www.starend.org

TechNIX

Infos

Cycle de vie d'un incident du système d'information.
Système d'exploitation : tous
Niveau : admin

Articles Reflexions

1/6 : Sécurité des systèmes d'information
2/6 : Homo-cyberneticus
3/6 : Archivage à long terme
4/6 : Système de capture audio portatif
5/6 : Cycle de vie d'un incident du système d'information
6/6 : (modèle de document)

Tags

incident cycle vie détection analyse correction

Cycle de vie d'un incident du système d'information

30/07/2007

Introduction

La gestion des incidents, c'est prévoir l'imprévisible. Un plan de bataille contre un ennemis inconnu.

Pour assurer la sécurité du système d'information et des données (confidentialité, intégrité, disponibilité), il faut s'assurer que chaque élément du SI fonctionnement de façon nominal. Mais pas seulement, nous devons aussi pouvoir détecter tout comportement anormale sur le SI sans qu'il ne soit détecté d'anomalie sur un élément en particulier. Un incident, c'est lorsque le système d'information ne fonctionne plus de façon nominal et/ou qu'une des politique de sécurité est violée.

/cycle d incident.png" border=0 alt="Cycle de vie" />

1/Fonctionnement nominal

Lorsque tout va bien, le système d'information à un fonctionnement nominal. C'est la position d'équilibre souhaitable, idéale.
--
C'est comme une belle maison, qui traverse les âges, contruite au fil du temps, avec amour et sueur...
--


Un incident survient, inopportunément, toujours au plus mauvais moment dit-on.

2/Détection de l'incident

Pour pouvoir traiter un incident, encore faut-il le détecter. Cela peut être fait par :
- la supervision systèmes et réseaux;
- une sonde IDS;
- un pare-feu, un proxy;
- un robot d'analyse des journaux;
- un utilisateur, ou pire, un chef...

Supervision
La supervision est un outils qui offre une vision à la fois complète et précise du système d'information. Elle teste (surveille) régulièrement l'état des réseaux, des services, et des machines. Elle fait des statistiques de disponibilité. Et elle vous prévient trés rapidement de toute panne détectée.
Produit possible : Nagios/Oreon, HP OpenView...

IDS
Les sondes de détection d'intrusion permettent de détecter certaines anomalies sur le système d'information. Typiquement, des actions malveillante plutot que des pannes. Ces sondes sont orienter réseau (NIDS), kernel (KIDS), hôte et services (HIDS), ou hybride. Ces sondes demandent une trés bonne connaissance du fonctionnement du système d'information, et un réglage pointu.

Un IPS est un IDS qui devient actif, généralement couplé à un pare-feu.
Produit possible : Snort...

Pare-feux/proxy
Le pare-feu a deux types de fonctionnement : réseau ou hôte. Il agit de préférence sur les couches basses du réseau, bien que... Le pare-feu de réseau contrôle le niveau d'étanchéité entres des réseaux segmentés de sensibilités différentes. Et le pare-feu d'hôte contrôle l'accé des programmes à certaines fonctionnalités du réseau, et vice versa.
Produits possibles : Netfilter, Packet Filter...

Le proxy (serveur de proximité, ou mandataire) agit plutot sur les couches hautes du réseau. Plus proche des applications, il en contrôle la validité des échanges et bloque les attaques connues sur celles-ci. Il est positionné en frontal des services à protéger, ou en cache filtrant en sortie vers internet.
Produits possibles : squid, apache mod_proxy...

Robots d'analyse des journaux
Les différents serveurs et services du système d'information replissent leurs journaux des évènements marquants concernant leurs activités. Ces journaux peuvent être exploités localement sur le serveur. Ils peuvent aussi être centralisés (en plus) sur un serveur dédié à leur récolte. Et leur taille peut vite devenir imposante.

L'exploitation préventive, au file de l'eau, se fait par des processus automatisés spécifiques à l'analyse des journaux. Etant donné la quantité important et indigeste des événements enregistrés, il est impossible de les exploiter manuellement en temps réel. On peut néanmoins réaliser ponctuellement un suivi ciblé ou des statistiques sur un serveur, un service, une machine, et/ou un utilisateur particulier.
Produits possibles : syslog...

L'utilisateur
L'utilisateur est souvent le maillon faible de la sécurité du SI. Sensibilisation !!!
Produits possibles : le baton et la carotte ;-)

--
Un jour, dans votre belle maison, en rentrant du travail, vous remarquez la disparition d'un vieux vase chinois sur le buffet. En y regardant de plus près, vous remarquez des petits trous un peu partout sur vos meubles...
--

3/Analyse de l'incident

Passé la détection de l'incident, on sait que l'on est en plein dedans, dans la m#&*e quoi. Il faut déterminer le problème, sa source et ses conséquences.

Soit l'incident est déjà prévu, auquel cas la réponse peut être pré-programmée, mais c'est rarement le cas. Soit l'analyse doit se faire à la main, les doigts dans le cambouis. Cela peut, en fonction des moyens, impliquer la disponibilité d'une équipes, des outils, et du matériel dédié.

Elle peut être poussée avec des outils spécifiques comme un anti-virus, un scanner, un analyseur réseau... Et elle peut aussi s'appuyer sur les journaux système. Par exemple pour une analyse post-mortem d'un serveur (informatique). Là, l'informatique perd son côté scientifique pour devenir un peu plus empirique, voir artistique...
--
Vous faites venir la police locale pour le vase chinois. L'affaire est rondement menée. Les voleurs sont des pros. Ils savaient ce qu'ils venaient chercher, pas de temps perdu sur les lieux. Et une serrure (bien trop) vite crochetée... à remplacer de toute urgence par un modèle solide... Et pour les petits trous, rien à voir avec le vol mon bon monsieur, un bon traitement pour bois fera l'affaire.
--

4/Correction et remise en état

Une fois l'incident et ses incidences bien cernés, il faut traiter. Il s'agit d'éradiquer l'incident, durablement.

La remise en état du SI n'est pas toujours suffisante. Des actions préventives ou curatives peuvent être à prévoir. Commencer à se rapprocher de ses sauvegardes. Apporter des modifications matériels, logiciels, de configuration, mises à jours, patchs, contrats de maintenance... Il est parfois préférable de restaurer une situation saine depuis une sauvegarde que de persister à déminer une situation délicate...
--
Et de une, une serrure de changée, avec l'aide d'un professionnel. Et de deux, un bon coup de xylo sur toutes les surfaces de bois à nu. Plus quelques meubles salement touchés par cette attaque sournoise... à réparer...
--


Si tout s'est bien passé, vous devriez être revenu à un fonctionnement nominal de votre système d'information... jusqu'au prochain incident ;-)

Licence Creative Common 2007 :: BY-NC-SA :: Webdesign DENDIEVEL Stéphane