Dans une démarche d’encadrement et de rationalisation du domaine de la SSI, l’ANSSI publie régulièrement des guides à destination tant des prestataires que des utilisateurs.
Réponse à incident, pas de recette miracle mais des ingrédients essentiels
Avant le récent référentiel PDIS (Prestataires de Détection des Incidents de Sécurité), le référentiel PRIS (Prestataires de Réponse aux Incidents de Sécurité) avait initié la thématique des incidents de sécurité. De toute évidence, le PRIS repose notamment sur l’ISO 27035. Ce dernier document est lui-même une référence internationale en la matière mais est-il pour autant suffisant et complet ?
Présentation ISO 27035 et NIST 800-61
L’ISO 27035, dédiée à la gestion des incidents de sécurité de l’information, peut être considéré comme un document de « politique » de gestion d’incidents de sécurité tout comme un « guide de bonnes pratiques ». Un de plus dira-t-on. Ce document traite de façon plus ou moins poussée l’ensemble du cycle de vie d’un incident (détection, qualification, escalade, recueil des preuves, traitement, mise en œuvre des mesures de sécurité adaptées, etc…) et aide à améliorer les processus de sécurité utilisés et la gestion des incidents.
Point important, l’ISO 27035 est une des rares normes qui s’inscrivent dans une démarche « bottom-up » quand la grande majorité s’inscrit dans une démarche de type « top-down ».
De son côté, la Special Publication 800-61 du NIST se dit Computer Security Incident Handling Guide. Cette publication aide les organisations américaines dans l’établissement de moyens de réponse et de traitement aux incidents de sécurité. Elle comprend des lignes directrices sur l’établissement d’un programme de réponse aux incidents, mais son objectif principal porte sur la détection, l’analyse, et la gestion des incidents.
Preuve que la littérature sur les incidents est très riche, on pourra aussi s’intéresser au NIST SP 800-86 (Guide to Integrating Forensic Techniques into Incident Response), etc.
Mise en parallèle
En mettant en parallèle les documents ISO 27035 et NIST SP 800-61, qui visent tous les deux à éviter qu’un incident se reproduise ou se prolonge, on réalise rapidement que la partie « réponses » semble bien plus détaillée par le NIST.
Dans le cadre de la gestion des incidents de sécurité de l’information, l’ISO traite de la planification et de la préparation tandis que le NIST les fusionne sous l’unique terme de préparation.
Ensuite, l’ISO s’attarde sur la détection et les rapports ainsi que sur l’évaluation et la décision. De son côté, le NIST aborde l’ensemble au sein d’une partie dédiée à l’identification et à l’analyse.
Arrive le principal point différenciant les deux documents, et qui semble donc pénaliser le PRIS. En effet, avant de tirer des leçons via un retex obligatoire, l’ISO et le NIST décrivent la réponse proprement dite… Mais le NIST est ici bien plus détaillé et distingue trois actions essentielles : le confinement/endiguement, l’éradication, et le recouvrement.
Téléchargez cette ressource
Guide de technologie 5G pour l’entreprise
Pourquoi la 5G est-elle faite pour votre entreprise ? La 5G peut améliorer la vitesse, la fiabilité et la capacité de votre réseau, permettant ainsi une meilleure collaboration, une productivité accrue et une prise de décision plus rapide. Notre livre blanc " The Big Book of Enterprise 5G" vous fournit les informations stratégiques dont vous avez besoin pour prendre des décisions éclairées et préparer votre entreprise à prospérer dans l'ère de la 5G. Cradlepoint, part of Ericsson est le leader mondial des solutions de réseau sans fil 4G LTE et 5G fournies via le cloud. Connectez vos employés, lieux et objets avec la 4G LTE et la 5G pour un WAN sans fil d'entreprise.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
