L'équipe peut offrir de multiples services liés
à la gestion d'incidents de sécurité. Ces services peuvent
être regroupés en trois grands domaines d'activité (cf.
Figure 6) :
? services réactifs, ? services proactifs,
? services qualitatifs.
Figure 6: Grands domaines d'activité des
services liés à la gestion d'incidents de
sécurité
Services réactifs :
Le domaine réactif regroupe tous les services qui
peuvent être mis en oeuvre lors du traitement d'un incident de
sécurité. Les services suivants sont rattachés à ce
domaine :
48
Mémoire de M2TDSI | Gestion des incidents de
sécurité avec Request Tracker | Mor Thiam
· service d'alerte : ce service a pour objectif de
notifier les parties prenantes d'un danger à très court terme.
Des contremesures sont listées permettant de remédier au
problème,
· service de traitement des incidents : ce service
assure la prise en charge partielle ou totale de l'incident par l'équipe
de réponse aux incidents de sécurité. L'équipe
pourra apporter une simple assistance téléphonique, fournir des
modes opératoires ou assister physiquement les équipes
opérationnelles lors de cet incident. L'équipe intervenant sur
l'incident aura à sa charge la détection ; l'isolation et la
remédiation de la menace associée à l'incident. Un service
sous intervention est préférable mais demande des
compétences multiples, des procédures rodées et de
l'outillage,
· service de gestion des vulnérabilités :
ce service consiste à centraliser les vulnérabilités sur
le périmètre de l'entreprise ou de l'organisme, à les
analyser et à coordonner leur correction,
· PCA /PRA : un incident analysé et jugé
important pourra engendrer la nécessité de déclencher un
plan de continuité d'activité (PCA) voire un plan de reprise
d'activités (PRA). Dans ce cas, il est capital que l'équipe en
charge du traitement de l'incident soit intégrée aux
procédures d'alerte et de qualification du PCA. L'équipe de
réponse aux incidents pourra contribuer à la gestion de crise
selon la nature de l'incident.
Services proactifs :
Le domaine proactif regroupe des services qui ont pour
objectif de prévenir l'apparition d'un incident ou tout du moins
d'anticiper son traitement. Les services suivants sont rattachés au
domaine proactif :
· annonces : diffusion d'informations permettant
d'anticiper une menace (informations concernant les
vulnérabilités ou l'état de la propagation d'une menace
constatée en externe),
· veille technologie : mise à disposition d'une
synthèse sur les informations de sécurité essentielles sur
une période donnée,
· audits de sécurité et tests d'intrusion
: ces services permette d'avoir une meilleure visibilité du niveau du
risque et repérer les points de faiblesse de certains pans dus SI,
· administration de composants sécurité :
ce service permet d'assurer l'administration des briques de l'infrastructure
sécurité de façon à garantir la maitrise du
traitement en cas d'incident,
· développement d'outils : ce service vise
à développer quelques outils de sécurité,
49
Mémoire de M2TDSI | Gestion des incidents de
sécurité avec Request Tracker | Mor Thiam
· détection d'intrusions : ce service permet
d'avoir une visibilité sur les attaques à destinations du SI,
· corrélation d'évènements de
sécurité : ce service permet d'associer les
évènements de sécurité pour identifier s'ils
donnent lieu à un incident de sécurité,
· surveillance : ce service très
générique peut être décliné en
activités distinctes suivant le métier de l'entreprise /organisme
ou ses centres d'intérêt. Dans tous les cas, des services de
surveillance permettront d'identifier des comportements anormaux probablement
caractéristiques d'un incident de sécurité.
Services qualitatifs:
Le domaine qualitatif regroupe des services qui participent
à l'élévation du niveau de sécurité par des
actions de fond. Ces services ne sont pas propres à la gestion
d'incident, mais une équipe de réaction aux incidents peut
souvent y apporter une forte valeur ajoutée. Les services suivants sont
rattachés à ce domaine :
· analyse de risques : une équipe de
réponse aux incidents peut apporter une aide précieuse pour
identifier rapidement les menaces et leurs impacts sur un actif de l'entreprise
ou de l'organisme. Dans ce cas, une interaction doit être
créée entre les équipes projets ou d'architecture en
charge des analyses de risque et l'équipe de réaction aux
incidents,
· PCA/PCR : une équipe de réponse aux
incidents acquière rapidement de l'expérience sur les typologies
d'incidents rencontrés dans l'entreprise ou l'organisme et sur le mode
de traitement le plus adapté pour leur éradication.
L'équipe de réponse aux incidents pourra contribuer à la
gestion de crise selon la nature de l'incident,
· qualification des incidents de sécurité
: l'équipe de réponse aux incidents de sécurité
contribue à l'élaboration de guides de qualification des
incidents, notamment pour l'équipe d'assistance de premier niveau,
· conseils : la bonne maitrise des attaques et des
contremesures confère à l'équipe de réponse aux
incidents des connaissances qui pourront être mises à
contributions pour des missions de conseil. Tout du moins, il est important que
l'équipe soit reconnue par les équipes projet pour solliciter son
conseil sur des points précis,
· sensibilisation : les incidents rencontrés par
l'équipe
50
Mémoire de M2TDSI | Gestion des incidents de
sécurité avec Request Tracker | Mor Thiam
