Services du CSIRT : Différence entre versions
(→Vulnérabilités) |
|||
| (9 révisions intermédiaires par 2 utilisateurs non affichées) | |||
| Ligne 4 : | Ligne 4 : | ||
[[fichier:DocapostCyberdefense.logo15.textlong.regular.png|150px]] | [[fichier:DocapostCyberdefense.logo15.textlong.regular.png|150px]] | ||
| style="width: 70%; background-color: #EBECEC; text-align: center;"| | | style="width: 70%; background-color: #EBECEC; text-align: center;"| | ||
| − | ==='''CSIRT | + | ==='''CSIRT DOCAPOSTE'''=== |
(Computer Security Incident Response Team)<br> | (Computer Security Incident Response Team)<br> | ||
'''La mission du CSIRT au sein du C.O.S.C''' | '''La mission du CSIRT au sein du C.O.S.C''' | ||
| Ligne 26 : | Ligne 26 : | ||
Date de la dernière version : | Date de la dernière version : | ||
| style="width: 70%; background-color: white;"| | | style="width: 70%; background-color: white;"| | ||
| − | + | 04/06/2018 | |
|- | |- | ||
| style="width: 30%; background-color: white; text-align: left;"| | | style="width: 30%; background-color: white; text-align: left;"| | ||
Version : | Version : | ||
| style="width: 70%; background-color: white;"| | | style="width: 70%; background-color: white;"| | ||
| − | 1. | + | 1.2 |
|- | |- | ||
| style="width: 30%; background-color: white; text-align: left;"| | | style="width: 30%; background-color: white; text-align: left;"| | ||
Source : | Source : | ||
| style="width: 70%; background-color: white;"| | | style="width: 70%; background-color: white;"| | ||
| − | + | C.O.S.C : Centre Opérationnel de Sécurité et de Cyberdéfense<br> | |
|} | |} | ||
==== <center><div style="color:#FFFFFF; background-color: #046AAF">'''Missions du CSIRT DOCAPOST'''</div></center> ==== | ==== <center><div style="color:#FFFFFF; background-color: #046AAF">'''Missions du CSIRT DOCAPOST'''</div></center> ==== | ||
| − | <div style="color:#194466;> | + | <div style="color:#194466;>De plus en plus fréquentes, les attaques informatiques (cyber-attaque) touchent aujourd’hui nombre de particuliers, entreprises et administrations. L’objectif est souvent d’obtenir des informations confidentielles dans le but de les exploiter voir de les revendre. |
| − | |||
| − | *D’élaborer les stratégies de défense | + | Pour faire face aux menaces liées à la cybercriminalité, Le Groupe DOCAPOST a créé sa propre entité de cyberdéfense basée sur un modèle dit « intégré à l’organisation » et qui a pour missions : |
| − | *De prévenir de tout incident de sécurité ou | + | *D’élaborer les stratégies de défense. |
| − | *De gérer tout incident de sécurité | + | *De prévenir de tout incident de sécurité ou menace par des actions de formation, prévention, d’information ou de détection. |
| + | *De gérer tout incident de sécurité pour en réduire les dommages éventuels. | ||
| + | |||
| + | La Cellule Cyberdéfense s’inscrit dans la communauté des CSIRT (Computer Security Incident Response Team). Elle est en relation directe avec le CERT SLCC (Service de Lutte Contre la Cybercriminalité) du groupe La Poste ainsi qu’avec l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information). | ||
| − | |||
| − | + | ==== <center><div style="color:#FFFFFF; background-color: #046AAF">'''Les services proactifs'''</div></center> ==== | |
| + | Pour élaborer sa stratégie de défense et réduire les risques opérationnels, la Cellule Cyberdéfense met en œuvre et maintien les services suivants : | ||
*Veille technologique | *Veille technologique | ||
*Recherches et développements | *Recherches et développements | ||
| − | *Annonces des évolutions | + | *Annonces des évolutions réglementaires liées à la sécurité. |
| − | * | + | *Mise en place d’audits de sécurité technique sur 3 niveaux : |
| − | + | *Scan de vulnérabilité automatique en surface | |
| − | + | *Scan de vulnérabilité en profondeur effectués par des analystes | |
| − | + | *Audit de sécurité technique (Configuration, Code) / Test d’intrusion technique (PenTest) | |
*Analyse et maintien des moyens cryptographiques | *Analyse et maintien des moyens cryptographiques | ||
| − | *Mise en œuvre des protocoles, | + | *Mise en œuvre des protocoles, processus, mécanismes et outils de détection/remédiation en cas d’incident de sécurité. |
| − | *Configuration et maintenance de la sécurité | + | *Configuration et maintenance de la sécurité. |
| − | *Accompagnement | + | *Accompagnement des démarches basées sur la sécurité défensive. |
| − | ==== <center><div style="color:#FFFFFF; background-color: #046AAF">'''Les | + | ==== <center><div style="color:#FFFFFF; background-color: #046AAF">'''Les services réactifs'''</div></center> ==== |
| − | + | En cas de cyber-menace ou d’incident de sécurité le CSIRT du groupe DOCAPOST à l’obligation de rendre les services suivants : | |
| − | + | *Alertes et avertissements | |
| − | *Alertes et | + | *Analyses |
| − | * | ||
*Traitements | *Traitements | ||
*Appui à la réponse aux incidents de sécurité | *Appui à la réponse aux incidents de sécurité | ||
| − | * | + | *Elaboration d’un plan de remédiation en cas d’attaque avérée. |
| + | |||
==== <center><div style="color:#FFFFFF; background-color: #046AAF">'''Gestion des incidents'''</div></center> ==== | ==== <center><div style="color:#FFFFFF; background-color: #046AAF">'''Gestion des incidents'''</div></center> ==== | ||
| − | Le CERT La Poste | + | Le CERT La Poste, a en charge la centralisation des incidents de sécurité du Groupe DOCAPOST déclarés sur l'ensemble du Groupe La Poste et en provenance de l’extérieur puis de transférer l'incident au CSIRT DOCAPOST. La centralisation permet d'avoir une vue macroscopique sur le niveau de sécurité. Cela favorise une meilleure réactivité dans la mesure où un incident se réplique souvent à plusieurs endroits. |
Tout correspondant interne peut faire appel à l’équipe du CSIRT en cas d’incident de sécurité. | Tout correspondant interne peut faire appel à l’équipe du CSIRT en cas d’incident de sécurité. | ||
| Ligne 112 : | Ligne 114 : | ||
==== <center><div style="color:#FFFFFF; background-color: #046AAF">'''Vulnérabilités'''</div></center> ==== | ==== <center><div style="color:#FFFFFF; background-color: #046AAF">'''Vulnérabilités'''</div></center> ==== | ||
| − | Le CSIRT | + | Le CSIRT DOCAPOST est le point d'entrée central pour les vulnérabilités sur l'ensemble du Système d’Information du Groupe DOCAPOST. Les actions menées par le CSIRT dans le cadre de ce service sont les suivantes : |
*Collecter et agréger les vulnérabilités | *Collecter et agréger les vulnérabilités | ||
Version actuelle datée du 15 juillet 2019 à 16:37
|
|
SommaireCSIRT DOCAPOSTE(Computer Security Incident Response Team) |
Gestion du document
|
Date de la première version : |
28/01/2018 |
|
Date de la dernière version : |
04/06/2018 |
|
Version : |
1.2 |
|
Source : |
C.O.S.C : Centre Opérationnel de Sécurité et de Cyberdéfense |
Missions du CSIRT DOCAPOST
Pour faire face aux menaces liées à la cybercriminalité, Le Groupe DOCAPOST a créé sa propre entité de cyberdéfense basée sur un modèle dit « intégré à l’organisation » et qui a pour missions :
- D’élaborer les stratégies de défense.
- De prévenir de tout incident de sécurité ou menace par des actions de formation, prévention, d’information ou de détection.
- De gérer tout incident de sécurité pour en réduire les dommages éventuels.
La Cellule Cyberdéfense s’inscrit dans la communauté des CSIRT (Computer Security Incident Response Team). Elle est en relation directe avec le CERT SLCC (Service de Lutte Contre la Cybercriminalité) du groupe La Poste ainsi qu’avec l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information).
Les services proactifs
Pour élaborer sa stratégie de défense et réduire les risques opérationnels, la Cellule Cyberdéfense met en œuvre et maintien les services suivants :
- Veille technologique
- Recherches et développements
- Annonces des évolutions réglementaires liées à la sécurité.
- Mise en place d’audits de sécurité technique sur 3 niveaux :
- Scan de vulnérabilité automatique en surface
- Scan de vulnérabilité en profondeur effectués par des analystes
- Audit de sécurité technique (Configuration, Code) / Test d’intrusion technique (PenTest)
- Analyse et maintien des moyens cryptographiques
- Mise en œuvre des protocoles, processus, mécanismes et outils de détection/remédiation en cas d’incident de sécurité.
- Configuration et maintenance de la sécurité.
- Accompagnement des démarches basées sur la sécurité défensive.
Les services réactifs
En cas de cyber-menace ou d’incident de sécurité le CSIRT du groupe DOCAPOST à l’obligation de rendre les services suivants :
- Alertes et avertissements
- Analyses
- Traitements
- Appui à la réponse aux incidents de sécurité
- Elaboration d’un plan de remédiation en cas d’attaque avérée.
Gestion des incidents
Le CERT La Poste, a en charge la centralisation des incidents de sécurité du Groupe DOCAPOST déclarés sur l'ensemble du Groupe La Poste et en provenance de l’extérieur puis de transférer l'incident au CSIRT DOCAPOST. La centralisation permet d'avoir une vue macroscopique sur le niveau de sécurité. Cela favorise une meilleure réactivité dans la mesure où un incident se réplique souvent à plusieurs endroits.
Tout correspondant interne peut faire appel à l’équipe du CSIRT en cas d’incident de sécurité. La capacité opérationnelle d’intervention se concrétise à travers :
- Des expertises développées en interne
- Des méthodologies internes
- Des fiches de réaction rapide sur incident, envoyées immédiatement à tout acteur qui rencontre un incident particulier
- Des outils d’analyse
Les responsables et correspondants sécurité internes de DOCAPOST peuvent s’appuyer sur le CSIRT DOCAPOST pour d=les actions suivantes :
- Comprendre, contenir et remédier à une menace
- Solliciter des organismes extérieurs
- Coordonner des actions techniques et collaborer avec les entités juridiques
Les correspondants externes peuvent solliciter le CERT La Poste pour les actions suivantes :
- Notification d'un incident
- Solliciter une entraide particulière
Cybercriminalité
Les menaces susceptibles d’impacter les services du groupe DOCAPOST sur Internet sont diverses (phishing, escroquerie, cybersquatting, typosquatting, détournement de noms de domaine, etc.). Les techniques employées sont en évolution constante. Des services de surveillance sont mis en oeuvre pour identifier ces menaces.
Lorsqu'un contenu illicite est détecté, des processus de réactions permettent alors d'enclencher rapidement les actions correctives.
La veille Internet et cybercriminalité se décompose de la façon suivante :
- Surveillance de nombreux canaux de communication, de sites ou de ressources pouvant amener à une *Atteinte au Groupe DOCAPOST
- Enquête et investigation Internet
- Suppression de contenu frauduleux
- Suivi et analyse des problématiques de cybercriminalité
Vulnérabilités
Le CSIRT DOCAPOST est le point d'entrée central pour les vulnérabilités sur l'ensemble du Système d’Information du Groupe DOCAPOST. Les actions menées par le CSIRT dans le cadre de ce service sont les suivantes :
- Collecter et agréger les vulnérabilités
- Qualifier l’information et définir un niveau de sévérité
- Alerter et assister les correspondants concernés par les vulnérabilités
Ce service permet à l’ensemble des correspondants du groupe de prendre connaissance des nouvelles vulnérabilités sur leur périmètre respectif pour déployer les correctifs de sécurité ou les mesures de contournement adéquates.
Veille technologique
Le CSIRT DOCAPOST met à disposition un service de veille technologique sur l’actualité sécurité à tous ses correspondants internes. Un bulletin quotidien est envoyé par courriel pointant les articles Internet les plus marquants de la journée.
Ce bulletin permet de diffuser de l’information pertinente sur les problématiques de sécurité et les enjeux pour les entreprises à tous les correspondants concernés dans l'entreprise.