Prévention, détection et réponse aux incidents au centre des préoccupations des GS DAYS 2016
La 8ème édition des GS Days (ou Journées Francophones de la Sécurité), organisée le 7 avril à Paris, invite la communauté SSI à échanger sur l’actualité des menaces, leurs modalités de mise en oeuvre et leurs impacts sur les systèmes d’information.
Les GS Days proposent des interventions techniques, organisationnelles et juridiques ainsi que des démonstrations au profit des RSSI, DSI, dirigeants, administrateurs réseaux-sécurité, responsables techniques ou encore experts sécurit. L’occasion pour l’ANSSI de présenter ses préconisations et ses actions en matière de prévention, de détection et de réponse aux incidents.
La lutte défensive : de la détection à la réponse à incident
Les entreprises et administrations connaissent la nécessité, et parfois l’obligation, de protéger leur patrimoine informationnel et de déployer les moyens de prévention et de défense à la mesure des enjeux.
Une organisation défensive qui doit s’appuyer à la fois sur la prévention, sur la mise en place de moyens de détection et sur des capacités de réaction.
Il existe des mesures simples et de bon sens sur le plan technique ou organisationnel pour prévenir les risques dans le respect des préconisations du guide d’hygiène informatique ou du guide des bonnes pratiques). La question de la gouvernance au sein de l’organisation est également primordiale pour la prise en compte des enjeux de la sécurité de l’information. Elle ne peut se limiter aux seuls informaticiens et experts en sécurité.
Concernant la gestion d’un incident de sécurité, l’agence recommande de faire appel à des experts. C’est dans ce cadre que l’ANSSI élabore le référentiel pour la qualification des prestataires de réponse aux incident de sécurité PRIS (actuellement en phase expérimentale).
De même pour détection des incidents, l’ANSSI préconise d’utiliser des produits de confiance et de faire appel à des personnels compétents, via des prestataires de détection (PDIS) qui respecteront le référentiel de l’ANSSI en la matière (actuellement en phase expérimentale). Des conditions indispensable à la construction d’un centre de détection d’incidents de sécurité (SOC - Security Operating Center) de confiance.
Détection des incidents de sécurité : vision d’un SOC efficace
La mise en place d’un SOC pour la détection d’incidents complète les mesures de prévention tout en approfondissant la connaissance et la maîtrise de son système d’information. Un dispositif organisationnel nécessaire au regard des risques et des enjeux actuels pour la sécurité de l’information.
La démarche de qualification de l’ANSSI vise à assurer la sécurité ainsi que la compétence des prestataires externes qui s’y conforment pour mieux garantir la confiance auprès des acheteurs de produits ou de prestations de service.