Gestion de criseGestion de crise

Un retour d’expériences

Agenda

Pourquoi cette session?Pourquoi cette session?

Le risque informatiqueLe risque informatique

Préparation à la crisePréparation à la crise

Gestion de la criseGestion de la crise

Actions à menerActions à mener

Pourquoi cette session?

Car la crise peut arriverCar la crise peut arriverCar les coûts induits peuvent être lourdsCar les coûts induits peuvent être lourds

Car se préparer va tout changer:Car se préparer va tout changer:Pour ne pas paniquerPour ne pas paniquerPour éviter les ‘improvisations’Pour éviter les ‘improvisations’Pour réduire le temps de perturbationPour réduire le temps de perturbation

Enfin, la préparation à gérer une crise est une Enfin, la préparation à gérer une crise est une composante essentielle de la sécurité en composante essentielle de la sécurité en profondeurprofondeur

Le risque informatique

Le risque informatique

L’analyse du risque

Causes d’incidents de sécurité

0% 20% 40% 60% 80%

EspionageIndustriel

AttaquesExternes

Attaques Internes

ErreursHumaines

Analyse de risques

Identifier les ressources critiques:Identifier les ressources critiques:Serveurs de messagerieServeurs de messagerie

Comptabilité/Facturation/CRMComptabilité/Facturation/CRM

Serveurs de fichiers ‘sensibles’ (appels Serveurs de fichiers ‘sensibles’ (appels d’offre, spécifications, code source, plans…)d’offre, spécifications, code source, plans…)

Tous les postes clientsTous les postes clients

Serveurs Intranet/Extranet/InternetServeurs Intranet/Extranet/Internet

Postes d’administrationPostes d’administration

Serveurs de backupServeurs de backup

……

Etude d’impact

Les impacts sont multiples:Les impacts sont multiples:Perte de donnéesPerte de données

Vol d’informationVol d’information

IndisponibilitéIndisponibilité

Vol d’identitéVol d’identité

Chiffrer les conséquences d’une attaque Chiffrer les conséquences d’une attaque réussieréussie

Prendre en compte les lois régissant votre Prendre en compte les lois régissant votre domaine d’activité (santé, légal, etc.…)domaine d’activité (santé, légal, etc.…)

Analyse des menaces

A chaque incident chiffré, on attribue A chaque incident chiffré, on attribue un facteur de probabilité de réussite un facteur de probabilité de réussite d’une attaque.d’une attaque.

On en déduit une liste ordonnée des On en déduit une liste ordonnée des menaces les plus graves et les plus menaces les plus graves et les plus probables pesant sur le système probables pesant sur le système d’informationd’information

Règles de réaction

Déterminent le seuil de ‘crise de Déterminent le seuil de ‘crise de sécurité’sécurité’

Découlent directement de l’impact Découlent directement de l’impact potentiel ou avéré sur l’activité de potentiel ou avéré sur l’activité de l’entreprisel’entreprise

Régissent et justifient les décisions Régissent et justifient les décisions prisesprises

Se préparer à gérer une criseSe préparer à

gérer une crise

Les bonnes pratiques

Mettre en place la redondanceMettre en place la redondance

Documenter et tester les procédures de Documenter et tester les procédures de sauvegarde sauvegarde etet restauration restauration

Implémenter le contrôle du changementImplémenter le contrôle du changement

Définir les procédures d’urgence et leur Définir les procédures d’urgence et leur conditions de déclenchementconditions de déclenchement

Durcir les machines critiques

en fonction de leur rôle, appliquer les patrons en fonction de leur rôle, appliquer les patrons de sécurité: de sécurité:

Serveurs, Serveurs, Contrôleurs de domaine, Contrôleurs de domaine, Autorité de Certification,Autorité de Certification,Postes clients,Postes clients, … …

Adapter la configuration et les procéduresAdapter la configuration et les procéduresMots de passe fortsMots de passe fortsMises à jour de sécuritéMises à jour de sécuritéMoindre privilègeMoindre privilègeAudit des comptesAudit des comptes

Créer un environnement de test

Créer les machines virtuelles Créer les machines virtuelles représentatives du parc:représentatives du parc:

Contrôleur de domaineContrôleur de domaineServeur de messagerieServeur de messagerieServeur Intranet/InternetServeur Intranet/InternetPostes de travailPostes de travail……

A moindre coût, permet d’évaluer très A moindre coût, permet d’évaluer très rapidement l’impact d’une action rapidement l’impact d’une action correctivecorrective

Former une équipe de crise

Apte à communiquer avec le managementApte à communiquer avec le management

Apte à analyser le profil de l’attaqueApte à analyser le profil de l’attaqueSe former à l’utilisation des outils: filemon, Se former à l’utilisation des outils: filemon, netmon, mps reports, …netmon, mps reports, …

Apte à protéger:Apte à protéger:Préparer des scripts pour modifier la configuration Préparer des scripts pour modifier la configuration du routeur, la configuration des serveurs etc.…du routeur, la configuration des serveurs etc.…

Fermeture de routeurs segmentant les réseaux Fermeture de routeurs segmentant les réseaux sains des réseaux compromis (au moyens de sains des réseaux compromis (au moyens de scripts scripts préétablispréétablis))

Former une équipe de crise

Apte à implémenter un plan de riposte:Apte à implémenter un plan de riposte:Avec une image Windows PE (Win PE) contenant Avec une image Windows PE (Win PE) contenant les outils classiques de troubleshooting et les outils classiques de troubleshooting et d’analyse ainsi que les pilotes les plus courants d’analyse ainsi que les pilotes les plus courants dans l’entreprise (NIC)dans l’entreprise (NIC)

Au moyen de scripts:Au moyen de scripts:Pour modifier les comptes AD (expiration de mots de Pour modifier les comptes AD (expiration de mots de passe)passe)

Pour créer des fichiers bloquants l’attaquePour créer des fichiers bloquants l’attaque

Pour créer/supprimer des entrées de la base de registrePour créer/supprimer des entrées de la base de registre

Pour configurer les routeurs/firewalls/serveurs en mode Pour configurer les routeurs/firewalls/serveurs en mode ‘Secure’‘Secure’

Avec les GPOs et SRPsAvec les GPOs et SRPs

Avec une image du système récente (slipstreamed)Avec une image du système récente (slipstreamed)

Etre prêt à communiquer

Préparer une personne de la Préparer une personne de la communication/relation pressecommunication/relation presse

A ne jamais donner de date de résolutionA ne jamais donner de date de résolution

A ne communiquer que les faits avérésA ne communiquer que les faits avérés

Créer/Maintenir la liste des contacts:Créer/Maintenir la liste des contacts:Du managementDu management

Des opérationnelsDes opérationnels

Des interlocuteurs extérieurs:Des interlocuteurs extérieurs:Microsoft PSS Security, Microsoft PSS Security,

Anti-virus, Anti-virus,

ConsultantsConsultants

Prêt à protéger

Scripts de configuration de Scripts de configuration de routeurs/pare-feurouteurs/pare-feu

Pour couper le lien InternetPour couper le lien Internet

Ségréguer les réseaux sains/infectésSégréguer les réseaux sains/infectés

Isoler les serveurs obsolètesIsoler les serveurs obsolètes

Méthode de déploiement ‘minute’ de Méthode de déploiement ‘minute’ de mises à jour de securitémises à jour de securité

Etre attentifs

Soyez joignables et à l’écouteSoyez joignables et à l’écouteCommuniquez:Communiquez:

Une adresse email (Une adresse email (alerte@macompagnie.comalerte@macompagnie.com))

Un formulaire Web (http://securite)Un formulaire Web (http://securite)

Un numéro d’alerte (facile à retenir)Un numéro d’alerte (facile à retenir)

Observez:Observez:Le trafic réseauLe trafic réseau

Les alertes remontées par l’anti-virusLes alertes remontées par l’anti-virus

Les évènements WindowsLes évènements Windows

Vos sondes anti-intrusionVos sondes anti-intrusion

Le volume de soumission de demandes de Le volume de soumission de demandes de supportsupport

Qualifier l’alerte

CorrélerCorrélerNe rien affirmer à partir d’une seule sourceNe rien affirmer à partir d’une seule source

Traiter tout incident rapporté!Traiter tout incident rapporté!Permet de rien laisser passerPermet de rien laisser passerValorise la personne remontant le Valorise la personne remontant le problèmeproblème

DocumenterDocumenterPour accélérer le traitement des incidents Pour accélérer le traitement des incidents ultérieurs similairesultérieurs similaires

Gestion de la criseGestion de la crise

Collecter, Mobiliser

Collecter des informationsCollecter des informationsProcess ExplorerProcess Explorer ((www.sysinternals.com)www.sysinternals.com)NetMonNetMon (ftp://ftp.microsoft.com/PSS/Tools/Netmon/(ftp://ftp.microsoft.com/PSS/Tools/Netmon/Netmon2.zip)Netmon2.zip)

FileMon/RegMonFileMon/RegMon ((www.sysinternals.comwww.sysinternals.com))MPSReportMPSReport ((http://www.microsoft.com/downloads/details.aspx?FamilyId=CEBF3C7C-7CA5-408F-88B7-http://www.microsoft.com/downloads/details.aspx?FamilyId=CEBF3C7C-7CA5-408F-88B7-

F9C79B7306C0&displaylang=en)F9C79B7306C0&displaylang=en)

Requérir de l’aideRequérir de l’aideFournisseur d’anti-virusFournisseur d’anti-virusMicrosoft PSS SecurityMicrosoft PSS SecuritySociété de conseil spécialiséeSociété de conseil spécialisée

Protéger, immédiatement

Serveurs obsolètesServeurs obsolètesServeurs de fichiers critiques en mode Serveurs de fichiers critiques en mode lecture seulelecture seuleServeur de messagerie isolés d’InternetServeur de messagerie isolés d’InternetFermeture de la connexion vers Internet:Fermeture de la connexion vers Internet:

Pour éviter la fuite d’informationPour éviter la fuite d’informationPour couper le canal de contrôlePour couper le canal de contrôlePour ne pas devenir le relais d’une attaquePour ne pas devenir le relais d’une attaque

Fermeture de routeursFermeture de routeurs……

Communiquer

Se synchroniser régulièrement avec les différentes Se synchroniser régulièrement avec les différentes équipes impliquées:équipes impliquées:

Points d’avancement régulierPoints d’avancement régulierPartage d’informationPartage d’informationS’assurer que tous sont sur la même pageS’assurer que tous sont sur la même page

Informer le management:Informer le management:Qu’un incident se produitQu’un incident se produitQu’il sera amené à prendre des décisionsQu’il sera amené à prendre des décisionsDu plan d’actionDu plan d’action

Informer les tiers impliquésInformer les tiers impliquésSalariésSalariésClientsClientsPartenairesPartenaires……

Analyser

Les informations collectéesLes informations collectéesTraces réseauxTraces réseauxEchantillons de malware (virus, rootkit, bot, Echantillons de malware (virus, rootkit, bot, …)…)EvènementsEvènementsDifférences avec la ligne de référenceDifférences avec la ligne de référence

Fichiers créésFichiers créésServicesServicesClés de registre…Clés de registre…

Moyens de persistenceMoyens de persistence

Avec l’aide de tiers: Avec l’aide de tiers: PSS Security, Fournisseur anti-virusPSS Security, Fournisseur anti-virus

Identifier le profil de l’attaque

Mises à jour non déployéesMises à jour non déployées

Mots de passe faiblesMots de passe faibles

EMailEMail

……

Attaque automatique ou manuelleAttaque automatique ou manuelle

Etablir la riposte #1

Protéger:Protéger:Déploiement immédiat de mises à jour:Déploiement immédiat de mises à jour:

De sécuritéDe sécurité

Des signatures anti-virus, filtres, …Des signatures anti-virus, filtres, …

Expiration de mots de passeExpiration de mots de passe

Création de Sofware Restriction Policies (KBCréation de Sofware Restriction Policies (KB324036324036))

ACLs dans la base de registreACLs dans la base de registre

Créer un fichier ‘vide’ avec des ACLs Créer un fichier ‘vide’ avec des ACLs bloquant l’implantation du malwarebloquant l’implantation du malware

Etablir la riposte #2

NettoyerNettoyerCréer un script, en relation avec votre fournisseur Créer un script, en relation avec votre fournisseur d’anti-virus et/ou PSS Security pour supprimer les d’anti-virus et/ou PSS Security pour supprimer les traces ‘visibles’ du malwaretraces ‘visibles’ du malware

Utiliser une image Win PE pour intervenir sur la Utiliser une image Win PE pour intervenir sur la machine sans ‘souffrir’ de l’impact du malwaremachine sans ‘souffrir’ de l’impact du malware((

http://www.microsoft.com/licensing/programs/sa/benefits/http://www.microsoft.com/licensing/programs/sa/benefits/winpe.mspxwinpe.mspx) )

ReconstruireReconstruireUtiliser une image Windows avec les dernières Utiliser une image Windows avec les dernières mises à jour intégrées (« slipstreamed »).mises à jour intégrées (« slipstreamed »).((

http://www.microsoft.com/technet/security/topics/patchmhttp://www.microsoft.com/technet/security/topics/patchmanagement/hfdeploy.mspx#EEAAanagement/hfdeploy.mspx#EEAA))

Tester la riposte

Utiliser l’environnement de test virtuel!Utiliser l’environnement de test virtuel!

Permet de détecter les problèmes:Permet de détecter les problèmes:De scripts (privilèges insuffisants, De scripts (privilèges insuffisants, chargement de ruches, …)chargement de ruches, …)

D’incompatibilité applicativeD’incompatibilité applicative

De déploiementDe déploiement

Implémenter la riposte

Désactiver Automatic System Restore Désactiver Automatic System Restore (KB310405)(KB310405)

Déployer la riposte sur un échantillon Déployer la riposte sur un échantillon de systèmesde systèmes

Surveiller d’éventuelles réinfectionsSurveiller d’éventuelles réinfections

Si tout va bien, déployer largement!Si tout va bien, déployer largement!

Apprendre!

Chaque crise est l’occasion Chaque crise est l’occasion d’apprendre:d’apprendre:

Sur les points faibles de l’infrastructureSur les points faibles de l’infrastructure

Sur les points faibles des procédures de Sur les points faibles des procédures de gestion de crisegestion de crise

Réaliser un post-mortem complet:Réaliser un post-mortem complet:Avec évaluation des coûts induitsAvec évaluation des coûts induits

Justifiant les actions correctrices s’il y a lieuJustifiant les actions correctrices s’il y a lieu

Retour sur les points d’actionRetour sur les points d’action

Plan d’action #1

Réaliser une analyse des menacesRéaliser une analyse des menaces

Etablir des canaux de communication Etablir des canaux de communication avec les salariés, clients, partenairesavec les salariés, clients, partenaires

Mettre en place un système de Mettre en place un système de documentation des alertes et leurs documentation des alertes et leurs résolutionsrésolutions

Préparer une personne de la Préparer une personne de la communication aux spécificités des communication aux spécificités des incidents de sécuritéincidents de sécurité

Créer/Maintenir la liste des contactsCréer/Maintenir la liste des contacts

Plan d’action #2

Tester les backups! régulièrement!!Tester les backups! régulièrement!!Créer un environnement de test virtuelCréer un environnement de test virtuelCréer une image Windows PE (Win PE) contenant les Créer une image Windows PE (Win PE) contenant les outils classiques de troubleshooting et d’analyse ainsi outils classiques de troubleshooting et d’analyse ainsi que les drivers les plus communément rencontrés dans que les drivers les plus communément rencontrés dans l’entreprise (NIC)l’entreprise (NIC)Créer/Tester des scripts:Créer/Tester des scripts:

Pour modifier les comptes AD (expiration de mots de passe)Pour modifier les comptes AD (expiration de mots de passe)Pour créer des fichiers bloquants l’attaquePour créer des fichiers bloquants l’attaquePour créer/supprimer des entrées de la base de registrePour créer/supprimer des entrées de la base de registrePour configurer les routeurs/firewalls/serveurs en mode Pour configurer les routeurs/firewalls/serveurs en mode ‘Secure’‘Secure’

Créer/Tester des SRPs, et plus généralement des GPOsCréer/Tester des SRPs, et plus généralement des GPOsCréer/Tester une image du système récente Créer/Tester une image du système récente (slipstreamed)(slipstreamed)Se former à l’utilisation des outils de diagnostic Se former à l’utilisation des outils de diagnostic (filemon, netmon, process explorer, …)(filemon, netmon, process explorer, …)

Trucs et astuces

Rebooter avant l’installation de mises à Rebooter avant l’installation de mises à jour de sécurité permet de distinguer jour de sécurité permet de distinguer les problèmes dus au reboot et les les problèmes dus au reboot et les problèmes dus aux mises à jourproblèmes dus aux mises à jour

Installer la recovery console sur Installer la recovery console sur Windows afin d’éviter de rechercher un Windows afin d’éviter de rechercher un CD de WindowsCD de Windows

Si vous dépendez de liens bas débit, Si vous dépendez de liens bas débit, pré positionnez les outils, mises à jours pré positionnez les outils, mises à jours de sécurité, … sur les sites distants.de sécurité, … sur les sites distants.

Questions?