News
L’ ENISA publie un guide de bonnes pratiques sur les Informations décisionnelles en réponse à un incident de sécurité
janvier 2015 par ENISA
L’ ENISA publie un guide de bonnes pratiques sur les Informations décisionnelles
en réponse à un incident de
sécurité(https://www.enisa.europa.eu/activities/cert/support/actionable
– information/actionable-information-for-security), dans le but de fournir une
bonne image des défis que les Equipes de réponse d’urgence informatique
(Computer Emergency Response Team, CERT) nationaux et autres organisations de
sécurité rencontrent quand ils essaient de générer des résultats utilisables
issus de larges sommes de données.
L’étude donne un large aperçu du paysage actuel d’échange de l’information dans
une optique de production d’informations pratiques, il identifie les outils et
standards existants, met en lumière les meilleures pratiques et écarts existants
et fournit des recommandations à des fins d’amélioration.
La principale partie du rapport décrit comment l’information décisionnelle est
obtenue, utilisée et partagée de manière systématique. Le modèle conceptuel
proposé, qui forme la structure de l’étude, introduit un pipeline de traitement
généralisé de l’information en cinq étapes : collecte, préparation, stockage,
analyse et distribution. Le but du modèle est de faciliter la manière avec
laquelle les CERT traitent l’information, avec le but de rationaliser le
processus de gestion des incidents.
Le Directeur Exécutif de l’ENISA Udo
Helmbrecht (https://www.enisa.europa.eu/about-enisa/structure
– organization/executive-director) a commenté : « Les CERT sont en première ligne
de notre cyber-défense. Comme leur travail quotidien est basé sur le traitement
de quantités de données croissantes, le défi est d’en tirer le meilleur et de
générer un résultat utilisable. L’information décisionnelle est identifiée comme
un élément fondamental de la réponse à un incident. Cette étude est la première
tentative de fournir un guide de référence sur le sujet pour les CERT. L’ENISA
salue cette opportunité de soutenir davantage le travail dans ce domaine, avec
un travail de notification, de recherche et le développement de futurs
outils. ».
Les écarts souvent observés dans les processus CERT afin de gérer de
l’information décisionnelle sont ici étudiés, et une série de recommandations
générales est fournie pour les organisations dotées de responsabilités
d’informations et de dissémination. Une conclusion globale montre que les
échanges d’informations n’ont pas encore atteint maturité, et que
l’environnement de partage va devoir se développer davantage avant que les
bénéfices de ces échanges soient pleinement réalisés.
Le travail inclus trois études de cas qui couvrent les aspects divers de
l’information décisionnelle gérée par les CERT. Ces scénarios capturent les
processus opérationnels de vraies équipes CERT et les caractéristiques réelles
des outils utilisés, indiquant comment ils peuvent être appliqués afin
d’améliorer la capacité des équipes CERT à produire, partager et utiliser
l’information décisionnelle.
Inventaire pour partage d’information
L’étude est accompagnée par un inventaire intitulé Standards et outils pour
l’échange et le traitement de l’information
décisionnelle (https://www.enisa.europa.eu/activities/cert/support/actionable
– information/standards-and-tools-for-exchange-and-processing-of-actionable
– information) qui peut être appliqué à des activités d’échange de l’information.
Il explore les relations entre les différents standards en fournissant une
meilleure compréhension des protocoles sous-jacents.
Dans la première partie, l’inventaire couvre un total de cinquante-trois
différents standards de partage de l’information, un mélange de formats,
protocoles, approches techniques et cadres d’utilisation communs. Ils sont
divisés en sept catégories basées sur l’étendue du standard.
Dans la seconde partie, l’inventaire consiste en seize outils d’échange
d’information et de plateformes pertinents pour les échanges et le traitement de
l’information décisionnelle. Ce sont principalement des solutions en open source
qui sont disponibles pour les CERT.
Un exercice pratique : utiliser des indicateurs pour améliorer les capacités de
défense et l’information décisionnelle
Dans le cadre du projet, un nouveau scenario d’exercice
pratique (http://www.enisa.europa.eu/activities/cert/support/actionable
– information/Usingindicatorstoenhancedefencecapabilities.pdf) a été créé comme
exercice pour les membres des équipes de réponse aux incidents et pour les
autres professionnels de la sécurité des technologies de l’information
responsables des réponses aux incidents de sécurité.
Le but de cet exercice est d’enseigner comment créer et déployer des indicateurs
de compromis utilisant une plateforme Recherche collaborative en menaces
(Collaborative Research into Threats, CRIT). En outre, il démontre comment
démultiplier les CRIT afin de visualiser les relations au sein des différents
éléments d’une campagne, comment extraire des indicateurs de données
d’accidents, développer des actions d’atténuation, et traquer ces actions.
L’exercice a été créé pour une approche plus structurée dans la gestion des
indicateurs, pour finalement arriver à être mieux équipé pour sécuriser les
réseaux.
Pour les rapports entiers :
· Informations décisionnelles en réponse à un incident de
sécurité (https://www.enisa.europa.eu/activities/cert/support/actionable
– information/actionable-information-for-security)
· Standards et outils pour l’échange et le traitement de l’information
décisionnelle (https://www.enisa.europa.eu/activities/cert/support/actionable
– information/standards-and-tools-for-exchange-and-processing-of-actionable
– information)
· Utilisation d’indicateurs pour améliorer les capacities de défense et
l’information
décisionnelle (http://www.enisa.europa.eu/activities/cert/support/actionable
– information/Usingindicatorstoenhancedefencecapabilities.pdf)
