> Tech > Réponse à incident, pas de recette miracle mais des ingrédients essentiels

Réponse à incident, pas de recette miracle mais des ingrédients essentiels

Tech - Par Arnaud Lorgeron - Publié le 28 avril 2015
email

Dans une démarche d’encadrement et de rationalisation du domaine de la SSI, l’ANSSI publie régulièrement des guides à destination tant des prestataires que des utilisateurs.

Réponse à incident, pas de recette miracle mais des ingrédients essentiels

 

Avant le récent référentiel PDIS (Prestataires de Détection des Incidents de Sécurité), le référentiel PRIS (Prestataires de Réponse aux Incidents de Sécurité) avait initié la thématique des incidents de sécurité. De toute évidence, le PRIS repose notamment sur l’ISO 27035. Ce dernier document est lui-même une référence internationale en la matière mais est-il pour autant suffisant et complet ?

Présentation ISO 27035 et NIST 800-61

L’ISO 27035, dédiée à la gestion des incidents de sécurité de l’information, peut être considéré comme un document de « politique » de gestion d’incidents de sécurité tout comme un « guide de bonnes pratiques ». Un de plus dira-t-on. Ce document traite de façon plus ou moins poussée l’ensemble du cycle de vie d’un incident (détection, qualification, escalade, recueil des preuves, traitement, mise en œuvre des mesures de sécurité adaptées, etc…) et aide à améliorer les processus de sécurité utilisés et la gestion des incidents.

Point important, l’ISO 27035 est une des rares normes qui s’inscrivent dans une démarche « bottom-up » quand la grande majorité s’inscrit dans une démarche de type « top-down ».

De son côté, la Special Publication 800-61 du NIST se dit Computer Security Incident Handling Guide. Cette publication aide les organisations américaines dans l’établissement de moyens de réponse et de traitement aux incidents de sécurité. Elle comprend des lignes directrices sur l’établissement d’un programme de réponse aux incidents, mais son objectif principal porte sur la détection, l’analyse, et la gestion des incidents.

Preuve que la littérature sur les incidents est très riche, on pourra aussi s’intéresser au NIST SP 800-86 (Guide to Integrating Forensic Techniques into Incident Response), etc.

Mise en parallèle

En mettant en parallèle les documents ISO 27035 et NIST SP 800-61, qui visent tous les deux à éviter qu’un incident se reproduise ou se prolonge, on réalise rapidement que la partie « réponses » semble bien plus détaillée par le NIST.

Dans le cadre de la gestion des incidents de sécurité de l’information, l’ISO traite de la planification et de la préparation tandis que le NIST les fusionne sous l’unique terme de préparation.

Ensuite, l’ISO s’attarde sur la détection et les rapports ainsi que sur l’évaluation et la décision. De son côté, le NIST aborde l’ensemble au sein d’une partie dédiée à l’identification et à l’analyse.

Arrive le principal point différenciant les deux documents, et qui semble donc pénaliser le PRIS. En effet, avant de tirer des leçons via un retex obligatoire, l’ISO et le NIST décrivent la réponse proprement dite… Mais le NIST est ici bien plus détaillé et distingue trois actions essentielles : le confinement/endiguement, l’éradication, et le recouvrement.

 

Téléchargez gratuitement cette ressource

L’optimisation réseau en 6 atouts clés

L’optimisation réseau en 6 atouts clés

Quelles sont les 6 atouts clés d'un réseau 100% cloud, évolutif et sécurisé ? Faites évoluer vos solutions IT d'entreprise, bénéficiez d’une infographie exclusive pour activer ces nouvelles solutions technologiques.

Tech - Par Arnaud Lorgeron - Publié le 28 avril 2015