CERT, CSIRT et SOC en pratique : comment s’organiser et quels outils mettre en place

Quand ça commence à se voir, ça s’appelle une fuite de données massive [1]. À moins d’être commercial dans une boite de conseil en sécurité des systèmes d’information, il est probable que la date d’application de la RGPD [2] ne soit pas attendue avec la plus grande impatience

Qui n’a jamais rêvé de réaliser une analyse dynamique ou une session de debugging depuis l’extérieur du système cible (via l’hyperviseur ou l’émulateur) ? Qui n’a jamais rêvé de le faire en python ? Si vous vous reconnaissez dans ces deux phrases, PyREBox est fait pour vous. Cet article présente cet outil open source ainsi que son API python et comment il est possible de créer des extensions python afin d’automatiser des tâches.

Les vulnérabilités XSS restent généralement sous-évaluées, inconsidérées, alors qu’elles permettent des méfaits d’une grande criticité. Le présent article détaille comment obtenir un reverse-shell root à partir d’une simple XSS GET via un cas concret : la distribution firewall-routeur pfSense 2.3.2.

ELK, acronyme issu des trois composants principaux de la suite (Elasticsearch, Logstash, Kibana) est depuis longtemps maintenant une référence dans la collecte des logs et leur analyse. Les derniers ajouts sur la suite Elastic et notamment sur le Machine Learning posent une question : ELK ne serait-il pas en passe de devenir un SIEM incontournable ?

L’année prochaine les CERT souffleront leur 30ème bougie. Peu de gens le savent, mais le CERT Coordination Center [CERT/CC] fut créé aux U.S.A. par la DARPA en 1988 en réponse au ver Morris. Celui-ci exploitait des vulnérabilités dans des services exposés sur Internet ainsi que la faiblesse des mots de passe de certains utilisateurs. Les incidents de 2017 - WannaCry puis NotPetya - ont démontré que, près de 30 ans plus tard, la marge de progrès reste… conséquente. Les cyberattaques de toutes intensités sont quotidiennes et les CERT sont plus que jamais le maillon central de la cybersécurité des entreprises comme des États. Anticipation, Détection, Réaction, les missions des CERT s'étoffent année après année et elles nécessitent une adaptation constante aux menaces et aux besoins de leurs constituency [CONST]. Par ailleurs, la résilience de la Nation dépend désormais si fortement des systèmes d’information de certaines entreprises ou administrations que la France a fixé les objectifs et les exigences de cybersécurité de ces opérateurs d’importance vitale [OIV]. Leurs CERT et plus généralement leurs équipes de détection et de réaction devront être certifiées, ou a minima conformes, respectivement aux référentiels PDIS et PRIS, tel que nous le verrons dans l’article consacré à la LPM.

Un CSIRT ou un SOC ne saurait être efficace sans des outils appropriés. Certes, l’organisation de l’équipe, l’écriture et la diffusion de procédures adaptées au périmètre à défendre et régulièrement maintenues, ainsi qu’une veille continue sont essentielles pour être en mesure de défendre un système d’information contre les viles attaques qui le visent. Mais le choix d’outils destinés à faciliter autant que possible le renseignement sur les menaces, la réponse à incidents de sécurité informatique et les investigations numériques se révèlent tout aussi importants. D’autant plus que nous vivons à une époque où les aigrefins de tout acabit pullulent. La collaboration étroite entre les membres d’un CSIRT ou d’un SOC et le partage avec leurs pairs sont donc choses vitales...

« Il ne faut pas vendre la peau de l’ours avant d’avoir sinkholé tous ses domaines » -- Ancien proverbe chinois

Sous couvert d'une terminologie législative un tantinet martiale, le monde militaire a depuis peu fait son entrée dans le quotidien de quelques geeks barbus, férus de sécurité qui ne s'y attendaient pas vraiment, avec la promulgation de la loi de programmation éponyme. Cet article a la modeste ambition de vulgariser le sujet et de proposer un tour d'horizon des conséquences de cette évolution règlementaire, en particulier pour les équipes en charge de la détection et de la réponse aux incidents de sécurité.

Le mot de passe est et reste le moyen le plus répandu pour accéder au système d’information en entreprise. Mal comprises et peut-être mal définies, les politiques de mot de passe ne sont pas efficaces. Mais à qui la faute ? Peut-on changer la donne ?

Le WPA2 est le mécanisme de sécurisation des réseaux Wifi le plus utilisé aujourd’hui. Cependant, depuis quelque temps, il commence à montrer ses limites. Nous verrons quelques-unes d’entre elles.

Les organismes et entreprises doivent être conformes aux exigences du Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données en mai 2018. À un an de l’échéance, un grand nombre d’organisations n’a pas formalisé de démarche, ni initialisé de plans d’action. Nous nous intéressons ici à la formalisation d’un plan d’action juridique, organisationnel et technique adapté en soulignant les difficultés inhérentes à un profil de maturité.