vertical) programme d'audit - les etapes clés d'un audit, qu'est cequ'on doit faire pendant cet audit, qu'est ce qu'on ne doit pas oblier de faire, plan d'audit Cette norme est la methodologie pour faire un audit quelqu'il soit. On va le retrouver quand on fait: - on audit une entité - audit obligatoire dans les SI de management 27001 - audit de norme - audit de qualification (auditer pour avoir une qualif de l'anssi par ex on va avoir ce ref a utiliser) C'est la norme incontournable. Elle est international. Il faut la maitriser. Quand on prend l'audit on est sur un processus independant, systematique pour obtenir des preuves d'audits. L'audit est une mesure d'écarts: on va vouloir le mesure par rapport a qqchose (élément de comparaison) ![](https://i.imgur.com/p1uy6UX.png) Documents Terrain: la réalité ce qui est implémenté Socle reglèmentaire. Un audit va chercher à mesure les écarts entre ces critères. écart d'application: on l'a sur le papier mais pas mis en oeuvre. écart documentaire: on l'a en soit mais c'est pas documenté. L'audit est la pour mesure de maniere independante et neutre par rapport a des critère d'audit. Les preuves d'audit: - qualitative - quantitativ - bout de code tout élément peut servir de preuve d'audit. Quand on a un écart. conformite non-conformite, ces ecarts peuvent être majeures ou mineures. - non conformité majeures (c'est mort on n'a pas la certif) - non conformité Mineurs (on se revoit au prochaine audit) - les remarques (ne rentre pas dans le cadre de l'audit mais elles sont pas top) les acteurs de l'audit: - auditeur - responsable d'audit - audité - celui qui commande l'audit: commanditaire de l'audit L'audit touche plusieurs champs: processus, ... On va donc avoir une equipe d'audit avec des profils adapte par rapport au travail de l'audit. Il faut donc une phase de preparation qui est souvent bien superieur a celle de l'audit en lui même. Dans l'audit on est indepdnant on fait du constat factuel. Il faut une forme de diplomatie, il faut du savoir etre humain pour faire passer les pillules quand on explique a qqn que c'est pas ce qu'il faut faire, il faut du savoir etre. Sur un audit l'humain est qqchose d'essentiel. un audit ca se passe comment?? ## Deroulement de l'audit Sequence classique. On a définit une cible 1) nomination d'un responsable de l'audit pour definir l'objectif, le critère, comprendre l'organisation, on doit lui explique qu'est ce qu'il y'a, les lieu, affiné la portée de l'audit, combien de personne il va falloir. Il y'a tout un travail de plan a mettre en oeuvre pour essayer de degrossir. 2) L'equipe d'audit va commencer a analyser les ecarts entre la politique et les documentaires. 3) Preparer l'activite sur le site. Pour compressr les entretient (durer de 15j-3semaine) on a bien tout preparer au prealable on connait qui on voit quand, on sait quelle question on va poser, on sait qu'elle preuve tech on va leur demande, ... On preparer les outils , les documents de travail, on prepare le plan d'audit et on le valide avec l'audité. 4) Activité d'audit: une reunion d'ouverture, puis on communique pendnat l'audit avec l'audité, recueuillir et verifier les informations. On va faire des constats, puis on va arriver a la reunion de cloture. C'est la qu'on dit ce qu'il a été, ce qu'il n'a pas été. 5) Rapport d'audit: reprendre tout les elements, rentres dans le details ce qu'on a dit a la reunion completer avc les remarques. Dans cette periode la on communique avec l'audite uniquement pour confirmer. 6) Suivi de l'audit Le programme d'audit: outil de controle du management. I l y'a des points de controle L'audit permet de faire une photo. On a un comité d'audit qui va se reunir pour savoir combien on va mettre la dedans et puis apres on peut mettre en oeuvre un programme, faire des lettres de missions pour chacun des chefs d'audit. On va parler de vague d'audit. ## PASSI Permet d'avoir un certain niveau dans nos audits. Referentiel PASSI. Devenu obligatoire pour certains par ex au niveau d'administration electronique. audit de code, d'archi, .. Il faut s'assurer de la portée de l'audit. Un audit de test d'intrusion ne peut pas etre fait seul. On va etablir une convention. Un audit PASSI LPM. Pour les OIV avoir un niveau de securite dans l'audit. Il y'aura des points d'audit supllémentaire. Il y'a des techniques de contre-audit: - la secretaire qui doit appeller a tel heure - je met 3 plombe a sortir le document ## REF https://www.ssi.gouv.fr/entreprise/qualifications/qualifications-de-prestataires/