Analyse forensique
L’analyse forensique fournit des preuves à la justice et aide à mieux comprendre les incidents.
À l’image d’une scène de crime les systèmes d’une entreprise victime de piratage ou de fraude informatique regorgent de traces laissées par l’attaquant. L’analyse forensique a pour objectif de les découvrir, de les conserver et, parfois, de les interpréter.
Ces traces pourront être exploitées en justice (c’est le domaine de l’analyse légale) et/ou en interne afin de reconstituer le parcours de l’attaquant, d’identifier les informations exfiltrées et de comprendre les vulnérabilités exploitées (c’est l’analyse technique, voir encadré).
Les recherches peuvent porter sur les journaux d’applications ou d’équipements réseaux, sur la mémoire vive des systèmes (y compris des smartphones !) ou encore les systèmes de stockage (fichiers temporaires, secteurs effacés des disques durs…).
Choisir son prestataire
Ces interventions nécessitent une expertise et des outils spécifiques.
Du côté de l’expertise, le choix d’un prestataire devra se faire sur la base de ses certifications, à la fois professionnelles (Certified Computer Forensics Examiner, GIAC Forensic Analyst, etc.) et techniques (consultant certifié sur des solutions particulières).
Les outils, quant a eux, sont logiciels (libres ou, le plus souvent, commerciaux) et matériels (notamment les bloqueurs d’écriture, qui garantissent l’intégrité du disque original durant la procédure).
Légal ou technique :
les deux approches forensiques
Selon l’objectif recherché une prestation d’analyse forensique sera de nature différente. L’analyse légale a pour objectif de produire des preuves numériques fiables qui pourront être utilisées par un tribunal. Les conditions de recueil et de conservation sont donc primordiales.
L’analyse technique, quant à elle, s’intéressera aux méthodes de l’attaquant : elle analysera notamment en détail les codes malveillants et les outils exploités durant l’attaque.
Surveillance continue
La surveillance continue collecte les informations de sécurité et les compare à un référentiel afin d’en détecter les écarts en temps réel.
La surveillance continue est une tendance lourde qui s’inscrit dans une volonté de maîtrise du risque en temps réel. Elle s’appuie sur d’autres tendances importantes telles que les SIEM ou la gestion des journaux pour la collecte et l’analyse des données, et des tableaux de bord de sécurité pour leur visualisation.
Ce marché a un nom, et même son acronyme : c’est l’ISCM, pour « information security continuous monitoring ».
La difficulté inhérente à un projet ISCM est son intégration à l’existant. Il s’agira donc souvent avant tout d’un projet d’intégration.
Intégration et conseil
Mais pas seulement : si l’objectif est d’évaluer en temps réel la posture de sécurité de l’entreprise et l’évolution de son exposition au risque, cela implique d’avoir au préalable mené les analyses de risque qui s’imposent et d’avoir déterminé les points de contrôles pertinents qui permettront de détecter les écarts par rapport à la norme. Et nous sommes là totalement dans le domaine du conseil !
Un projet d’ISCM sera donc un subtil équilibre entre conseil et intégration et entre gestion du risque (organisationnel) et opérationnel (technique). Et il faudra en outre avoir déjà mené les actions élémentaires (gestion des correctifs, journalisation, analyses de vulnérabilités…) pour en tirer les bénéfices.
Un cadre pour les projets d’ISCM
Au Etats-Unis le National Institute of Standards and Technology (NIST) publiait dès 2011 un document précisant la mise en oeuvre de l’ISCM au sein des entités fédérales (publication 800 137). Bien que destiné au secteur public, le document a le mérite de poser les bases d’une réflexion en amont dans le cadre d’un projet d’ISCM.
Télécharger :
http://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-137.pdf
