Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Premier ministre Agence nationale de la sécurité des systèmes d’information Pre

Premier ministre Agence nationale de la sécurité des systèmes d’information Prestataires de réponse aux incidents de sécurité Référentiel d’exigences Version 2.0 du 2 août 2017 Prestataires de réponse aux incidents de sécurité – référentiel d’exigences Version Date Critère de diffusion Page 2.0 02/08/2017 PUBLIC 2/53 HISTORIQUE DES VERSIONS DATE VERSION EVOLUTION DU DOCUMENT REDACTEUR 26/02/2014 0.1 Version préliminaire interne ANSSI. ANSSI 29/04/2014 0.2 Prise en compte des remarques SD COSSI, SD SDE, MRR. ANSSI 7/07/2014 0.3 Prise en compte des remarques SD COSSI, SD SDE, MRR et validation pour publication. ANSSI 6/10/2015 1.0 Version révisée suite à l’appel à commentaires et utilisée pour la phase expérimentale. ANSSI 02/08/2017 2.0 Première version applicable. Modifications principales :  Ajout des prestations de recherche d’indicateurs de compromission et d’investigation numérique sur périmètre restreint  Actualisation des compétences requises pour les analystes  Ajout du rôle d’analyste référent ANSSI Les commentaires sur le présent document sont à adresser à : Agence nationale de la sécurité des systèmes d’information SGDSN/ANSSI 51 boulevard de La Tour-Maubourg 75700 Paris 07 SP qualification@ssi.gouv.fr Prestataires de réponse aux incidents de sécurité – référentiel d’exigences Version Date Critère de diffusion Page 2.0 02/08/2017 PUBLIC 3/53 SOMMAIRE I. INTRODUCTION ............................................................................................................................5 I.1. Présentation générale ............................................................................................................... 5 I.1.1. Contexte.............................................................................................................................................................. 5 I.1.2. Objet du document .............................................................................................................................................. 5 I.1.3. Structure du présent document ........................................................................................................................... 6 I.2. Identification du document ........................................................................................................ 6 I.3. Définitions et acronymes ........................................................................................................... 6 I.3.1. Acronymes .......................................................................................................................................................... 6 I.3.2. Définitions ........................................................................................................................................................... 6 II. PRESTATIONS ET ACTIVITES VISEES PAR LE REFERENTIEL ..............................................9 II.1. Types de prestations ................................................................................................................. 9 II.1.1. Recherche d’indicateurs de compromission ........................................................................................................ 9 II.1.2. Investigations numériques sur périmètre restreint................................................................................................ 9 II.1.3. Investigations numériques sur large périmètre .................................................................................................... 9 II.2. Activités ..................................................................................................................................... 9 II.2.1. Pilotage technique ............................................................................................................................................... 9 II.2.2. Analyse système ................................................................................................................................................. 9 II.2.3. Analyse réseau ................................................................................................................................................. 10 II.2.4. Analyse de codes malveillants ........................................................................................................................... 10 III. QUALIFICATION DES PRESTATAIRES DE REPONSE AUX INCIDENTS DE SECURITE ... 11 III.1. Modalités de la qualification ....................................................................................................11 III.2. Portée de la qualification .........................................................................................................11 III.3. Avertissement .........................................................................................................................12 IV. EXIGENCES RELATIVES AU PRESTATAIRE DE REPONSE AUX INCIDENTS DE SECURITE............................................................................................................................................. 13 IV.1. Exigences générales ...............................................................................................................13 IV.2. Charte d’éthique ......................................................................................................................14 IV.3. Gestion des ressources et des compétences .........................................................................14 IV.4. Protection de l’information ......................................................................................................15 V. EXIGENCES RELATIVES AUX ANALYSTES .......................................................................... 16 V.1. Aptitudes générales ................................................................................................................16 V.2. Expérience ..............................................................................................................................16 V.3. Aptitudes et connaissances spécifiques aux activités de réponse aux incidents de sécurité ..............................................................................................................................................16 V.4. Engagements ..........................................................................................................................16 VI. EXIGENCES RELATIVES AU DEROULEMENT D’UNE PRESTATION DE REPONSE AUX INCIDENTS ........................................................................................................................................... 17 VI.1. Étape 1 - Qualification préalable d’aptitude à la réalisation de la prestation ..........................17 VI.2. Étape 2 - Établissement d’une convention..............................................................................18 VI.2.1. Modalités de la prestation .................................................................................................................................. 18 VI.2.2. Organisation ...................................................................................................................................................... 19 VI.2.3. Responsabilités ................................................................................................................................................. 19 VI.2.4. Confidentialité ................................................................................................................................................... 20 VI.2.5. Lois et réglementations ..................................................................................................................................... 20 VI.2.6. Sous-traitance ................................................................................................................................................... 21 VI.2.7. Livrables............................................................................................................................................................ 21 VI.2.8. Qualification ...................................................................................................................................................... 21 VI.3. Étape 3 – Compréhension de la situation et de l’environnement ...........................................22 VI.3.1. Compréhension de la situation .......................................................................................................................... 22 VI.3.2. Compréhension de l’environnement .................................................................................................................. 22 VI.4. Étape 4 – Élaboration de la posture initiale ............................................................................22 Prestataires de réponse aux incidents de sécurité – référentiel d’exigences Version Date Critère de diffusion Page 2.0 02/08/2017 PUBLIC 4/53 VI.5. Étape 5 - Préparation de la prestation ....................................................................................23 VI.5.1. Mise en place de l’organisation ......................................................................................................................... 23 VI.5.2. Mise en place des moyens opérationnels .......................................................................................................... 24 VI.5.3. Mise en place de mesures de sauvegarde et de préservation ........................................................................... 25 VI.5.4. Mise en place de procédures d’urgence ............................................................................................................ 25 VI.6. Étape 6 - Exécution de la prestation .......................................................................................26 VI.6.1. Phase 1 : révision de la compréhension de l’incident de sécurité et de l’environnement .................................... 26 VI.6.2. Phase 2 : révision de la posture ........................................................................................................................ 27 VI.6.3. Phase 3 : collecte des informations ................................................................................................................... 27 VI.6.4. Phase 4 : Analyse des informations ................................................................................................................... 30 VI.6.5. Phase 5 : synthèse des analyses, capitalisation et diffusion .............................................................................. 33 VI.6.6. Phase 6 : révision des mesures de remédiation ................................................................................................ 34 VI.7. Étape 7 - Restitutions ..............................................................................................................36 VI.8. Étape 8 - Élaboration du rapport d’analyse.............................................................................36 VI.9. Étape 9 - Clôture de la prestation ...........................................................................................38 VI.10. Cas des enquêtes judiciaires ..................................................................................................39 ANNEXE 1 REFERENCES DOCUMENTAIRES ........................................................................... 40 I. Codes, textes législatifs et réglementaires .............................................................................40 II. Normes et documents techniques ..........................................................................................40 III. Autres références documentaires ...........................................................................................41 ANNEXE 2 MISSIONS ET COMPETENCES ATTENDUES DU PERSONNEL DU PRESTATAIRE 42 Responsable d’équipe d’analyse ............................................................................................42 I. I.1. Missions ............................................................................................................................................................ 42 I.2. Compétences .................................................................................................................................................... 42 Analyste système ....................................................................................................................43 II. II.1. Missions ............................................................................................................................................................ 43 II.2. Compétences .................................................................................................................................................... 44 Analyste réseau ......................................................................................................................44 III. III.1. Missions ............................................................................................................................................................ 44 III.2. Compétences .................................................................................................................................................... 45 Analyste de codes malveillants ...............................................................................................45 IV. IV.1. Missions ............................................................................................................................................................ 45 IV.2. Compétences .................................................................................................................................................... 47 ANNEXE 3 RECOMMANDATIONS AUX COMMANDITAIRES ................................................... 48 Qualification ............................................................................................................................48 I. Avant la prestation ..................................................................................................................49 II. Pendant la prestation ..............................................................................................................49 III. Après la prestation ..................................................................................................................51 IV. ANNEXE 4 PREREQUIS A FOURNIR PAR LES COMMANDITAIRES ....................................... 52 ANNEXE 5 ÉTAPES DES TROIS TYPES DE PRESTATIONS .................................................... 53 Prestataires de réponse aux incidents de sécurité – référentiel d’exigences Version Date Critère de diffusion Page 2.0 02/08/2017 PUBLIC 5/53 I. Introduction I.1. Présentation générale I.1.1. Contexte L’interconnexion croissante des réseaux et les besoins de dématérialisation des processus ou des documents exposent les systèmes d’information à des risques de vol, de modification ou de destruction de données. Lorsqu’une concordance de signaux permet de soupçonner une activité malveillante au sein d’un système d’information, il convient de faire appel à un prestataire de réponse aux incidents de sécurité afin de : - définir une méthode de réponse aux incidents de sécurité adaptée au contexte ; - rechercher, collecter et analyser des éléments issus du système d’information ; - identifier le mode opératoire et l’objectif de l'attaquant ; - qualifier l’étendue de la compromission ; - aider à évaluer les risques et les impacts associés ; - préconiser des mesures de remédiation. Les incidents de sécurité concernés par ce référentiel sont les incidents ayant pour effet une compromission ou un sabotage ; il ne cible pas la réponse aux fraudes et attaques par saturation pouvant conduire à un déni de service1. Les types de prestations de réponse aux incidents de sécurité décrites dans ce référentiel sont : - la recherche d’indicateurs de compromission ; - l’investigation numérique sur périmètre restreint ; - l’investigation numérique sur large périmètre. I.1.2. Objet du document Ce document constitue le référentiel d’exigences applicables à un prestataire de réponse aux incidents de sécurité (PRIS), ci-après dénommé « le prestataire ». Il a vocation à permettre la qualification de cette famille de prestataires selon les modalités décrites au chapitre III.1. Il permet au commanditaire d’une prestation de disposer de garanties sur les compétences du prestataire et de son personnel, sur la qualité des prestations de réponse aux incidents de sécurité réalisées à sa capacité à adopter une approche globale de l’incident de sécurité, une démarche d’analyse adaptée et sur la protection des informations sensibles dont le prestataire aura connaissance au cours de la prestation. Ce référentiel permet notamment de qualifier les prestataires susceptibles d’intervenir, pour le traitement des incidents de sécurité, au profit des secteurs d’importance vitale concernés par l’application des règles de sécurité prévues au titre de la loi de programmation militaire. Il peut également être utilisé, à titre de bonnes pratiques, en dehors de tout contexte réglementaire. Il n’exclut ni l’application de la législation et de la réglementation nationale, en matière de protection du secret de la défense nationale [IGI_1300] par exemple, ni l’application des règles générales imposées aux prestataires en leur qualité de professionnels, notamment leur devoir de conseil vis-à-vis de leurs commanditaires. 1 Des typologies des incidents de sécurité sont présentes dans l’annexe B de [ISO27035] et dans [ETSI_ISG_ISI]. Prestataires de réponse aux incidents de sécurité – référentiel d’exigences Version Date Critère de diffusion Page 2.0 02/08/2017 PUBLIC 6/53 I.1.3. Structure du présent document Le chapitre I correspond à l’introduction du présent référentiel. Le chapitre II présente les activités visées par le présent référentiel. Le chapitre III présente les modalités de la qualification, qui atteste de la conformité des prestataires de réponse aux incidents de sécurité aux exigences qui leur sont applicables. Le chapitre IV présente les exigences relatives aux prestataires. Le chapitre V présente les exigences relatives aux analystes. Le chapitre VI présente les exigences relatives au déroulement d’une prestation de réponse aux incidents de sécurité. L’Annexe 1 présente les références des textes législatifs, réglementaires, normatifs et autres mentionnés dans le présent référentiel. L’Annexe 2 présente les missions et compétences attendues des analystes du prestataire. L’Annexe 3 présente des recommandations aux commanditaires de prestations de réponse aux incidents de sécurité. L’Annexe 4 présente les prérequis à fournir par les commanditaires dans le cadre d’une prestation de réponse aux incidents de sécurité. L’Annexe 5 illustre dans un schéma les étapes des trois types de prestations. I.2. Identification du document Le présent référentiel est dénommé « Prestataires de réponse aux incidents de sécurité – référentiel d’exigences ». Il peut être identifié par son nom, numéro de version et sa date de mise à jour. I.3. Définitions et acronymes I.3.1. Acronymes Les acronymes utilisés dans le présent référentiel sont : ANSSI Agence nationale de uploads/Management/ pris-referentiel-v2-0-pdf.pdf