Articles

Traitement des incidents
puce

Rapport d’incident
puce

Blackberry
puce

Outils Windows
puce

Protection contre les PDF malicieux
puce

Dépôt de plainte contre les spams ?
puce

Certificats serveurs
puce

Sécurité des sites webs
puce

Maitriser les risques de l’externalisation
puce

Note sur Flash Player
puce

Note sur phpMyAdmin
puce

Sensibilisation au phishing
puce

Vérifier les mises à jour de ses logiciels

Sécurité > Notes > Traitement des incidents

Qu’est-ce qu’un « incident de sécurité » ?

Sous cette appellation générale, nous désignons les actes illicites, les utilisations frauduleuses, les intrusions de pirates, les pertes ou vols de données sensibles, etc. Tout fait qui a ou peut avoir un impact sur la sécurité des systèmes d’information.

Pour l’utilisateur, cela se traduira par exemple par la détection d’un virus, la constatation d’une intrusion sur un système informatique, le vol d’un mot de passe.

Informer « la chaîne SSI »

En premier lieu, il convient de prévenir votre informaticien de proximité, et le RSSI de l’université (rssi@unilim.fr). Il est vital de remonter les incidents, car il faut avoir une vue globale au niveau de l’établissement : un acte qui paraît sans conséquence peut être lié à d’autres faits.

Voir aussi l’article sur la chaîne SSI.

Par ailleurs, certains actes peuvent nécessiter un dépôt de plainte, s’il y a atteinte au patrimoine informationnel de l’Université, à son image, ou s’il faut se protéger d’un risque juridique. Seul le président, personne juridiquement responsable de l’Université, est apte à déposer plainte dans ces cas.

Ne pas agir dans la précipitation

Ne pas agir dans la précipitation est important. Parfois, on peut vouloir se dépêcher : pour arrêter la propagation d’un virus, pour remettre en route un site web ou un serveur, etc. Ces bonnes raisons ne doivent pas faire oublier qu’il ne faut pas effacer les traces d’une intrusion. En effet, le but de l’analyse sera de comprendre au mieux ce qui s’est passé : comment l’incident est arrivé, quels en sont les causes, les actions, les conséquences.

Par ailleurs, en cas d’acte grave qui peut amener à un dépôt de plainte, le système doit être analysable par la justice, sinon la validité de l’enquête serait compromise.

Faire une analyse

Voici quelques conseils pour débuter un bon traitement de l’incident. Nous n’indiquons pas ici comment procéder, car cela nécessiterait un cours complet, mais seulement les grandes idées directrices.

Ne pas éteindre immédiatement la machine : on perdrait alors des informations comme les connexions réseaux en cours, le contenu de la mémoire vive, la liste des processus, etc., toutes informations à relever (par votre informaticien ou le RSSI).
Pour isoler la machine, il est préférable de la déconnecter du réseau, ou de lui interdire de « sortir » du réseau avec des règles de blocage sur le routeur ou le firewall de composante
Noter tout ce que vous faites, au fur et à mesure des actions
Garder à l’esprit que toutes les informations relevées « à chaud » ne sont pas fiables, car un pirate ayant pris le contrôle de la machine peut se camoufler aisément
Une fois les informations recueillies « à chaud », on peut éteindre la machine, et on pourra alors débuter une analyse « à froid », en examinant le contenu du disque dur depuis un système fiable
Si on craint un incident grave, il faut alors prendre une image du disque dur, avec son empreinte (somme md5), afin de pouvoir faire l’analyse dessus, et ne pas toucher au système visé !
L’analyse « à froid » doit toujours être faite depuis un système fiable : par exemple avec un CD-ROM amorçable (bootable), en branchant le disque sur une autre machine, etc. Cette analyse permettra de rechercher les virus, les fichiers suspects, examiner les journaux du système, etc.

La dernière phase sera la remise en route de la machine : la bonne pratique voudrait qu’on ré-installe tout le système et les applications. Facile à faire lorsque le parc est correctement administré et qu’on dispose de procédures (par exemple des images à recopier sur le disque). En pratique, on est souvent amené à essayer de « réparer », ce qui comporte des risques : on peut laisser du matériel pirate, on laisse des vulnérabilités …

Le mot de la fin

Quoiqu’il en soit, une bonne sécurité commence par une bonne maîtrise des outils que l’on utilise, et par le respect de « fondamentaux » de la sécurité informatique : mettre à jour ses logiciels, lire et respecter les consignes de sécurité, choisir des bons mots de passe, ne pas donner plus de droits que nécessaire, etc.

Le traitement des incidents est une pratique exceptionnelle, mais pendant laquelle il faut rester vigilant : l’urgence de la situation ne doit pas faire oublier des bons réflexes !

Références

La note d’information 2002-INF-002-003 du CERT-A (émise en 2002, modifiée en 2008) est un bon document, plus complet que l’article publié ici
Que faire en cas d’incident SSI, par le CNRS
Rapide description des types d’incidents les plus courants, par le CERT Renater

Modifié le : 13 janvier 2012