Description du CSIRT AlgoCERT ----------------------------- 1. À propos de ce document 1.1 Dernière mise à jour Ce document a été publié pour la première fois le 17 mai 2015. Aucune mise à jour n'y a encore été apportée. 1.2 Liste de distribution pour les notifications Aucune. 1.3 Disponibilité de ce document Ce document est disponible à https://www.algosecure.fr/cert/rfc2350-fr.txt Une version en anglais est disponible à https://www.algosecure.fr/cert/rfc2350-en.txt 1.4 Authentifier ce document Les versions anglaise et française de ce document ont été signées avec la clé PGP d'AlgoCERT. Les signatures sont disponibles sur notre site : https://www.algosecure.fr/cert/rfc2350-en.sig https://www.algosecure.fr/cert/rfc2350-fr.sig 2. Informations de contact 2.1 Nom de l'équipe AlgoCERT : le centre d'urgences informatiques d'AlgoSecure. 2.2 Adresse AlgoSecure 70 cours Tolstoï 69100 Villeurbanne FRANCE 2.3 Fuseau horaire Europe/Paris (UTC +1, et UTC +2 d'avril à octobre) 2.4 Numéro de téléphone +33 4 26 78 24 86 2.5 Numéro de fax Aucun. 2.6 Autres moyens de communication Aucun. 2.7 Adresse email Vous pouvez nous écrire à cert@algosecure.fr. 2.8 Clé publique et autres moyens de chiffrement AlgoCERT possède une clé PGP dont l'identifiant est 0x801E05B0 et dont l'empreinte est FA89 A8BF ABB9 66BF FC42 CE24 7F35 4DCB 801E 05B0. La clé et ses signatures peuvent être trouvées sur les serveurs de clés habituels. 2.9 Membres de l'équipe L'équipe est constituée de cinq experts en sécurité informatique. 2.10 Autres informations Le CERT est disponible de 09:00 à 12:00 et de 14:00 à 17:00 CET du lundi au vendredi. 2.11 Points de contact client La méthode de contact privilégiée est le formulaire disponible à l'adresse https://www.algosecure.fr/cert/ Merci d'utiliser en priorité ce formulaire afin que nous puissions bénéficier d'un maximum d'informations afin de pouvoir travailler sur l'incident. Notre CERT peut également être joint par téléphone et par email aux heures d'ouverture. 3. Charte 3.1 Mission Statement AlgoCERT est un organisme privé d'alerte et de réaction aux attaques informatiques, destiné aux entreprises du secteur privé, aux communes et aux organisations non-gouvernementales. Il est opéré par AlgoSecure, une équipe d'experts en sécurité informatique et en administration système et réseaux basée à Lyon, en France. AlgoSecure allie performance et humanisme afin d'aider les sociétés à améliorer leur niveau de sécurité global ainsi que le niveau de viligance de leurs employés. Les missions de l'AlgoCERT sont de : - venir en aide aux sociétés victimes d'incidents de sécurité - regrouper et analyser des données issues d'incidents de sécurité - aider les sociétés / évaluer et améliorer leur niveau en sécurité - informer ses clients des vulnérabilités touchant leur système d'information - fournir des ressources afin d'améliorer la vigilance des utilisateurs - échanger des informations et coopérer avec nos homologues d'autres CERT/CSIRT 3.2 Public visé Le public visé par l'AlgoCERT sont les entreprises du domaine privé et public. 3.3 Parrainage et/ou affiliation AlgoCERT est opéré par AlgoSecure, une équipe d'experts en sécurité informatique et en administration système et réseaux basée à Lyon, en France. 3.4 Pouvoir L'AlgoCERT ne travaille sous aucune autorité. 4. Politique 4.1 Types d'incidents et niveau de support L'AlgoCERT peut traiter tous types d'incidents de sécurité informatique qui se produiraient au sein du système d'information de ses clients, à l'exception des attaques par déni de service (DDoS). Le niveau de support fourni dépendra de la gravité de l'incident, des ressources humaines et techniques disponibles, et des données fournies lors de la déclaration de l'incident. Aucune assistance ne sera fournie aux utilisateurs finaux ; ces derniers doivent contacter leur administrateur système et réseaux ou bien leur chef de service. L'AlgoCERT ne peut pas instruire les administrateurs systèmes et réseaux "à la volée", et ne peut effectuer d'opérations de maintenance de leur système à leur place. Toutefois, dans la plupart des cas, l'AlgoCERT fournira des pistes vers les informations nécessaires pour implémenter les conseils préconisés. L'AlgoCERT s'attache à informer ses clients de vulnérabilités potentielles sur leur système d'information, et dans la mesure du possible, les informera de telles vulnérabilités avant qu'elles ne soient exploitées. 4.2 Coopération et partage de connaissances L'AlgoCERT souhaite échanger des données techniques avec les autres CSIRT/CERT ainsi qu'avec les administrateurs systèmes et réseaux des entreprises infectées. Toutefois, ce partage d'information n'inclut pas de données personnelles. Le terme "données personnelles" fait référence, entre autres, aux noms d'entreprises ayant signalé un incident de sécurité, aux informations de contact des personnes ayant signalé un incident de sécurité, aux adresses IP publiques des systèmes touchés, etc. L'échange de données sensibles sera réalisé de manière sécurisée à l'aide de PGP, de conteneurs chiffrés, ou de tout autre moyen de communication sécurisé. 4.3 Communication et authentification Vous pouvez nous contacter par téléphone ou par email non-chiffré pour discuter de sujets non-sensibles. Pour nous faire parvenir des données sensibles, celles-ci devraient être chiffrées à l'aide de notre clé PGP. Ces données peuvent également être stockées dans un conteneur chiffré ou dans un fichier ZIP protégé par un mot de passe. Les mots de passe peuvent être transmis par messages chiffrés ou par téléphone. 5. Services L'AlgoCERT fournit des services proactifs visant à anticiper et empêcher l'occurrence d'incidents de sécurité. Il fournit également des services réactifs, où nous aidons les administrateurs systèmes et réseaux à traiter les incidents de sécurité qui se produisent au sein de leur société. 5.1 Réponse à incident La réponse à incident se déroule en plusieurs phases : - tri : nous collectons des preuves et des données sur l'incident, et vérifions qu'il s'agit bien d'un incident de sécurité sur lequel on puisse agir - étude : nous investiguons l'incident (source, causes, chronologie...) et cherchons des solutions - résolution : nous aidons les administrateurs systèmes et réseaux et/ou les développeurs à supprimer la menace ou la vulnérabilité, et nous tentons de récupérer les potentielles données perdues - bilan : nous écrivons un rapport sur les circonstances de l'incident et sur la réponse que nous avons apportée, et nous évaluons la qualité de service que nous avons offerte à nos clients afin de l'améliorer. 5.2 Services proactifs Afin d'empêcher les incidents de sécurité, ou tout du moins réduire leur probabilité d'occurrence, nous pouvons auditer les éléments de votre système d'information afin de détecter et tenter d'exploiter les vulnérabilités. Nous vous expliquons par la suite les risques auxquels vous êtes exposés et ce que vous pouvez faire pour les réduire. Nous pouvons mettre en place des systèmes de supervision au sein de votre infrastructure afin d'y détecter les anomalies. Nous pouvons êgalement intégrer des éléments type pare-feux, SIEM, IPS, ou encore IDS afin d'anticiper les incidents de sécurité et réduire leur impact sur le fonctionnement de votre entreprise. L'AlgoCERT propose également un service d'information sur les dernières vulnérabilités annoncées publiquement spécifiques aux produits que vous utilisez au sein de votre système d'information, ainsi que leurs potentiels exploits et patchs. Pour finir, nous fournissons des services de formation à la sécurité informatique pour vos utilisateurs finaux ainsi que pour votre personnel informatique. Nous pouvons dispenser des sessions au sein de vos locaux ou bien vous transmettre des documents que nous avons élaborés (présentations, guides d'utilisation, affiches...) et que vous pouvez modifier et présenter vous-même à vos utilisateurs. Une description détaillée des services mentionnés est disponible sur notre site. 6. Formulaire de déclaration d'incident de sécurité Pour déclarer un incident, nous vous invitons à remplir le formulaire disponible à l'adresse https://www.algosecure.fr/cert/ Nous vous invitons également à détailler autant que possible l'incident de sécurité afin que nous puissions bénéficier d'un maximum d'informations pour débuter nos investigations. Notre CERT peut également être joint grâce aux méthodes fournies dans la section 2 de ce document. 7. Décharge de responsabilité Bien que toutes les précautions d'usage et vérifications aient été prises lors de la communication de toute information, l'AlgoCERT se décharge de toute responsabilité pour les erreurs, omissions, et dégâts résultant des informations fournies.