Gestion de crise Un retour dexpériences. Agenda Pourquoi cette session? Le risque informatique Préparation à la crise Gestion de la crise Actions à mener.

Slides:



Advertisements
Présentations similaires
Sécurité informatique
Advertisements

Active Directory Windows 2003 Server
« The Unique Global Publisher » Présence sur les 3 continents et sur tous les canaux de ventes Avanquest Software TechnologyAvanquest Software Publishing.
Traitement des alertes dans l’entreprise
Projet de Virtualisation dans le cadre d’un PCA/PRA
Sécurisez votre information Quelle sécurité pour votre cabinet comptable?
Protection du réseau périphérique avec ISA 2004
Botnet, défense en profondeur
Microsoft Office Groove Le contexte Une utilisation des postes de travail en très grande évolution chez les professionnels. Des lieux de travail.
Conception de la sécurité pour un réseau Microsoft
Module 10 : Gestion et analyse de l'accès réseau
Vue d'ensemble Vue d'ensemble de la sécurité dans Windows Server 2003
Vue d'ensemble Implémentation de la sécurité IPSec
Module 6 : Gestion et analyse du système DNS
La politique de Sécurité
Les réseaux informatiques
Assistance à distance Parfois on se sent bien seul face à un problème informatique surtout si on n’est qu’un simple utilisateur. Lorsqu'un problème survient.
Administration des serveurs Samba Edu - se3
Présentation La société VFCS, offre un éventail très large de services couvrant vos besoins liés aux technologies actuelles de l'informatique. Du développement,
Note préalable Nous avons créé cette présentation pour vous, qui vous préoccupez de la sécurité informatique au sein de votre entreprise. Elle recense.
Département de physique/Infotronique
Système de stockage réseaux NAS - SAN
La sécurité du poste de travail Tous les systèmes sont concernés !!! Accès non autorisé Risque dintrusion extérieure Risque de perte de données Risque.
Active Directory Windows 2003 Server
SECURITE DU SYSTEME D’INFORMATION (SSI)
Administration système
Module 1 : Préparation de l'administration d'un serveur
Solidarités et réussites Académie de Créteil Présentation du Cartable En Ligne.
Avec Toggl, le suivi du temps…
1 Sécurité Informatique : Proxy Présenter par : Mounir GRARI.
Domaine IT Heure-DIT L'heure-DIT
Gestion des frais et des remboursements Synthèse du scénario
Le protocole FTP.
BitDefender Enterprise Manager. BitDefender Enterprise Manager – protection centralisée pour votre réseau Principales fonctions Fonctions spéciales (WMI)
Module 8 : Maintenance des logiciels à l'aide des services SUS
Module 2 : Préparation de l'analyse des performances du serveur
“Si vous ne pouvez expliquer un concept à un enfant de six ans, c’est que vous ne le comprenez pas complètement” - Albert Einstein.
Du 25 mai au 15 juin Déployer Windows Vista et Office 2007 Bruce Cowper Conseiller professionnel en TI Microsoft Canada Damir.
Novembre – Décembre 2005 Version Conclusion État de lart de la sécurité informatique Auteurs : Stéphan GUIDARINI – Consultant Senior Sébastien DESSE.
Valorisation Forfait Informatique. Page 2 Avantages de base Sans Forfait InformatiqueAvec Forfait Informatique Compétences Ressources Peu de compétences.

APPLICATIONS MÉTIER COLLABORATIONSTOCKAGEPLATE-FORMEIDENTITÉCOMMUNICATIONSPRODUCTIVITÉ SUR SITE SERVICES DE « CLOUD COMPUTING »
Sécurité et confidentialité dans Microsoft Internet Explorer William Keener Développement de contenu Global Service Automation Microsoft Corporation.
Expose sur « logiciel teamviewer »
GESTION DES UTILISATEURS ET DES GROUPES
Back Orifice Scénario en 3 étapes - Préparation & envoi - Infection & Installation - Prise de contrôle - Détections Possibles - Net-Based - Host-Based.
Mémoire de 3 ème Année - Veille en sécurité et traitement des alertes BERGERAS Thibault - JEUDY François - VENCE Eric 3 BR BERGERAS Thibault - JEUDY François.
FTP : File Transfer Protocol (protocole de transfert de fichier ) est un protocole de communication destiné à l'échange informatique de fichiers sur.
Positionnement : Outil de supervision et d’administration spécialiste Les management packs de l’éditeur et la base de connaissance embarquée Rapidité.
Module 3 : Création d'un domaine Windows 2000
22 Retour d’expérience sur le ver Conficker 8 février 2010 Jean Gautier Security Support Engineer Microsoft France.
20/07/2005 Etude du Cas ISEC S.A.R.L. au capital de € 302 Avenue de la Libération NANCY Tel :
1 Rôle de la technologie dans la diffusion et l’utilisation des données du recensement _______________________________.
JeanDo Lénard – Fondamentaux de l'Internet – Hetic –30 Janvier 2007 page 1 Fondamentaux de l'Internet (FDI) JeanDo Lénard
Citrix ® Presentation Server 4.0 : Administration Module 9 : Déploiement d'applications.
Support.ebsco.com Didacticiel Mon EBSCOhost Didacticiel.
Cluster d’équilibrage de charge réseau
Outil de Supervision Réseau
Lellouche Aaron ITIC Paris
Table Ronde Bulletins de Sécurité MS Bulletin de sécurité hors cycle.
Julien Lamure - Réunion des CI du 15/11/2006 Quelques utilitaires de création de comptes pour Windows 2003 server - GUNT - Gestion - PowerAD - Magret -
La solution KoXo Administrator
Système de récupération de données pour EMC Avamar.
Sécurisation infrastructure Altibus Ajout d’un serveur pour le réseau Call Center.
Chapitre 8 Protection du trafic réseau à l'aide de la sécurité IPSec et de certificats Module S43.
Installation du PGI – CEGID
Les outils collaboratifs Assane Fall Bibliothécaire / Veilleur technologique.
Transcription de la présentation:

Gestion de crise Un retour dexpériences

Agenda Pourquoi cette session? Le risque informatique Préparation à la crise Gestion de la crise Actions à mener

Pourquoi cette session? Car la crise peut arriver Car les coûts induits peuvent être lourds Car se préparer va tout changer: Pour ne pas paniquer Pour éviter les improvisations Pour réduire le temps de perturbation Enfin, la préparation à gérer une crise est une composante essentielle de la sécurité en profondeur

Le risque informatique Lanalyse du risque

Causes dincidents de sécurité

Analyse de risques Identifier les ressources critiques: Serveurs de messagerie Comptabilité/Facturation/CRM Serveurs de fichiers sensibles (appels doffre, spécifications, code source, plans…) Tous les postes clients Serveurs Intranet/Extranet/Internet Postes dadministration Serveurs de backup …

Etude dimpact Les impacts sont multiples: Perte de données Vol dinformation Indisponibilité Vol didentité Chiffrer les conséquences dune attaque réussie Prendre en compte les lois régissant votre domaine dactivité (santé, légal, etc.…)

Analyse des menaces A chaque incident chiffré, on attribue un facteur de probabilité de réussite dune attaque. On en déduit une liste ordonnée des menaces les plus graves et les plus probables pesant sur le système dinformation

Règles de réaction Déterminent le seuil de crise de sécurité Découlent directement de limpact potentiel ou avéré sur lactivité de lentreprise Régissent et justifient les décisions prises

Se préparer à gérer une crise

Les bonnes pratiques Mettre en place la redondance Documenter et tester les procédures de sauvegarde et restauration Implémenter le contrôle du changement Définir les procédures durgence et leur conditions de déclenchement

Durcir les machines critiques en fonction de leur rôle, appliquer les patrons de sécurité: Serveurs, Contrôleurs de domaine, Autorité de Certification, Postes clients, … Adapter la configuration et les procédures Mots de passe forts Mises à jour de sécurité Moindre privilège Audit des comptes

Créer un environnement de test Créer les machines virtuelles représentatives du parc: Contrôleur de domaine Serveur de messagerie Serveur Intranet/Internet Postes de travail … A moindre coût, permet dévaluer très rapidement limpact dune action corrective

Former une équipe de crise Apte à communiquer avec le management Apte à analyser le profil de lattaque Se former à lutilisation des outils: filemon, netmon, mps reports, … Apte à protéger: Préparer des scripts pour modifier la configuration du routeur, la configuration des serveurs etc.… Fermeture de routeurs segmentant les réseaux sains des réseaux compromis (au moyens de scripts préétablis)

Former une équipe de crise Apte à implémenter un plan de riposte: Avec une image Windows PE (Win PE) contenant les outils classiques de troubleshooting et danalyse ainsi que les pilotes les plus courants dans lentreprise (NIC) Au moyen de scripts: Pour modifier les comptes AD (expiration de mots de passe) Pour créer des fichiers bloquants lattaque Pour créer/supprimer des entrées de la base de registre Pour configurer les routeurs/firewalls/serveurs en mode Secure Avec les GPOs et SRPs Avec une image du système récente (slipstreamed)

Etre prêt à communiquer Préparer une personne de la communication/relation presse A ne jamais donner de date de résolution A ne communiquer que les faits avérés Créer/Maintenir la liste des contacts: Du management Des opérationnels Des interlocuteurs extérieurs: Microsoft PSS Security, Anti-virus,Consultants

Prêt à protéger Scripts de configuration de routeurs/pare-feu Pour couper le lien Internet Ségréguer les réseaux sains/infectés Isoler les serveurs obsolètes Méthode de déploiement minute de mises à jour de securité

Etre attentifs Soyez joignables et à lécoute Communiquez: Une adresse Un formulaire Web ( Un numéro dalerte (facile à retenir) Observez: Le trafic réseau Les alertes remontées par lanti-virus Les évènements Windows Vos sondes anti-intrusion Le volume de soumission de demandes de support

Qualifier lalerte Corréler Ne rien affirmer à partir dune seule source Traiter tout incident rapporté! Permet de rien laisser passer Valorise la personne remontant le problème Documenter Pour accélérer le traitement des incidents ultérieurs similaires

Gestion de la crise

Collecter, Mobiliser Collecter des informations Process Explorer( NetMon (ftp://ftp.microsoft.com/PSS/Tools/Netmon/Netmon2.zip) FileMon/RegMon( ) MPSReport ( Requérir de laide Fournisseur danti-virus Microsoft PSS Security Société de conseil spécialisée

Protéger, immédiatement Serveurs obsolètes Serveurs de fichiers critiques en mode lecture seule Serveur de messagerie isolés dInternet Fermeture de la connexion vers Internet: Pour éviter la fuite dinformation Pour couper le canal de contrôle Pour ne pas devenir le relais dune attaque Fermeture de routeurs …

Communiquer Se synchroniser régulièrement avec les différentes équipes impliquées: Points davancement régulier Partage dinformation Sassurer que tous sont sur la même page Informer le management: Quun incident se produit Quil sera amené à prendre des décisions Du plan daction Informer les tiers impliqués SalariésClientsPartenaires…

Analyser Les informations collectées Traces réseaux Echantillons de malware (virus, rootkit, bot, …) Evènements Différences avec la ligne de référence Fichiers créés Services Clés de registre… Moyens de persistence Avec laide de tiers: PSS Security, Fournisseur anti-virus

Identifier le profil de lattaque Mises à jour non déployées Mots de passe faibles … Attaque automatique ou manuelle

Etablir la riposte #1 Protéger: Déploiement immédiat de mises à jour: De sécurité Des signatures anti-virus, filtres, … Expiration de mots de passe Création de Sofware Restriction Policies (KB324036) ACLs dans la base de registre Créer un fichier vide avec des ACLs bloquant limplantation du malware

Etablir la riposte #2 Nettoyer Créer un script, en relation avec votre fournisseur danti- virus et/ou PSS Security pour supprimer les traces visibles du malware Utiliser une image Win PE pour intervenir sur la machine sans souffrir de limpact du malware ( x) xhttp:// xReconstruire Utiliser une image Windows avec les dernières mises à jour intégrées (« slipstreamed »). ( hfdeploy.mspx#EEAA) hfdeploy.mspx#EEAAhttp:// hfdeploy.mspx#EEAA

Tester la riposte Utiliser lenvironnement de test virtuel! Permet de détecter les problèmes: De scripts (privilèges insuffisants, chargement de ruches, …) Dincompatibilité applicative De déploiement

Implémenter la riposte Désactiver Automatic System Restore (KB310405) Déployer la riposte sur un échantillon de systèmes Surveiller déventuelles réinfections Si tout va bien, déployer largement!

Apprendre! Chaque crise est loccasion dapprendre: Sur les points faibles de linfrastructure Sur les points faibles des procédures de gestion de crise Réaliser un post-mortem complet: Avec évaluation des coûts induits Justifiant les actions correctrices sil y a lieu

Retour sur les points daction

Plan daction #1 Réaliser une analyse des menaces Etablir des canaux de communication avec les salariés, clients, partenaires Mettre en place un système de documentation des alertes et leurs résolutions Préparer une personne de la communication aux spécificités des incidents de sécurité Créer/Maintenir la liste des contacts

Plan daction #2 Tester les backups! régulièrement!! Créer un environnement de test virtuel Créer une image Windows PE (Win PE) contenant les outils classiques de troubleshooting et danalyse ainsi que les drivers les plus communément rencontrés dans lentreprise (NIC) Créer/Tester des scripts: Pour modifier les comptes AD (expiration de mots de passe) Pour créer des fichiers bloquants lattaque Pour créer/supprimer des entrées de la base de registre Pour configurer les routeurs/firewalls/serveurs en mode Secure Créer/Tester des SRPs, et plus généralement des GPOs Créer/Tester une image du système récente (slipstreamed) Se former à lutilisation des outils de diagnostic (filemon, netmon, process explorer, …)

Trucs et astuces Rebooter avant linstallation de mises à jour de sécurité permet de distinguer les problèmes dus au reboot et les problèmes dus aux mises à jour Installer la recovery console sur Windows afin déviter de rechercher un CD de Windows Si vous dépendez de liens bas débit, pré positionnez les outils, mises à jours de sécurité, … sur les sites distants.

Questions?

Feed-back: Politique de confidentialité Feed-back
Do Not Sell My Personal Information
Notre projet: SlidePlayer Les conditions d'utilisation

© 2024 SlidePlayer.fr Inc. All rights reserved.