Services du CSIRT

En pleine recrudescence, de nombreuses attaques ciblent les particuliers, les entreprises et les administrations. Elles visent à obtenir des informations afin de les exploiter ou de les revendre.

Pour s’en prémunir, Le Groupe DOCAPOST a créé sa propre entité dédiée à la Cybercriminalité basée sur un modèle intégré à l’organisation en collaboration avec le CERT La Poste et qui a pour missions :

• D’élaborer les stratégies de défense pour le Groupe DOCAPOST ainsi que des services rendus
• De prévenir de tout incident de sécurité ou des menaces par des actions de formation, prévention, d’information ou de détection
• De gérer tout incident de sécurité et d’en réduire les dommages qui en découlent

Les Service proactifs

Afin d’élaborer la meilleur stratégie de défense et d’analyser tout risque opérationnel, le C.O.S.C (Centre Opérationnel de Sécurité et de Cyberdéfense) met en œuvre les services suivants :

• Veille technologique
• Recherches et développements
• Annonces des évolutions des règlementations en vigueur liées à la sécurité
• Implémentation des audits de sécurité technique sur 3 niveaux :
  • Scan de vulnérabilité automatique de surface
  • Scan de vulnérabilité en profondeur évalué par des analystes
  • Audit de sécurité technique (Configuration, Code) / Test d’intrusion technique (PenTest)
• Analyse et maintien des moyens cryptographiques
• Mise en œuvre des protocoles, process, mécanismes et outils de détection et remédiation aux incidents de sécurité
• Configuration et maintenance de la sécurité
• Accompagnement de toutes démarches basées sur la sécurité défensive

Les Services réactifs

Dans ses fonctions de CSIRT, le C.O.S.C a dans son obligation de rendre les services suivants liés à toutes cyber-menaces ou incidents de sécurité :

• Alertes et avertissement
• Analyse
• Traitements
• Appui à la réponse aux incidents de sécurité
• Élaboration et proposition de la stratégie défensive à mettre en œuvre lors d’une attaque avérée

Gestion des incidents

Le CERT La Poste, a en charge la centralisation des incidents de sécurité du Groupe DOCAPOST déclarés sur l'ensemble du Groupe La Poste et en provenance de l’extérieur puis de transférer l'incident au CSIRT DOCAPOST. La centralisation permet d'avoir une vue macroscopique sur le niveau de sécurité. Cela favorise une meilleure réactivité dans la mesure où un incident se réplique souvent à plusieurs endroits.

Tout correspondant interne peut faire appel à l’équipe du CSIRT en cas d’incident de sécurité. La capacité opérationnelle d’intervention se concrétise à travers :

• Des expertises développées en interne
• Des méthodologies internes
• Des fiches de réaction rapide sur incident, envoyées immédiatement à tout acteur qui rencontre un incident particulier
• Des outils d’analyse

Les responsables et correspondants sécurité internes de DOCAPOST peuvent s’appuyer sur le CSIRT DOCAPOST pour d=les actions suivantes :

• Comprendre, contenir et remédier à une menace
• Solliciter des organismes extérieurs
• Coordonner des actions techniques et collaborer avec les entités juridiques

Les correspondants externes peuvent solliciter le CERT La Poste pour les actions suivantes :

• Notification d'un incident
• Solliciter une entraide particulière

Cybercriminalité

Les menaces susceptibles d’impacter les services du groupe DOCAPOST sur Internet sont diverses (phishing, escroquerie, cybersquatting, typosquatting, détournement de noms de domaine, etc.). Les techniques employées sont en évolution constante. Des services de surveillance sont mis en oeuvre pour identifier ces menaces.

Lorsqu'un contenu illicite est détecté, des processus de réactions permettent alors d'enclencher rapidement les actions correctives.

La veille Internet et cybercriminalité se décompose de la façon suivante :

• Surveillance de nombreux canaux de communication, de sites ou de ressources pouvant amener à une *Atteinte au Groupe DOCAPOST
• Enquête et investigation Internet
• Suppression de contenu frauduleux
• Suivi et analyse des problématiques de cybercriminalité

Vulnérabilités

Le CSIRT du Groupe DOCAPOST est le point d'entrée central pour les vulnérabilités sur l'ensemble du Système d’Information du Groupe DOCAPOST. Les actions menées par le CSIRT dans le cadre de ce service sont les suivantes :

• Collecter et agréger les vulnérabilités
• Qualifier l’information et définir un niveau de sévérité
• Alerter et assister les correspondants concernés par les vulnérabilités

Ce service permet à l’ensemble des correspondants du groupe de prendre connaissance des nouvelles vulnérabilités sur leur périmètre respectif pour déployer les correctifs de sécurité ou les mesures de contournement adéquates.

Veille technologique

Le CSIRT DOCAPOST met à disposition un service de veille technologique sur l’actualité sécurité à tous ses correspondants internes. Un bulletin quotidien est envoyé par courriel pointant les articles Internet les plus marquants de la journée.

Ce bulletin permet de diffuser de l’information pertinente sur les problématiques de sécurité et les enjeux pour les entreprises à tous les correspondants concernés dans l'entreprise.