|
Que faire en cas de d'incident SSI
Dans cette rubrique nous essayons de répondre aux questions
les plus couramment posées.
Ces consignes s'adressent aux administrateurs systèmes
et réseaux et aux chargés de SSI de l'unité. Elles supposent
que préalablement des procédures internes aient été définies
permettant l'information de ces responsables dès la
découverte de l'incident.
1) Caractériser l'incident :
- nature : s'agit-il
bien d'un incident touchant directement ou indirectement la SSI
?
- type : compromission de serveur, défiguration de
site web, compromission de fichiers sensibles, phishing,
mise en cause ou menaces par voie informatique qui doivent être
considérées comme relevant d'un incident SSI,...
Le vol de matériel informatique ou supports de données doit être considéré comme relevant
d'un incident SSI. Il fait l'objet de consignes spécifiques.
Pour en savoir plus
2) Suivre les recommandations techniques de la
voie fonctionnelle SSI pilote pour l'unité et prendre les
mesures afin de préserver les éléments qui pourraient
servir de preuve. Si nécessaire solliciter les conseils
techniques du CRSSI de votre délégation.
Pour le CNRS les consignes techniques sont les suivantes
:
-
Avertir le chargé de la SSI et le directeur d'unité.
-
Supprimer l’accès au système depuis l’extérieur et faire une sauvegarde du système dans son état pour garder des traces.
-
Remplir la fiche "suivi d’incident" et l’envoyer au CERT-Renater
avec copie à l’équipe du
CMSSI
et au
CRSSI
de votre région. En dehors des heures ouvrables, (du lundi au vendredi de 9h à 18h), l’envoyer aussi au
CERTA qui lui assure une permanence 24H/24 7j/7.
-
Informer en concertation avec le directeur du laboratoire, le/les centre(s) fournisseur(s) de ressources (calcul, bases de données...) avec lesquels les utilisateurs du laboratoire travaillent régulièrement.
-
En coordination avec le CERT-Renatter et le
CRSSI, faire une première évaluation des dégâts. En particulier, examiner les traces et tous les répertoires pour déterminer le type d’intrusion et quels sont les fichiers compromis et/ou ceux qui ont été ajoutés (cf.
conseil- recherche-piratage
pour unix
&
pour
windows).
-
Examiner toutes les autres machines pouvant être compromises.
-
Changer tous les mots de passe, surtout si vous avez détecté l’installation d’un renifleur.
-
Faire une sauvegarde et une empreinte du système.
-
Réinstaller les comptes utilisateurs.
-
Reconnecter la machine au réseau.
3) Veillez à ce que l'information
ait bien été reçue par :
- la hiérarchie organique : direction de
l'unité
- la chaîne fonctionnelle SSI de rattachement
principale de l'unité ;
s'il s'agit du CNRS : la
coordination régionale du CNRS, et le cas échéant
la chaîne fonctionnelle SSI d'autres tutelles
éventuelles.
- Les autorités compétentes, selon la gravité
de l'incident et la sensibilité de l'unité
4) Apprécier l'opportunité de déposer
plainte et déterminer "par qui" et "auprès de qui" la
plainte doit être déposée :
selon le
type et la gravité de l'incident , la sensibilité du
laboratoire, le lieu géographique, et ce en liaison avec le FSD de tutelle SSI
(Fonctionnaire de sécurité de défense du CNRS par exemple), et la hiérarchie organique.
Consulter la procédure de dépôt de
plainte du CNRS (accès par certificat).
5) Informer les acteurs impliqués dans les
suites de l'incident et de sa conclusion
Pour en savoir plus :
31 mars 2011
|
