Conduite à tenir face à un incident de sécurité
Date : 22 Juin 2005
Dans une note de communication du 30 janvier, le CERTA attirait l’attention de sa communauté sur les bons réflexes à avoir face à un incident de sécurité. L’initiative nous semblant tout à fait louable, nous consacrons à notre tour un petit article à ce sujet.
Une société américaine a publié en novembre 2003 un "white-paper" conseillant aux entreprises ayant subi une attaque sur leur site Web de procéder de la façon suivante :
- Fermer temporairement le site attaqué
- Restaurer le système web original
- Mettre à niveau la plate-forme hébergeant le site Web en appliquant tous les patches de sécurité applicables
- Faire un "audit de sécurité" externe pour vérifier la non vulnérabilité du site ainsi restauré
- Remettre en service le serveur Web
Cette approche très pragmatique peut paraître séduisante car elle met la priorité sur une remise en service rapide du système impacté. Cependant elle est largement insuffisante pour traiter efficacement le problème rencontré. Aucune recherche n'est faite en effet pour comprendre la cause de l'incident (quelle est la faille qui a été exploitée?), ni les conséquences réelles de l'intrusion (qu'ont fait les pirates? jusqu'à quel point la machine avait-elle été compromise?). La phase d'investigation de l'incident est donc totalement oubliée ici et la ré-installation rapide de la machine efface en fait définitivement toutes les traces potentiellement laissées par les pirates sur la machine.
Nous ne vous conseillons donc pas de suivre ces "recommandations". Pour vous aider à faire face à un incident informatique, le Cert-IST dispense depuis trois ans un cours spécifique (intitulé "Investigation sur incident"). Ce cours aborde l'investigation d'un point de vue organisationnel (quelles sont les étapes du processus d'investigation, qui faire intervenir, etc..) aussi bien que technique (comment faire une image disque? quels sont les outils à utiliser pour retrouver des traces, etc…). En particulier le processus général préconisé est le suivant :
- Phase 1 : Préparation avant l’incident
- Phase 2 : Identification / qualification de l’incident
- Phase 3 : Limiter l’extension possible de l’incident
- Phase 4 : Investigation et suppression de la vulnérabilité
- Phase 5 : Restaurer un système sain
- Phase 6 : Post-incident – Archiver & Tirer les leçons de l’incident
Dans le cas de la société américaine, il est clair que la phase "4" a été totalement oubliée.
Si vous souhaitez participer aux prochaines sessions des cours du Cert-IST, merci de prendre contact avec nous (en envoyant un e-mail à Certist@Cert-IST.com) ou avec l'interlocuteur de votre entreprise qui est en contact avec le Cert-IST.
Pour plus d'information :
La note de communication du CERTA "Obstacles à la résolution d'incidents" : http://www.certa.ssi.gouv.fr/site/CERTA-2004-ALE-001/index.html.2.html