Les technologies de l'information et de la communication sont des outils essentiels
l'amlioration des communications et des prestations de services. Mais de par leur conception, elles constituent aussi des moyens qui facilitent des usages mal intentionns avec des consquences nfastes sur l'activit conomiques et sur la vie des individus. Les TIC induisent ainsi des risques importants dans la vie des entreprises et celle des citoyens. Il est alors important de ien conna!tre ces risques en vue de les contrer de mani"re efficiente. L'volution de ces risques et en rponse celle des technologies ddis la scurit de l'information ncessitent une vision gloale et une approche structure. #insi, il est possile d'apprhender de mani"re simple et presque e$haustive toutes les facettes de la scurit de l'information. %n tant que structure d'alerte et de raction au$ attaques informatiques, le C&I'T (ou Computer &ecurity Incident 'esponse Team) est un centre qui runit (et coordonne) plusieurs comptences indispensales pour offrir un niveau appropri de scurit de l'information. Objectifs de la formation Ce cours offrira au$ participants les moyens de * contriuer la conception la mise en +uvre de la politique de scurit de leur institution donner un appui au$ clients et parties prenantes de leurs institutions pour la mise en +uvre de processus ien laors, de politiques et procdures ien dfinies donner un appui une tierce partie en mati"re de conception et de mise en +uvre de politique de scurit participer de mani"re efficiente au$ activits d'une quipe de rponse d'urgence au$ incidents de scurit de l'information de conduire des processus d'identification * identification, analyse, priorisation, gestion concevoir, formuler et rdiger des documents techniques efficients * avis, alertes et notes contriuer au renforcement des relations de confiance entre un C&I'T et ses mandants. Public vis : ,estionnaires actuels de C&I'T ou gestionnaires potentiels tmoignant de connaissances solides en informatiques * directeurs de services informatiques chefs de pro-ets informatiques envisageant la mise en +uvre d'un C&I'T professionnels de l'informatique : administrateur systmes et rseaux, architecte de rseaux, ingnieurs techniciens, consultant spcialis en scurit des rseaux et systmes, etc. Chefs de scurit de l'information dans les structures mandantes d'un C&I'T * ingnieurs rseau$ . scurit, responsales de scurit informatique, etc. Toute personne implique dans les changes entre C&I'T, et avec les mandants d'un C&I'T, dsireuse d'approfondir ses connaissances en mati"re de cration et surtout de gestion d'un C&I'T. Dure / -ours, 0 heures par -our Prrequis : Connaissance des syst"mes d'e$ploitation Linu$ et 1indo2s et connaissance des rseau$ TC3.I3 Intervenants 3erptus 4acques 5oungo -acques.houngo6auriane7etudes.com -acques.houngo6scg.- Charg de cours de #f89, : et #fri8IC ; pour le module C%'T. Certified %thical 5ac<er (C%5) , %C Council Certified &ecurity #nalyst (%C&# ). Consultant &enior aupr"s de &trategic Consulting ,roup (&C,). : #=89, 7 #frican 8et2or< 9perators ,roup, http*..222.afnog.org. ; #fri8IC 7 #frican 8et2or< Information Centre, http*..222.afrinic.net. Contenu !ourne "# : $enaces nom%reuses et d&origines di'erses (cessit d&une rponse glo%ale : mise en place d&un CSIRT 8> &ession 9-ectifs . Contenus Type #pproche prol"me7 solution :. Introduction 3rise de contact 3rsentation du cours 3rcision des attentes ?changes ;. @iverses menaces sur l'entreprise Importance de l'infrastructure informatique pour une entreprise #perAu des menaces sur le syst"me d'information 3rsentation ?changes B. @iverses menaces sur l'individu Cie prive Implications financi"res 3rsentation ?changes ?changes sur les situations vcues, prsentes par les participants ?changes Duelques cas seront retenus pour illustration dans la suite du cours E. Cas spcifique de l'internet Mal2are, hergement de serveur CFC, spam, hameAonnage, vol d'identit, otnets, Gomies, ingnieure sociale etc. 3rsentation @finitions illustres /. @finition de la scurit de l'information Confidentialit, intgrit et disponiilit. 'eddition de compte, authenticit, non rpudiation. 3rsentation 8> &ession 9-ectifs . Contenus Type #pproche prol"me7 solution 0. 8cessit d'une rponse gloale la gloalisation des menaces =ace une multitude d'acteurs, de facteurs, et de situations d'urgence surveiller, il faut adopter une attitude systmique de rponse gloale * Centre de rponse gloale * individu, entreprise, nation Cadre de coopration internationale 3artenariats internationau$ %$pertise et personnes ressources provenant d'horiGons divers (loi, rgulation, scurit, rpression, promotion de l'conomie, etc.) La scurit individuelle, la politique de scurit de l'information, le C&I'T 3rsentation Comparaison avec la sant pulique H. Les fonctions d'un C&I'T ,uichet unique * contact, assistance, partage de l'information, coordination entre mtiers, coopration nationale et internationale 3rsentation Meilleures e$priences qui traduisent le rIle de coordination J. Les services d'un C&I'T &ervices et outils de production services en raction services proactifs services de gestion de la qualit de la scurit de l'information 3rsentation ?changes sur les implications Travau$ pratiques en groupes Les participants num"rent les outils correspondant chaque service K. Les nfices d'un C&I'T Coordination centralise 'ponse centralise au$ incidents de scurit %$pertise en mati"re de scurit %$pertise pour les questions du droit Ceille technologique pour les questions de scurit de l'information &timulation de la coopration entre les parties prenantes 3rsentation Cido de tmoignage provenant de C&I'T actifs 8> &ession 9-ectifs . Contenus Type #pproche prol"me7 solution :L. Comment crer un C&I'T @e l'indiffrence la reconnaissance de l'e$pertise sensiilisation planification installation mise en +uvre collaoration 4eu$ de rIles @veloppement de scnarios sur la ase du vcu des participants. Tmoignage de C&I'T actifs ::. 3rincipau$ facteurs de succ"s d'une politique de scurit ou de la mise en +uvre d'un C&I'T %ngagement ferme au plus haut niveau hirarchique &tructure de mise en +uvre au plus haut niveau 3romotion de la valeur stratgique et alignement sur les programmes nationau$ Conception d'une vision nationale partage @clinaison de la vision en plans oprationnels Lancement officiel au niveau national ?valuation rguli"res #mlioration constante du rseau de confiance au sein du groupe des parties prenantes 3rsentation ?changes sur les moyens d'otenir l'engagement au plus haut niveau de la hirarchie Cido de tmoignage provenant de C&I'T actifs :;. #pplication de la loi @finition de la cyercriminalit #dministration de la preuve =ormation des enquMteurs, -uges et procureurs 3rsentation ?changes :B. Duelques informations pratiques 3ersonnel minimum C%'Tification7Certified Computer &ecurity Incident 5andler (C&I5) %quipement de dmarrage %quipement indispensale 9uvrages de rfrence Due font les autres * http*..first.org.memers.teams. 3rsentation :E. ClIture de la -ourne ?valuation par les participants !ourne ") : *rparation du CSIRT + se mettre au ser'ice de ses parties prenantes ,# )- 8> &ession 9-ectifs . Contenus Type #pproche prol"me7 solution :. #perAu du traitement d'un incident de scurit de l'information 3rparation * rduire le nomre d'incidents @tection et analyse * trous de scurit, classification des incidents, lments de reconnaissance Inhiition7locage, radication, rtalissement* contenir la propagation, collectionner les preuves, dtruire les composantes malveillantes, remise du syst"me en opration normale #ctivits post7mortem * leAons apprises, donnes rassemles 3rsentation ;. Traitement d'un incident . 3rparation . Mise en place des facilits de rponse (: . B) Moyens de communication 'equest Trac<er for Incident 'esponse ('TI') Matriel et logiciel d'analyse 'essources d'analyse Logiciel de minimisation de la gravit des impacts 3rsentation Mise en place dNun 'equest Trac<er for Incident 'esponse ('TI') Travau$ pratiques Installation, configuration, affectation des requMtes, suivi des rponses, valuation B. Traitement d'un incident . 3rparation . Mise en place des facilits de rponse (; . B) Cryptographie 3rsentation &ignature avec les clefs 3,3 Travau$ pratiques Les participants crent et utilisent leurs clefs personnelles E. Traitement d'un incident . 3rparation . Mise en place des facilits de rponse (B . B) Conception d'un centre de crise Conception d'un environnement de stoc<age scuris Travau$ pratiques 8> &ession 9-ectifs . Contenus Type #pproche prol"me7 solution /. Traitement d'un incident . 3rparation . 3rvention (: . ;) ?valuation priodique rguli"re du syst"me et des applications Travau$ pratiques (=M%#, 1&O& . Intune) Meilleures pratiques pour scuriser le rseau 3rsentation ?changes dNe$priences 0. Traitement d'un incident . 3rparation . 3rvention (; . ;) ,estion des patchs &curit du poste de travail &curit du rseau 3rsentation Travau$ pratiques =ailure Mode and %ffects #nalysis (=M%#) 1&O& . Intune ,estion de la mise -our du syst"me sous Linu$ H. Traitement d'un incident . 3rparation . 'endre facile la dtection et l'analyse d'un incident (: . /) @iagramme de rseau et listage d'actifs cruciau$ ?talissement du profil des rseau$ et syst"mes Otilisation de -ournau$ centraliss Cration d'une matrice de diagnostique Inspection du rseau * espionnage de paquets et analyse de protocole 3rsentation Travau$ pratiques J. ClIture de la -ourne ?valuation par les participants !ourne ". : *rparation du CSIRT + se mettre au ser'ice de ses parties prenantes ,) )- 8> &ession 9-ectifs . Contenus Type #pproche prol"me7 solution :. Traitement d'un incident . 3rparation . 'endre facile la dtection et l'analyse d'un incident (; . /) ?talissement du profil des rseau$ et syst"mes Otilisation de -ournau$ centraliss Cration d'une matrice de diagnostique Travau$ pratiques ;. Traitement d'un incident . 3rparation . 'endre facile la dtection et l'analyse d'un incident (B . /) Inspection du rseau P ?lments de ase 9-ectifs * surveillance, collecte de preuves, analyse de code malicieu$ Types * applications, hItes, flu$, paquets, largeur de ande, adresses I3, rseau sans fil, etc. 3rsentation B. Traitement d'un incident . 3rparation . 'endre facile la dtection et l'analyse d'un incident (E . /) Inspection du rseau P &uivi des applications et des hItes Travau$ pratiques Mo&&5e . 9pen&M#'T Installation, configuration, topographie du rseau, valuation E. Traitement d'un incident . 3rparation . 'endre facile la dtection et l'analyse d'un incident (/ . /) Inspection du rseau P #nalyse des flu$ Travau$ pratiques #rgus . 8etraMet Installation, configuration, topographie du rseau, valuation 8> &ession 9-ectifs . Contenus Type #pproche prol"me7 solution /. Traitement d'un incident . @tection et analyse (: .;) Catgories d'incidents * code malveillant, dni de service, etc. &ignes d'un incident * vnements qui dclenchent le processus de gestion d'incident &ignes avant7coureurs et indications * alertes de logiciel, fichiers -ournau$, information disponile pour le pulic, etc. #nalyse de l'incident * plusieurs activits menes par des professionnels ien prpars cet effet @ocumentation sur l'incident * reportage de tous les faits se rapportant l'incident Triage d'incident * dcision critique sur le niveau de priorit accorder l'incident 8otification sur l'incident * information pertinente et ponctuelle pour toutes les personnes qui doivent Mtre informes 3rsentation 0. Traitement d'un incident . @tection et analyse (; .;) Inspection du rseau P #nalyse de paquets et 'echerche de preuves Travau$ pratiques 1ireshar< Installation, dissection de plusieurs fichiers -ournal de capture de paquets. ;L minutes par e$ercice H. Traitement d'un incident . @tection et analyse (; .;) Inspection du rseau P #nalyse de paquets et 'echerche de preuves Travau$ pratiques 1ireshar< @issection de plusieurs fichiers -ournal de capture de paquets. ;L minutes par e$ercice J. ClIture de la -ourne ?valuation par les participants !ourne "/ : Traitement d&incident 8> &ession 9-ectifs . Contenus Type #pproche prol"me7 solution :. Traitement d'un incident . Inhiition7 locage, radication, rtalissement Inhiition7locage * crit"res de dtermination de la stratgie approprie, collecte des preuves, -ournau$ ?radication * destruction des composantes, liminations des r"ches 'talissement * remise en route des syst"mes (syst"mes d'e$ploitation et applications), renforcement de la protection des syst"mes 3rsentation ;. Traitement d'un incident . #ctivits post7mortem LeAons apprises Otilisation des donnes recueillies #udit de la rponse l'incident en vue d'valuer le processus Conservation des preuves 3rsentation B. #nalyse de la situation actuelle Liste de tous les incidents qui peuvent survenir Travau$ pratiques E. 'daction et diffusion d'alertes et avertissement Contenu #udience Media Confiance * comment assurer l'intgrit de l'information Travau$ pratiques sur la ase des incidents d'acc"s non autoris et de dfiguration de site 2e /. 3roduction de guide pratique Meilleures pratiques de renforcement de protection d'un site 2e Travau$ pratiques 0. Traitement d'un incident de dni de service (: . ;) 3rparation @tection et analyse Inhiition7locage, radication, rtalissement #ctivits post7mortem La P &imulation H. Traitement d'un incident de dni de service (; . ;) 3rparation @tection et analyse Inhiition7locage, radication, rtalissement #ctivits post7mortem La P &imulation J. ClIture de la -ourne %valuation par les participants !ourne "0 : Traitement d&incident 1estion de la communication en direction des parties prenantes 8> &ession 9-ectifs . Contenus Type #pproche prol"me7 solution :. Traitement d'un incident d'acc"s non autoris 3rparation @tection et analyse Inhiition7locage, radication, rtalissement #ctivits post7mortem La P &imulation ;. Traitement d'un incident de dfiguration de site 2e (: . ;) 3rparation @tection et analyse Inhiition7locage, radication, rtalissement #ctivits post7mortem La P &imulation B. Traitement d'un incident de dfiguration de site 2e (; . ;) 3rparation @tection et analyse Inhiition7locage, radication, rtalissement #ctivits post7mortem La P &imulation E. Communication avec les parties prenantes 'evisite des aspects spcifiques de tous travau$ de simulation * pulic vis par les messages, contenus des messages, supports des messages, retour dNinformation ?changes /. Conclusion gnrale 'sum par lNanimateur %valuation par les participants ?changes 0. Triune lire 3ossiilit de retour sur des notions, concepts, dfinition, e$ercices, travau$ en laoratoire, etc .