• 1 heure
  • Facile

Ce cours est visible gratuitement en ligne.

Vous pouvez obtenir un certificat de réussite à l'issue de ce cours.

J'ai tout compris !

Mis à jour le 07/03/2019

Industrialisez votre processus de veille

Connectez-vous ou inscrivez-vous gratuitement pour bénéficier de toutes les fonctionnalités de ce cours !

Maintenant que vous avez compris les bases d’une bonne veille, vous devez penser à industrialiser les processus, de façon à automatiser et adapter vos processus suivant le développement de votre entreprise.

C’est pourquoi vous devez penser à mettre en place des équipes CSIRT et SOC, qui seront des équipes dédiées à toutes ces tâches.

Mais pas si vite, on parle de CERT, de CSIRT, de SOC. Késako ?

Montez des équipes dédiées

Nous entendons beaucoup le terme CERT pour désigner Computer Emergency Response Team. Il est important de comprendre que c’est une marque déposée par le CERT/CC, créée par la DARPA, la Defense Advanced Research Projects Agency, et ce en novembre 1988, après la frappe du ver Morris.

Une équipe CERT
Une équipe CERT

Les fonctions d’une équipe CERT ne sont pas précisément définies. Vous devez donc vous assurer de bien définir le rôle de cette équipe au sein de votre entreprise. Voici la liste non exhaustive des fonctions qu’elles doivent assurer :

  • anticiper les menaces ;

  • analyser les vulnérabilités ;

  • étudier les attaques ;

  • réagir aux incidents de sécurité ;

  • coordonner les équipes en cas de crise majeure.

De cet état de fait dépendra votre légitimité à agir. Vous devrez gérer le budget et les moyens techniques et humains à mettre en place. Vous devez penser notamment au temps qui vous sera nécessaire au recrutement des talents, car constituer une équipe dans ce domaine est un véritable challenge.

Outillez-vous efficacement

Au niveau des outils, vous pouvez vous référer aux outils développés par le projet ‘THEHIVE PROJECT’. Vous y retrouverez les outils suivants :

  • TheHive, une plateforme de réponses à incidents intégrée à une plateforme de partage de malwares (MISP), désignée pour faciliter les échanges entre les différentes plateformes de SOC, CSIRT ou CERTs suivant leurs intitulés ;) ;

  • Cortex, une base de données de tous les éléments (appelés aussi artefacts) liés de près ou de loin à des actes suspects ou malveillants : URL, adresses IP, e-mails, noms de domaines, fichiers, hachages... Vous pourrez y rechercher vos propres éléments, afin de savoir si ceux-ci sont liés à une campagne de phishing, une attaque connue ou toute autre information ;

  • Hippocampe, pour garder une trace de tous les flux de menaces déjà relevés par les autres équipes CERT ;

  • TheHive4py permettant aux analystes en cybersécurité d’automatiser, via une API Python, les différents messages qui peuvent remplir la base de connaissances de TheHive.

Intégrez votre processus de veille au coeur des enjeux de vos équipes

L’intégration de la cybersécurité est une étape clé pour parvenir aux exigences attendues. Voici donc les points importants pour intégrer la veille et, de manière plus générale, la cybersécurité dans votre entreprise.

Rendez officiel le statut de la cybersécurité

Exigez que l’on fasse mention de ces sujets dans les contrats et cahiers des charges, que se soit pour des projets internes ou externes. Dans le cas d’une intervention extérieure à l’entreprise, les exigences doivent être explicites et contractualisées :

  • les exigences de la phase de spécification d’un projet doivent être intégrées au cahier des charges ;

  • exigez toujours la mention d’un référent cybersécurité dans les documents contractuels ;

  • vérifiez que ces documents comprennent bien les documents attendus qui permettent d’intégrer un processus de cybersécurité, notamment la veille :

    • une analyse de risques ;

    • une analyse fonctionnelle ;

    • une analyse organique ;

    • un dossier d’exploitation et de maintenance ;

    • une cartographie.

  • le cahier des charges devra également contenir les clauses relatives à la cybersécurité : veille, tests de vulnérabilités, mentions sur les bonnes pratiques.

Audits, analyse de besoins, plan de gestion de l'obsolescence

Quelques bonnes pratiques supplémentaires pour industrialiser votre veille :

  • faites faire des audits et des tests de cybersécurité régulièrement. Ces audits devront être internes. Ils devront suivre un plan validé et défini par l’entité responsable ;

  • pour le cas plus spécifique à la veille, l’achat et l’intégration de nouveaux équipements devront faire l’objet d’une étude par votre cellule de veille pour les intégrer aux procédures existantes ;

  • enfin, prévoir un plan de gestion de l’obsolescence pour la gestion des vulnérabilités, en remplaçant matériels et applications non maintenables.

Exemple de certificat de réussite
Exemple de certificat de réussite