La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Gestion de crise Un retour dexpériences. Agenda Pourquoi cette session? Le risque informatique Préparation à la crise Gestion de la crise Actions à mener.

Présentations similaires


Présentation au sujet: "Gestion de crise Un retour dexpériences. Agenda Pourquoi cette session? Le risque informatique Préparation à la crise Gestion de la crise Actions à mener."— Transcription de la présentation:

1 Gestion de crise Un retour dexpériences

2 Agenda Pourquoi cette session? Le risque informatique Préparation à la crise Gestion de la crise Actions à mener

3 Pourquoi cette session? Car la crise peut arriver Car les coûts induits peuvent être lourds Car se préparer va tout changer: Pour ne pas paniquer Pour éviter les improvisations Pour réduire le temps de perturbation Enfin, la préparation à gérer une crise est une composante essentielle de la sécurité en profondeur

4 Le risque informatique Lanalyse du risque

5 Causes dincidents de sécurité

6 Analyse de risques Identifier les ressources critiques: Serveurs de messagerie Comptabilité/Facturation/CRM Serveurs de fichiers sensibles (appels doffre, spécifications, code source, plans…) Tous les postes clients Serveurs Intranet/Extranet/Internet Postes dadministration Serveurs de backup …

7 Etude dimpact Les impacts sont multiples: Perte de données Vol dinformation Indisponibilité Vol didentité Chiffrer les conséquences dune attaque réussie Prendre en compte les lois régissant votre domaine dactivité (santé, légal, etc.…)

8 Analyse des menaces A chaque incident chiffré, on attribue un facteur de probabilité de réussite dune attaque. On en déduit une liste ordonnée des menaces les plus graves et les plus probables pesant sur le système dinformation

9 Règles de réaction Déterminent le seuil de crise de sécurité Découlent directement de limpact potentiel ou avéré sur lactivité de lentreprise Régissent et justifient les décisions prises

10 Se préparer à gérer une crise

11 Les bonnes pratiques Mettre en place la redondance Documenter et tester les procédures de sauvegarde et restauration Implémenter le contrôle du changement Définir les procédures durgence et leur conditions de déclenchement

12 Durcir les machines critiques en fonction de leur rôle, appliquer les patrons de sécurité: Serveurs, Contrôleurs de domaine, Autorité de Certification, Postes clients, … Adapter la configuration et les procédures Mots de passe forts Mises à jour de sécurité Moindre privilège Audit des comptes

13 Créer un environnement de test Créer les machines virtuelles représentatives du parc: Contrôleur de domaine Serveur de messagerie Serveur Intranet/Internet Postes de travail … A moindre coût, permet dévaluer très rapidement limpact dune action corrective

14 Former une équipe de crise Apte à communiquer avec le management Apte à analyser le profil de lattaque Se former à lutilisation des outils: filemon, netmon, mps reports, … Apte à protéger: Préparer des scripts pour modifier la configuration du routeur, la configuration des serveurs etc.… Fermeture de routeurs segmentant les réseaux sains des réseaux compromis (au moyens de scripts préétablis)

15 Former une équipe de crise Apte à implémenter un plan de riposte: Avec une image Windows PE (Win PE) contenant les outils classiques de troubleshooting et danalyse ainsi que les pilotes les plus courants dans lentreprise (NIC) Au moyen de scripts: Pour modifier les comptes AD (expiration de mots de passe) Pour créer des fichiers bloquants lattaque Pour créer/supprimer des entrées de la base de registre Pour configurer les routeurs/firewalls/serveurs en mode Secure Avec les GPOs et SRPs Avec une image du système récente (slipstreamed)

16 Etre prêt à communiquer Préparer une personne de la communication/relation presse A ne jamais donner de date de résolution A ne communiquer que les faits avérés Créer/Maintenir la liste des contacts: Du management Des opérationnels Des interlocuteurs extérieurs: Microsoft PSS Security, Anti-virus,Consultants

17 Prêt à protéger Scripts de configuration de routeurs/pare-feu Pour couper le lien Internet Ségréguer les réseaux sains/infectés Isoler les serveurs obsolètes Méthode de déploiement minute de mises à jour de securité

18 Etre attentifs Soyez joignables et à lécoute Communiquez: Une adresse Un formulaire Web (http://securite) Un numéro dalerte (facile à retenir) Observez: Le trafic réseau Les alertes remontées par lanti-virus Les évènements Windows Vos sondes anti-intrusion Le volume de soumission de demandes de support

19 Qualifier lalerte Corréler Ne rien affirmer à partir dune seule source Traiter tout incident rapporté! Permet de rien laisser passer Valorise la personne remontant le problème Documenter Pour accélérer le traitement des incidents ultérieurs similaires

20 Gestion de la crise

21 Collecter, Mobiliser Collecter des informations Process Explorer( NetMon (ftp://ftp.microsoft.com/PSS/Tools/Netmon/Netmon2.zip) FileMon/RegMon( ) MPSReport ( Requérir de laide Fournisseur danti-virus Microsoft PSS Security Société de conseil spécialisée

22 Protéger, immédiatement Serveurs obsolètes Serveurs de fichiers critiques en mode lecture seule Serveur de messagerie isolés dInternet Fermeture de la connexion vers Internet: Pour éviter la fuite dinformation Pour couper le canal de contrôle Pour ne pas devenir le relais dune attaque Fermeture de routeurs …

23 Communiquer Se synchroniser régulièrement avec les différentes équipes impliquées: Points davancement régulier Partage dinformation Sassurer que tous sont sur la même page Informer le management: Quun incident se produit Quil sera amené à prendre des décisions Du plan daction Informer les tiers impliqués SalariésClientsPartenaires…

24 Analyser Les informations collectées Traces réseaux Echantillons de malware (virus, rootkit, bot, …) Evènements Différences avec la ligne de référence Fichiers créés Services Clés de registre… Moyens de persistence Avec laide de tiers: PSS Security, Fournisseur anti-virus

25 Identifier le profil de lattaque Mises à jour non déployées Mots de passe faibles … Attaque automatique ou manuelle

26 Etablir la riposte #1 Protéger: Déploiement immédiat de mises à jour: De sécurité Des signatures anti-virus, filtres, … Expiration de mots de passe Création de Sofware Restriction Policies (KB324036) ACLs dans la base de registre Créer un fichier vide avec des ACLs bloquant limplantation du malware

27 Etablir la riposte #2 Nettoyer Créer un script, en relation avec votre fournisseur danti- virus et/ou PSS Security pour supprimer les traces visibles du malware Utiliser une image Win PE pour intervenir sur la machine sans souffrir de limpact du malware (http://www.microsoft.com/licensing/programs/sa/benefits/winpe.msp x) xhttp://www.microsoft.com/licensing/programs/sa/benefits/winpe.msp xReconstruire Utiliser une image Windows avec les dernières mises à jour intégrées (« slipstreamed »). (http://www.microsoft.com/technet/security/topics/patchmanagement/ hfdeploy.mspx#EEAA) hfdeploy.mspx#EEAAhttp://www.microsoft.com/technet/security/topics/patchmanagement/ hfdeploy.mspx#EEAA

28 Tester la riposte Utiliser lenvironnement de test virtuel! Permet de détecter les problèmes: De scripts (privilèges insuffisants, chargement de ruches, …) Dincompatibilité applicative De déploiement

29 Implémenter la riposte Désactiver Automatic System Restore (KB310405) Déployer la riposte sur un échantillon de systèmes Surveiller déventuelles réinfections Si tout va bien, déployer largement!

30 Apprendre! Chaque crise est loccasion dapprendre: Sur les points faibles de linfrastructure Sur les points faibles des procédures de gestion de crise Réaliser un post-mortem complet: Avec évaluation des coûts induits Justifiant les actions correctrices sil y a lieu

31 Retour sur les points daction

32 Plan daction #1 Réaliser une analyse des menaces Etablir des canaux de communication avec les salariés, clients, partenaires Mettre en place un système de documentation des alertes et leurs résolutions Préparer une personne de la communication aux spécificités des incidents de sécurité Créer/Maintenir la liste des contacts

33 Plan daction #2 Tester les backups! régulièrement!! Créer un environnement de test virtuel Créer une image Windows PE (Win PE) contenant les outils classiques de troubleshooting et danalyse ainsi que les drivers les plus communément rencontrés dans lentreprise (NIC) Créer/Tester des scripts: Pour modifier les comptes AD (expiration de mots de passe) Pour créer des fichiers bloquants lattaque Pour créer/supprimer des entrées de la base de registre Pour configurer les routeurs/firewalls/serveurs en mode Secure Créer/Tester des SRPs, et plus généralement des GPOs Créer/Tester une image du système récente (slipstreamed) Se former à lutilisation des outils de diagnostic (filemon, netmon, process explorer, …)

34 Trucs et astuces Rebooter avant linstallation de mises à jour de sécurité permet de distinguer les problèmes dus au reboot et les problèmes dus aux mises à jour Installer la recovery console sur Windows afin déviter de rechercher un CD de Windows Si vous dépendez de liens bas débit, pré positionnez les outils, mises à jours de sécurité, … sur les sites distants.

35 Questions?


Télécharger ppt "Gestion de crise Un retour dexpériences. Agenda Pourquoi cette session? Le risque informatique Préparation à la crise Gestion de la crise Actions à mener."

Présentations similaires


Annonces Google