amsn annexe 2 - gouv...les recommandations [r] sont données à titre de bonnes pratiques. les...

ANNEXE 2

RÉFÉRENTIEL D’EXIGENCES POUR LA MISE EN PLACE ET L’EXPLOITATION D’UN SYSTÈME DE

DÉTECTION QUALIFIÉ, PAR UN OPÉRATEUR D’IMPORTANCE VITALE

Annexe n° 2 à l’arrêté ministériel n° 2019-525 du 18 juin 2019

ANNEXE AU « JOURNAL DE MONACO » N° 8.444

DU 26 JUILLET 2019

JOURNAL DE MONACO Vendredi 26 juillet 20192

SOMMAIRE

Table des matièresI. Introduction ..................................................................................................................................................3 I.1. Présentation générale ............................................................................................................................3 I.2. Définitionsetabréviations ....................................................................................................................3 I.2.1. Abréviations ............................................................................................................................3 I.2.2. Définitions ...............................................................................................................................4II. Qualificationduservicededétectiond’incidentsdesécurité ..................................................................5 II.1. Modalitédelaqualification ..................................................................................................................5 II.2. Portéedelaqualification ......................................................................................................................6III.Descriptiongénéraleduservicededétection .............................................................................................6 III.1.Activitésduservicededétectiondesincidentsdesécurité ..................................................................6 III.2.Architectureduservicededétection ....................................................................................................6IV. Exigences à respecter et recommandations................................................................................................8 IV.1. Exigencesgénérales ..............................................................................................................................8 IV.2. Activitésduservicededétectiondesincidentsdesécurité ..................................................................8 IV.2.1. Gestion des évènements ..........................................................................................................8 IV.2.2. Gestion des incidents ..............................................................................................................8 IV.2.3. Gestiondesnotifications .......................................................................................................10 IV.3. Protectiondel’information .................................................................................................................10 IV.3.1. Politique de sécurité des systèmes d’information ................................................................10 IV.3.2. Niveaux de sensibilité ...........................................................................................................11 IV.3.3. Territorialité du service ........................................................................................................11 IV.3.4. Contrôles ...............................................................................................................................11 IV.3.5. Sécurité physique ..................................................................................................................12 IV.3.6. Sauvegardes ..........................................................................................................................12 IV.3.7. Cloisonnement du système d’information du service de détection d’incident de sécurité ..............13 IV.3.8. Administration et exploitation du service .............................................................................13 IV.3.9. Interconnexions du système d’information du service .........................................................14 IV.3.10. Zone de mise à jour ..............................................................................................................15 IV.3.11. Zonedenotification ..............................................................................................................15 IV.3.12. Enclave de collecte au sein du système d’information .........................................................15 IV.3.13. Zone Internet au sein du système d’information du service de détection ............................16 IV.4. Organisationetgouvernance ..............................................................................................................16 IV.4.1. Charte d’éthique et recrutement ...........................................................................................16 IV.4.2. Organisation et gestion des compétences .............................................................................17 IV.4.3. Comités opérationnels ..........................................................................................................17 IV.5. Qualitéetniveaudeservice ................................................................................................................18 IV.5.1. Gestion de la qualité du service ...........................................................................................18Appendice 1 - Références documentaires ........................................................................................................18Appendice 2 - Missions et compétences du personnel ...................................................................................19Appendice 3 - Exemple d’une architecture conforme ...................................................................................21Appendice4-Règlesrelativesàl’usaged’unagrégateurdeflux ................................................................22

JOURNAL DE MONACOJOURNAL DE MONACOVendredi 26 juillet 2019 3

I. Introduction

I.1. Présentation générale

Unsystèmededétectionqualifiéd’incidentsdesécuritéconcourtà laprotectiond’unsystèmed’informationfaceauxmenacesdecyberattaques.Ladétectionconsisteàrepérertoutesanomaliesdanslesfluxd’informationdusystèmed’informationsupervisé.

Laprésenteannexedéfinitlesrèglesetlesrecommandationsàappliquerpourledéploiementetl’exploitationd’unsystèmededétectionappeléeci-après«leservicededétection».

Unsystèmededétectionestdit«interne»s’ilestopérépar:- unservicedel’OIV;- unepersonnemoraleayantunliencapitalistiquedirectouindirect(maisonmère,filiale,sociétésœur,etc…)avecl’OIV;

- une autorité administrative désignée à cet effet pour les services de l’État et les établissements publicscommanditaires.

Danstouslesautrescas,lesystèmededétectionestdit«externe».

Pourunsystèmededétection« interne», laqualificationestoctroyéeà lapersonnemoralequi l’opèreouàl’autoritéadministrative.

Pour un système de détection « externe » la qualification est octroyée au prestataire. Le prestataire devrarespecterdesexigencescomplémentaires,définiespararrêtéministériel,àcellesdécritesdanslaprésenteannexe.

La présente annexe ne concerne que le système de détection « interne ».

Cedocumentpermetàl’OIVdedisposerdegarantiespourlesystèmededétection:- surlescompétencesdupersonnell’opérant;- surlagestiondelaconfidentialitédesdonnéestraitéesparl’OIV.

Lesexigences[E]doiventêtrerespectées.

Lesrecommandations[R]sontdonnéesàtitredebonnespratiques.

Lesmoyenshumains,techniquesetorganisationnelsnécessairesdoiventêtremisenœuvrepourrespecterlesexigencesci-après.

Cedocumentpermetaucommanditairededisposerdegarantiessurlaqualitéetlaconfiancedansl’exploitationdesmatérielsutilisésetsurlescompétencesdupersonneletsurlagestiondelaconfidentialitédesdonnéestraitées.

I.2. Définitionsetabréviations

I.2.1. Abréviations

Lesabréviationsutiliséesdansleprésentréférentielsont:

AMSN AgenceMonégasquedeSécuritéNumérique;ANSSI Agencenationaledelasécuritédessystèmesd’information;CERT-MC Centregouvernementalmonégasquedeveille,d’alerteetderéponseauxattaquesinformatiques1;[E] Exigence;PASSI Prestataired’auditdelasécuritédessystèmesd’information;PDIS Prestatairedeservicededétectiondesincidentsdesécurité;PRIS Prestatairederéponseauxincidentsdesécurité;

1 https://amsn.gouv.mc


OIV Opérateurd’ImportanceVitale;[R] Recommandation;SIEM SecurityInformationandEventManagement;SOC CentreOpérationneldecyberSécurité;TAP TestAccessPoint

I.2.2.Définitions

Lesdéfinitionsci-aprèsreproduitess’appuientsur lesnormesde lasuite[ISO27000]etnotamment lanorme[ISO27035]relativeàlagestiondesincidentsdesécurité.

Administrateur–membreduservicededétectiondisposantdedroitsprivilégiés luipermettantd’assurer lebonfonctionnementdesdispositifsduservicededétection.

Commanditaire–entitéquidécidedemettreenplaceunsystèmededétectiond’incidentdesécuritéqualifié,celacomprendsdefaitlesOIVmaisresteapplicableauxentitésnonOIVquilesouhaitent.

Efficacité–niveauderéalisationdesactivitésplanifiéesetd’obtentiondesrésultatsescomptés.

État de l’art – ensembledesbonnespratiques, des technologies et desdocumentsde référence relatifs à lasécuritédes systèmesd’informationpubliquementaccessibles,etdes informationsquiendécoulentdemanièreévidente.Cesdocumentspeuventêtremisen ligne sur Internetpar lacommunautéde la sécuritédes systèmesd’information,diffuséspardesorganismesderéférenceouencored’origineréglementaire.

Évènementliéàlasécuritédel’information–occurrenceidentifiéedel’étatd’unsystème,d’unserviceoud’unréseauindiquantuneviolationpossibledelapolitiquedesécuritédel’informationouunéchecdesmesuresdesécuritéouencoreunesituationinconnuejusqu’alorsetpouvantreleverdelasécuritédel’information.

Incident de sécurité – un incident de sécurité découle d’un ou plusieurs évènement(s) de sécurité del’information indésirable(s) ou inattendu(s) présentant une probabilité de compromettre les opérations liées àl’activitédel’organismeet/oudemenacerlasécuritédel’information.

Notification–actiond’informerlecommanditairedel’occurrenced’unincidentdesécuritéportantatteinteàsonsystèmed’information.

Opérateur–membreduservicededétectionenchargedel’exploitationduservice,c’est-à-diredelaréalisationdestâchesliéesàladétectionconstitutivesdelaprestationpourlecompteducommanditaire.

Opérateur d’Importance Vitale-s’entendentd’opérateurspublicsouprivés:a)quiexercentdansdessecteursessentiels pour le fonctionnement des institutions et des services publics, pour l’activité économique ou plusgénéralementpourlavieenPrincipauté;b)quiexploitentdesétablissementsouutilisentdesinstallationsoudesouvragesdontl’indisponibilitérisqueraitd’affecterdefaçonimportantelesintérêtsmentionnésàlalettrea).

Périmètresupervisé–toutoupartiedusystèmed’informationinterne,objetdelaprestationdedétectiondesincidentsdesécurité.

Prestation qualifiée – service de détection des incidents de sécurité conforme au référentiel, fourni à uncommanditaire.

Qualificationd’unincidentdesécurité–déterminationdelanatureetdelagravitéd’unincidentdesécurité.

Règle de détection–listed’élémentstechniquespermettantd’identifierunincidentàpartird’unoudeplusieursévènements. Une règle de détection peut être un ou des marqueurs, une ou des signatures ou une règlecomportementale basée sur un comportement défini comme anormal. Une règle de détection peut provenir del’éditeur des outils techniques d’analyse utilisés pour le service de détection, d’un partenaire, d’un fournisseurspécialisé,ouencoreavoirétécrééespécifiquementpourrépondreàunbesoinducommanditaire.


Risque lié à la sécurité de l’information–scénariodécrivantl’effetdel’incertitudesurl’activitéetexpriméen une combinaison des conséquences d’un évènement lié à la sécurité de l’information et de sa probabilitéd’occurrence.

Sécurité d’un système d’information –ensembledesmoyenstechniquesetnon-techniques(organisationnels,humains,…)deprotection,permettantàunsystèmed’informationderésisteràdesévènementssusceptiblesdecompromettreladisponibilité, l’intégritéoulaconfidentialitédesdonnées,traitéesoutransmisesetdesservicesconnexesquecessystèmesoffrentourendentaccessibles.

Source de collecte–équipementauseindusystèmed’informationgénérantdesévènementsliésàlasécuritédel’information.

Système de détection–dispositiftechniquedestinéàrepérerdesactivitésanormales,suspectesoumalveillantessur le périmètre supervisé. Un système de détection a pour but de générer des évènements de sécurité et estconsidéréecommeunesourcedecollectedanslecadreduservicededétectiondesincidentsdesécurité.

Systèmededétectionqualifié–unsystèmededétectionquiafaitl’objetd’unequalificationparl’AMSN.Laqualificationestlarecommandationparl’Étatdeproduitsdecybersécuritééprouvésetapprouvésparl’AMSN;elleattestede leurconformitéauxexigences réglementaires, techniquesetdesécuritépromuespar l’AMSNenapportantunegarantiederobustesseduproduitetd’engagementdufournisseurdesolutionsàrespecterdescritèresdeconfiance.

Système d’information – tout dispositif isolé ou ensemble de dispositifs interconnectés ou apparentés, quiassure ou dont un ou plusieurs éléments assurent, en exécution d’un programme, un traitement automatisé dedonnées informatiques ainsi que les données informatiques stockées, traitées, récupérées ou transmises par cedispositif ou cet ensemble de dispositifs en vue du fonctionnement, de l’utilisation, de la protection et de lamaintenancedecelui-ci.

Tiers–personneouorganismereconnucommeindépendant.

Vulnérabilité–faiblessed’unbienoud’unemesurepouvantêtreexploitéeparunemenaceouungroupedemenaces.

II. Qualificationduservicededétectiond’incidentsdesécurité

II.1. Modalitédelaqualification

Le présent référentiel concerne les exigences et les recommandations à destination des OIV exploitant dessystèmesdedétectiond’incidentsdesécuritéqualifiés.

Les exigencesdoivent être respectéespar l’OIVdans lebutd’obtenir laqualification.Les recommandationssont données à titre de bonnes pratiques et ne font pas l’objet d’une quelconque vérification en vue de laqualification.

Lesexigences encadrées signifientque l’OIVdoitêtreenmesuredeproduire lesdocumentsafférentsàcesexigences.

La qualification du service de détection d’incident de sécurité est réalisée par le Directeur de l’AgenceMonégasque de Sécurité Numérique conformément à l’article 3 de l’Ordonnance Souveraine n° 5.664 du23décembre2015créantl’AgenceMonégasquedeSécuritéNumérique,modifiée,etselonleprocessussuivantquipermetd’attesterdelaconformitéduprestataireauxexigencesduréférentiel.

a) Lerespectdesexigencesduprésentréférentielparleprestatairedeservicededétectiond’incidentdesécuritéestvérifiéparunprestataired’auditdelasécuritédessystèmesd’information(PASSI)qualifiéparl’AgenceMonégasquedeSécuritéNumérique.Lalistedesprestatairesd’auditdelasécuritédessystèmesd’informationqualifiésestdisponiblesurlesitedel’AgenceMonégasquedeSécuritéNumériquehttps://amsn.gouv.mc/.


- Auxfinsdevérificationdurespectdesexigencesprescrites,leprestataired’auditdelasécuritédessystèmesd’informationqualifié,auditel’établissement2del’exploitantduservicededétectiond’incidentdesécuritéqualifiés;

- Évalue l’architecture, la configuration, l’organisation mises en œuvre et la compétence du personnelexploitantduservicededétectiond’incidentsdesécuritéqualifiés.

b) Laqualificationestattribuée,pouruneduréemaximaledetroisans,auxprestatairesduservicededétectiond’incidentdesécuritéparledirecteurdel’AgenceMonégasquedeSécuritéNumériquesurlabasedurapportd’auditdeconformitéauprésentréférentielréaliséparlePASSI.

c) UnauditdesurveillanceestréaliséparunPASSIdix-huitmoisaprèsladécisiondequalification.

II.2. Portéedelaqualification

Laqualificationestnotammentaccordéeauregarddel’organisation,del’architecture,delaconfiguration,del’exploitationduservicededétectionetdescompétencesdupersonnelintervenantsurlesystème,telsquedécritsaupointIII.

III. Descriptiongénéraleduservicededétection

III.1.Activitésduservicededétectiondesincidentsdesécurité

Leservicededétectiondesincidentsdesécuritéestcomposédetroisactivitésdistinctes:

- lagestiondesévènements,correspondantàl’ensembledesmoyenstechniquesetorganisationnelsassurantlerecueiletlestockagedesévènementsdesécurité;

- lagestiondes incidents, correspondant à l’ensembledesmoyens techniques et organisationnelspermettantd’identifieretdequalifierun incidentdesécurité ; lestockageet lacapitalisationdes incidentsdesécuritédansunbutd’améliorationduservicefontaussipartiedecetteactivité;

- lagestiondesnotifications,correspondantàl’ensembledesmoyenstechniquesetorganisationnelspermettantd’informerlecommanditairesurlesincidentsdesécuritédétectésetdestockercesnotifications.

Lesactivitésdecorrélationsonthorspérimètredudocument.Ellessontdécritesdans l’annexe1de l’ArrêtéMinistérieln°2019-525du18juin2019.

Lesactivitésderéactionetderemédiationnesontpasconcernéesparlaprésenteannexe.Ellessonttraitéesparuneéquipecompétenteenlamatièreouunprestatairederéponseauxincidentsdesécurité(PRIS).

III.2.Architectureduservicededétection

La présente annexe n’impose aucune architecture pour construire le service de détection. Plusieursimplémentationssontenvisageables.Lesdifférenteszonesprésentéesdanscepointpeuventêtrehébergéesauseind’entitésvoired’organismesdifférents,tantquelesexigencesduréférentielsontrespectées.

2 L’établissementcorrespondaulieudetravailhabituelduprestataireenPrincipauté.Ilpeuts’agirdusiègesocialoud’établissementssecondaires


Le schéma ci-dessous est une représentation simplifiée d’une architecture type du service de détection desincidentsdesécurité,donnéeuniquementà titred’illustration.Unereprésentationplusdétailléeestdisponibleàl’Appendice3.

Figure1:architecturesimplifiéeduSIdedétectiondesincidentsdesécurité

Le service de détection est organisé en zones de confiance, cloisonnées entre elles par desmécanismes defiltrage,d’authentificationetdecontrôled’accès.Leszonesdeconfiancedusystèmed’informationduservicededétectionsontlessuivantes:- zone(s) de collecte (une ou plusieurs) des flux, regroupant l’ensemble des dispositifs impliqués dans leprocessus de collecte des flux.Cette zone comprend une enclave de collecte chez le commanditaire pourl’hébergement des dispositifs de collecte des flux du service de détection déployés dans le systèmed’informationsupervisé.L’enclavedecollectecontientunouplusieurscollecteurslocauxdontlerôleestdecentraliserlesfluxissusdupérimètresupervisé;

- zone(s)d’analyse,regroupant l’ensembledesdispositifs impliquésdansleprocessusd’analyse,notammentlesoutilspermettantdequalifiéunévènementenincidentdesécurité;

- zone(s)denotification,regroupantlessystèmesdenotificationetdonclessystèmesdemessagerie;- zone(s)d’administration(nonreprésentée(s)surlafigure1)regroupantl’ensembledesoutilsd’administrationetlespostesd’administrationnécessairesaufonctionnementdessystèmesdedétectionqualifiés;

- zone(s) de mise à jour (non représentée(s) sur la figure 1), regroupant les dispositifs impliqués dans leprocessusdetéléchargementdesmisesàjourdeséquipementsnécessairesaufonctionnementdusystèmededétectionqualifiés;


- zone(s)d’exploitation(nonreprésentée(s)surlafigure1),regroupantlespostesdetravaildesopérateurs;- zone(s) d’échange (non représentée(s) sur lafigure1), regroupant lesdispositifs permettant le transfert defichiersdesélémentsrecueillisdanslessystèmesdedétectionqualifiésverslesystèmedejournalisationducommanditaire;

- zone(s)Internet,(nonreprésentée(s)surlafigure1),regroupantlespostesmisàdispositiondesopérateursetadministrateursduservicededétectionpouraccéderàInternetouàd’autressystèmesd’informationqueceluiduservicededétection.

Unschémapluscomplet,représentanttoutesceszones,etrespectantlesexigencesdecloisonnementattendues,estproposéenAppendice3.

IV. Exigences à respecter et recommandations

IV.1. Exigences généralesa) [E]respecterlalégislationetlaréglementationenvigueurenPrincipauté(voirAppendice1).

b) [E]décrirel’organisationdesonactivitédeservicededétectiondesincidentsdesécurité.c) [E]disposerdelicencesvalidespourlesoutils(logicielsoumatériels)utiliséspourlaréalisationdelaprestation.d) [E]déclarerlesincidentsdesécuritéàl’AMSN.

IV.2.Activitésduservicededétectiondesincidentsdesécurité

IV.2.1. Gestiondesévènementsa) [E]Élaboreretmettreenœuvreunestratégiedecollectedesfluxbaséesurlalistedesincidentsdesécurité

redoutés(voirexigenceIV.2.2a)).Lastratégiedecollectedesfluxdoitêtrerevuerégulièrement.b) [E]Lastratégiedecollectedesfluxdoitidentifierlespointsdecollectedansleréseau,letypedescollecteurs.c) [E] Intégrer dans la stratégie le positionnement des points de collecte des flux, placés auminimum aux

interconnexionsdupérimètresuperviséetenparticulierceuxavec: - Internet; - lessystèmesd’informationtiers(partenaires,sous-traitants,etc.); - lesautressystèmesd’informationducommanditairedeniveaudesensibilitéoudeclassificationmoindre

ouplusexposés.d) [E]Leséquipementsde typeTap alimentant les systèmesqualifiésdedétectiondoiventêtrequalifiéspar

l’ANSSIetutiliséesconformémentauxconditionsdeleurqualification.e) [E]Les systèmesdedétectionqualifiés doivent être alimentés en traficvia des équipements de typeTap

totalementpassifsetnonadministrablesàdistance.L’utilisation d’un agrégateur de flux intermédiaire entre les Tap et les systèmes de détection qualifiés, doit

respecterlesrèglesrelativesàl’utilisationd’unagrégateurdefluxpréciséesdansl’Appendice4.f) [E]Élaboreretteniràjourlalistedel’ensembledespointsdecollectedesfluxmisenœuvre.

IV.2.2. Gestion des incidents

a) [E]Établirunelistedesincidentsredoutésdanslesfluxetdesimpactsetconséquencesassociésbaséssurlesrésultatsd’uneappréciationdesrisquesélaboréeparlecommanditaire.L’appréciationdesrisquesdoitêtremiseàjourencasd’unchangementdel’infrastructure.

b) [E]Prendreencompteauminimumlescatégoriesd’incidentsdesécuritéredoutéssuivants: - exploitationd’unevulnérabilité; - exfiltrationdedonnées; - propagationvirale; - utilisationd’unmécanismedepersistance.


- utilisationd’unmécanismedepersistance;c) [E]Établiretmettreenœuvreunestratégied’analysepermettantdedétecterl’ensembledesincidentsdelalistedesincidentsredoutés.Lastratégied’analysedoitêtrerevuerégulièrement.

d) [E]Définirlesrèglesdeprotectiondesincidentsdesécuritéetformalisercesrèglesdanslastratégied’analysepar exemple « diffusable sans restriction », « diffusable au sein d’une communauté mais non public »,«diffusable en interne en respectant le besoin d’en connaître»,«diffusion nominative sans rediffusion»ousouslaformede«TRAFFIC LIGHT PROTOCOL»(TLP)ouautre,enaccordaveclesconventionsdéfiniesavec les sources de la règle de détection. Ces règles de protection doivent être revues avec la stratégied’analyserégulièrement.

e) [E] Être autonome pour ajouter dans les systèmes de détection qualifiés de nouveaux indicateurs decompromission(IOC).

Suiteàunajoutdecetype,mettreàjourlecorpusdocumentaireetrenseignerledétaildesajoutseffectuésdefaçonàassurerlesuivietlatraçabilitédecesajouts.

f) [E]Teniràjourlalistedesajoutsd’IOCdanslessystèmesdedétectionqualifiés.g) [E]Qualifierlesévènementsdesécuritédétectésenvued’apprécierleurvéracité(vrai/fauxpositif,incident

avéréounon)etleurniveaudegravité(impactsfonctionnels,informationnels,etc.).

h) [E]Établiruneéchelledegravitéassociéeauxincidentsredoutés,enprenantencomptel’appréciationdesrisquesetnotammentlesmenaces,lesactifs,lesimpactspotentielsetleurniveaudegravité.

i) [R]Utiliserl’échelledegravitédesincidentsdesécuritédel’annexeCdelanorme[ISO27035].

j) [E] Définir une méthodologie pour la recherche en sources ouvertes à partir d’informations issues dessystèmesdedétectionqualifiés.Elledoit préciser les typesd’informationspouvant être recherchés et lesmodalitésassociées.

k) [E]Utiliser,autantquepossible,desbasesd’informationsinternesissuesdesourcesouvertes(basesRIPE,plateformesantiviraleshorsligne,basesderésolutionDNS,etc.)afindelimiteraumaximumlesrecherchessur Internet.

l) [E]Créerunticketpourchaqueincidentdesécuritédétecté.Ceticketd’incidentdesécuritédoitauminimumcomprendrelesélémentssuivants:

- ladatedecréationduticketetdesdifférentesopérationsréaliséessurcelui-ci(traçabilitédesactions); - ladateetl’heuredeladétectiondel’incidentdesécurité; - ladateeffectivedel’évènementoudesévènementsayantdonnélieuàl’incidentdesécurité; - ladescriptiondel’incidentdesécurité; - leniveaudeprotectiondel’incidentausensdel’alinéad)ci-dessus; - lagravitéprésuméedel’incidentdesécurité; - lesidentifiantsetnumérosdeversiondesrèglesdedétectiondéclenchées; - lesidentifiantsdesévènementsayantpermisladétectiondel’incident; - lerisqueinduitparl’incident.

m)[R]Utiliserleformatdesticketsd’incidentdesécuritédétaillédanslanorme[ETSI_ISG_ISI].n) [E]Disposer d’un outil de gestion de tickets d’incident de sécurité, [R] en interne au commanditaire ou

communausystèmedeticketdéjàexistant.o) [E] Associer à chaque ticket d’incident de sécurité son contexte (évènements associés et rapport(s)

d’analyse(s)dequalification)et stockercesélémentsdemanièrecentralisée,que les incidentsdesécuritésoientencoursdequalification,avérésouclôturés.

p) [E]Mettreenplaceunprocessusdegestiondelacapacitédestockagedesticketsd’incidentsdesécuritéetde leur contexte permettant de suivre son évolution et d’être en mesure de l’adapter pour assurer leurconservation,danslalimitedurespectdelalégislationetlaréglementationenvigueurenPrincipauté(voirexigenceIV.1.b)).


q) [E]Lastratégied’analysedoitprévoirdeprocéderàuneanalysea posteriori,surl’ensembledesévènementsstockésdepuisunepériodedéfinie.

IV.2.3. Gestiondesnotifications

a) [E]Disposerdedeuxcanauxd’information: - uncanalpourlanotification(voirexigenceIV.2.3b)); - uncanal sécuriséparundispositif ayantunagrémentauniveauDiffusionRestreinte3, notammentpour

l’échanged’informationsdétaillées.

b) [E]Disposerauminimumdedeuxmoyensdenotification:unmoyennominaletunmoyensecondaire.Lemoyendecommunicationsecondairedoitêtretestéauminimumtouslessixmoisetàchaquemodificationdu système d’information du service de détection des incidents de sécurité. Les moyens de notificationpeuventêtreparexemple:

- courriel; - messagecourt(SMS); - téléphone.

c) [E]Élaboreretmettreenœuvreunestratégiedenotificationdesincidentsdesécuritépermettantdeprévenirlahiérarchieetl’AMSNlorsdeladétectiond’unincidentdesécurité.Lastratégiedenotificationdoitêtrerevuerégulièrement.

d) [E] La stratégie de notification doit identifier auminimum la liste des incidents de sécurité à notifier, leformat, le contenu, le délai, le niveau de sensibilité ou de classification des notifications ainsi que lespersonnesànotifiernotammentenfonctiondel’incidentdesécuritéetdesonniveaudegravité.

e) [R]Intégrerdanslastratégiedenotificationdesnotificationsspécifiquesencasdedétectiond’incidentsdesécuritémajeurs.

f) [E] Les notifications doivent contenir exclusivement les informations suivantes : le numéro du ticketd’incident,date,heure.

Lesnotificationsnedoiventenaucuncascontenirdes informationsdétailléessur l’incidentdesécuritéetnotamment sur les évènements collectésou les règlesdedétection ayant permisdedétecter l’incidentdesécurité, lapartiedusystèmed’informationducommanditaireconcernéepar l’incidentde sécuritéou lesimpactsdel’incidentdesécurité.

g) [E]Centralisertouteslesnotifications.Lesinformationssuivantesdoiventêtrestockées:dateetheuredelanotification, mode de notification, destinataire(s) de la notification, contenu de la notification incluantnotammentlenuméroduticketd’incident.

Remarque : les informations ci-dessus concernant les notifications peuvent être incluses dans les ticketsd’incidents.

h) [E]Être capablede fournir le ticket d’incident de sécurité et le contexte associé (évènements associés etrapport(s)d’analyse(s)dequalification)àl’origined’unenotification.

IV.3. Protection de l’information

IV.3.1. Politique de sécurité des systèmes d’information

a) [E]Définiretmettreenœuvreunepolitiquedesécuritédessystèmesd’informationbaséesurl’appréciationdes risques. Cette politique doit préciser les niveaux de qualification ou d’agrément des différentséquipementsmisenœuvre(niveauxdits«adéquat»dansleprésentréférentiel).

3 Voirlecataloguedessolutionsqualifiéesparl’ANSSIhttps://www.ssi.gouv.fr/administration/qualifications/


b) [E]Élaborer une appréciationdes risques et le plande traitementdes risques associé sur l’intégralité dupérimètreduservicededétectiondesincidentsdesécurité.L’appréciationetleplandetraitementdoiventêtrevalidésformellementetparécritauprèsdeladirection.

c) [E] L’appréciation des risques doit prévoir une liste d’incidents redoutés sur le périmètre du service dedétectiondesincidentsdesécurité.Cettelistedoitintégrera minima:

- les tentatives d’intrusion sur le système d’information du service de détection depuis une de sesinterconnexions(voirpointIV.3.9);

- lestentativesderebondentrelessystèmesd’informationdescommanditairesvialesystèmed’informationduservicededétection;

- les tentativesd’élévationdeprivilègespar lesopérateursou lesadministrateursduservicededétectiondesincidentsdesécurité;

- lapertedecommunicationavecunouplusieurséquipementsduservicededétection; - lesinfectionsviralesoriginairesdecodesmalveillantsrencontrésdanslecadredelaprestation.

d) [E]Réviserl’appréciationdesrisquesetleplandetraitementdesrisquesassociéauminimumannuellement,et en cas de modifications structurantes du service de détection, notamment celles concernant sonhébergement,soninfrastructureousonarchitecture.

e) [R]Êtrecertifié[ISO27001]surl’intégralitédupérimètreduservicededétectiondesincidentsdesécurité.

IV.3.2. Niveauxdesensibilité

a) [E]Respecterlesrèglesétabliesparl’AgenceMonégasquedeSécuritéNumériqueetrelativesauxmesuresde protection des systèmes d’information traitant d’informations sensibles non classifiées de sécuriténationale(voirexigenceIV.3.1.a)).

b) [E]Appliquerleguided’hygièneinformatiquedel’ANSSI[HYGIENE]ausystèmed’informationduservicededétectiondesincidentsdesécurité.

c) [E] Le système d’information du système qualifié de détection doit être homologué au niveauDR poursuperviserlessystèmesd’informationnonclassifiés.

d) [R]Utiliserladémarchedécritedansleguide[HOMOLOGATION]del’AMSNpourhomologuerlesystèmed’informationduservicededétectiondesincidentsdesécurité.

e) [E]Faireappelàuneprestationqualifiéed’auditdelasécuritédessystèmesd’informationpourlaréalisationdel’auditdanslecadredel’homologation.

IV.3.3. Territorialitéduservice

a) [E]HébergerettraiterlesdonnéesrelativesauservicededétectiondesincidentsdesécuritéexclusivementenPrincipauté sauf dérogation accordée par l’AMSN.Dans le cas où certains points de collecte seraientsituésendehorsdelaPrincipauté,lesélémentsissusdecespointsdevrontêtretransmisàuncollecteursituéenPrincipautésaufdérogationaccordéeparl’AMSN.

b) [E] Exploiter et administrer le service de détection des incidents de sécurité exclusivement depuis laPrincipauté,saufdérogationexplicitedel’AMSN.

IV.3.4. Contrôles

a) [E]Documenteretmettreenœuvreunplandecontrôledéfinissantlepérimètreetlafréquencedescontrôlesenaccordaveclagestionduchangement,lespolitiques,etlesrésultatsdel’appréciationdesrisques.

b) [E]Ceplandecontrôledoitpermettredevérifierlabonnemiseenœuvredesmécanismesdesécuritéetdeprotectiondel’information.Ceplandecontrôledoitintégrerauminimum:

- lecontrôledesaccèslogiquesetphysiquesauxdispositifsduservicededétection;


- larevuedesprivilègesetdesdroitsd’accèsauxdispositifsduservicededétectiondesincidentsdesécurité.Cette revue doit prévoir la revue des comptes des administrateurs et des opérateurs au minimummensuellement.

c) [E]Réviserleplandecontrôleauminimumannuellementetencasdemodificationsstructurantesduservicededétection,notammentcellesconcernantsonhébergement,soninfrastructureetsonarchitecture.

d) [E]Inclurelalistedesincidentsdesécuritéredoutés(voirexigenceIV.2.2b))dansleplandecontrôleafind’éprouvercesscénarios.

e) [E]Leplandecontrôledoitinclureunprogrammed’auditsurtroisanscouvrantnotamment: - des audits de configuration des serveurs et équipements réseau inclus dans le périmètre du service de

détection.Cesauditssontréalisésparéchantillonnageetdoivent incluretoustypesd’équipementsetdeserveursprésentsdanslesystèmed’informationduservice;

- destestsd’intrusionsurleservice(uneattentionparticulièreseraportéeauxinterconnexions).f) [E]Leprogrammed’auditdoitinclureauminimumunauditqualifiétousles3ans,réaliséparunprestataire

d’auditdelasécuritédessystèmesd’information(PASSI)qualifié.g) [E]Protégerlesrésultatsdescontrôlesauminimumaumêmeniveaudesensibilitéoudeclassificationquele

systèmed’informationcontrôlé.h) [E]Mettre à jour le plan de traitement des risques (voir exigence IV.3.10) pour intégrer les résultats des

contrôles.i) [E]Communiquerlesrésultatsdescontrôlesàsadirection.Lesrésultatsdescontrôlesdoiventêtrevalidés

formellementetparécritparladirection.

IV.3.5. Sécurité physique

a) [E]Élaboreretteniràjourlalistedespersonnesautoriséesàaccéderauxlocauxhébergeantleservicededétectiondesincidentsdesécurité.

b) [E]Mettre enœuvre lesmécanismes permettant de garantir que seules les personnes autorisées peuventaccéderauxlocauxhébergeantleservicededétectiondesincidentsdesécurité.

c) [E]Mettreenœuvrelesmécanismespermettantdejournaliserlesaccèsauxlocauxhébergeantleservicededétectiondesincidentsdesécurité.

d) [E]Définiretmettreenœuvrelesmesurespermettantd’assurerlaconfidentialitéetl’intégritédesjournauxd’accèsauxlocauxhébergeantleservicededétectionàl’aidedesolutionsqualifiéesparl’ANSSIetutiliséesconformémentauxconditionsdeleuragrément.

IV.3.6. Sauvegardes

a) [E] Élaborer et mettre en œuvre un plan de sauvegarde et de restauration des dispositifs du service dedétection des incidents de sécurité. Le plan de sauvegarde doit comporter plusieurs volets distincts, auminimumlesvoletssuivants:

- sauvegardedessystèmes; - sauvegardedesconfigurations; - sauvegardedesdonnées.b) [E]Testerleplandesauvegardeetderestaurationauminimumunefoisparan.c) [E]Définiretmettreenœuvrelesmesurespermettantd’assurerlaconfidentialitéetl’intégritédessauvegardes

effectuées,aumêmeniveauqueceluipourlequellesystèmededétectionaétéhomologué.Ledispositifdesauvegardedoit êtredédiéethébergédansunezoned’administrationenprévoyantuncloisonnementdesactivitésdesauvegarde,conformeauplandesauvegarde.

d) [R]Respecter l’ensemble desmesures et préconisations sur la sécurisation des sauvegardes de la norme[ISO27002].


IV.3.7. Cloisonnementdusystèmed’informationduservicededétectiond’incidentdesécurité

a) [E]Cloisonnerlesystèmed’informationduservicededétectiondesincidentsdesécuritéenplusieurszonesdeconfiancedanslesquellessontrépartistouslesdispositifsimpliquésdansleservicededétection:

- zone(s)decollectedesflux(uneouplusieurs), regroupant l’ensembledesdispositifs impliquésdans leprocessusdecollecte,notammentlescollecteurs;

- zone(s) d’analyse, regroupant l’ensemble des dispositifs impliqués dans le processus d’analyse desévènements;

- zone(s)denotification,regroupantlessystèmesdenotificationducommanditaire,notammentlessystèmesdemessagerie;[R]sieninterneaucommanditaire;

- zone(s)d’administration,regroupantl’ensembledesoutilsd’administrationetlespostesd’administration; - zone(s)demiseàjour,regroupantl’ensembledesdispositifsimpliquésdansleprocessusdetéléchargement

desmisesàjourdesdispositifsduservicededétection; - zone(s)d’exploitation,regroupantlespostesdetravaildesopérateurs; - zonesd’échange,distinctesentrelesadministrateursetlesopérateurs,regroupantlesdispositifspermettant

letransfertdefichiersavecl’extérieurdusystèmed’informationduservicededétectiondesincidentsdesécurité.

b) [E]Mettre enœuvre lesmesures garantissant le cloisonnement entre les différentes zones de confiance,notammentpardesmécanismesdefiltrage,d’authentificationetdecontrôled’accès.

c) [E]Élaboreretteniràjourlamatricedesfluxderéférencedusystèmeduservicededétectiondesincidentsdesécurité,ainsique lapolitiquedefiltrageassociée,n’autorisantque lesfluxstrictementnécessairesaufonctionnementduservicededétectiondesincidentsdesécurité.

d) [E]Mettreenœuvredessolutionsdechiffrementetd’authentificationIPentreceszonesdeconfiancedèslorsque les informationséchangéesentreceszones transitentpardes réseauxde transportnondédiésauservicededétection.Cessolutionsdechiffrementetd’authentificationIPdoiventêtrequalifiéesparl’ANSSIetêtreutiliséesconformémentauxconditionsdeleuragrément.

e) [E] Élaborer et maintenir à jour une description détaillée de l’architecture du système d’information duservicededétectiondesincidentsdesécurité.Cettedescriptiondoitidentifiertouslesdispositifsdusystèmed’informationetleszonesdeconfianceduservicededétection.

IV.3.8. Administrationetexploitationduservice

a) [E]Lesadministrateursdoiventadministrerlesdispositifsduservicededétectiondesincidentsdesécuritéavecdespostesd’administrationdédiés,hébergésdanslazoned’administration4etdistinctsdespostesdetravaildesopérateurs.

b) [E]L’administrationdesdispositifsduservicededétectiondesincidentsdesécuriténedoitêtreréalisablequedepuislazoned’administrationvialesinterfacesréseaudesdispositifsdédiéesàl’administration.

c) [E]Journalisertouslesaccèsauxdispositifsduservicededétectiondesincidentsdesécuritéainsiquelesactionsréalisées5.

d) [E]Mettre en place lesmoyens nécessaires pour procéder à l’authentification des administrateurs et desopérateurs du service, permettant en particulier l’authentification sur leurs postes de travail ainsi que surl’ensembledesdispositifsduservicededétection.

La solutionmise enplacedoit assurerun cloisonnement logique strict despopulations administrateurs etopérateurspourl’authentification,l’autorisationetlagestiondesidentités.

4 Ilestrecommandéderespecterlanotetechniquedel’ANSSIpourl’administrationsécuriséedessystèmesd’informations [NT_ADMIN].5 Ilestrecommandéderespecterlanotetechniquedel’ANSSIpourlamiseenœuvred’unsystèmedejournalisation [NT_JOURNAL].


e) [E]Mettreenœuvrelesmesuresgarantissantquelesadministrateursadministrentlesdispositifsduservicededétectiondesincidentsdesécuritédepuisdescomptesd’administrationdédiésàcestâchesetaccessiblesuniquementparlesadministrateurs.

f) [E]Lesadministrateursnedoiventpasdisposerdesdroitsd’administrationdeleurposted’administration.g) [E]Mettre enœuvre lesmesuresgarantissantque les administrateurs et lesopérateursn’accèdentqu’aux

ressourcesutilesdanslecadredeleursmissions(voirAppendice2).h) [E]Appliquerdesmesuresprivantlesopérateursdedroitsd’administrationsurlesdispositifsduservicede

détection,ycomprissurleurpostedetravail.i) [E] Les postes de travail des administrateurs et des opérateurs doivent être raccordés exclusivement au

systèmed’informationdedétectiondesincidentsdesécurité. Encasdebesoind’accèsàInternetouàd’autressystèmesd’information(systèmed’informationinternepar

exemple),lesadministrateursetlesopérateursdoiventdisposerd’unpostedistinctdeleurpostedetravail,déployéauseind’unezoneexterneausystèmed’informationduservicededétection,appeléezoneInternet(voirexigenceIV.3.13a)).

j) [E] Mettre en place une zone d’échange permettant le transfert de fichiers avec l’extérieur du systèmed’informationduservicededétectiondans lecadrede l’administrationoude l’exploitationduservicededétection.Cettezoned’échangedoitêtredistincteentrelesadministrateursetlesopérateurs.

k) [E]Respecterlesexigencesrelativesàlazoned’échangedécritesauchapitre«Systèmed’échange»delanotetechniquedel’ANSSI[NT_ADMIN].

Remarque : les outils d’analyse de contenumalveillant peuvent êtremutualisés entre la zone d’échangeutiliséeparlesadministrateursetcelleutiliséeparlesexploitants.

[E]Prévoiruntraitementspécifiquepourlesfichierschiffrésounepouvantêtreanalyséspermettantdelesanalyser.

[E]Mettreenplace la journalisationde l’horodate,dunometde l’empreintecryptographiquede tous lesfichierstransitantparlesoutilsd’analysedecontenumalveillant.

l) [E] Tous les échanges liés au service de détection depuis les postes d’administration ou les postesd’exploitationdoiventêtreréalisésàl’aidedeprotocolesdechiffrementetd’authentificationconformesauxexigencesdel’AMSN.

m)[E]Hébergerdanslazoned’administrationunserveurdetempsderéférencepourassurerlasynchronisationdeshorlogesdel’ensembledesdispositifsduservicededétection.

n) [E]Assurerlasynchronisationdesonserveurdetempsderéférenceenutilisantuncanalnominaletuncanaldesecours,vialescanauxsuivants:

- viaInternet:pourcelamettreenplaceunrelaisdanslazonedemiseàjour; - viaantenne:pourcelamettreenplaceundispositifdédiédetypeantenne(radio,GPS).

IV.3.9. Interconnexionsdusystèmed’informationduservice

a) [E]Lesseulesinterconnexionsdusystèmed’informationduservicededétectiondesincidentsdesécuritéautoriséessontcellesavec:

- lesystèmed’informationdecorrélationetd’analysedejournaux; - lesystèmed’informationàsuperviser: • pourlacollectedesfluxvial’enclavedecollecte; • pourl’administrationdesdispositifsdecollecte; • pourl’exploitationdesdispositifsdecollecte; • pourl’envoid’informationnonsensibleviacanalnonsécurisé,notammentlanotificationdesincidents

desécurité; - lesserveursdemiseà jourpour télécharger lesmisesà jourdesdispositifsduservicededétectiondes

incidentsdesécuritéviaunezonedemiseàjour(voirIV.3.10);


- lazoneInternetpermettantl’échangedefichiersavecl’extérieurparl’intermédiairedeszonesd’échange(voirIV.3.13).

b) [E]Lesfluxauxinterconnexionsavecleservicededétectiondesincidentsdesécuritédoiventêtrechiffrésàl’aidedesolutionsdechiffrementetd’authentificationIPsecqualifiéesparl’ANSSI.

Seulesfontexceptionàcetteexigence,danslamesureoùlesexigencesdespartiesIV.3.10etIV.3.11sontrespectées,lesinterconnexionsavec:

- lesserveursdemiseà jourpour télécharger lesmisesà jourdesdispositifsduservicededétectiondesincidentsdesécuritévialazonedemiseàjour(voirIV.3.10);

- le système d’envoi d’information non sensible, notamment la notification des incidents de sécurité(voirIV.3.11).

c) [E]Leséquipementsutiliséspourlechiffrementetl’authentificationdesinterconnexionsdoiventêtredédiésaux prestations de détection des incidents de sécurité qualifiées ou employés dans des conditions où lamutualisationdesprestationsnedégradepasleniveaudesécuritédusystèmed’informationduservicededétection.

IV.3.10. Zone de mise à jour

a) [E]Mettreenplaceunezonedemiseàjourcontenantunouplusieursdépôt(s)relaisconnecté(s)avecunepasserelle Internet dédiée pour permettre le téléchargement demises à jour des dispositifs du service dedétectiondesincidentsdesécurité.

Remarque : le terme«mise à jour » couvre lamise à jour à partir de sourcesofficielles des référentielsutilisésparlesdispositifsduservicededétection(exemple:outilsdeveilleetd’analysedelamenace).

b) [E]Procéderàunemiseàjourmanuelleetdéconnectéedesdispositifsduservicededétectiondesincidentsdesécuritéquinepermettraientpasdemiseàjourviaundépôtrelais.

c) [E]Mettreenœuvreunfiltrageparlisteblancheafinden’autoriserle(s)dépôt(s)relaisqu’àtéléchargerlesmisesàjourofficiellesdesdispositifsduservicededétectiondesincidentsdesécuritéauprèsdessourcesdemiseàjourofficiellesdeséditeurs.

d) [E]S’assurerde l’authenticitéet l’intégritédesmisesà jour téléchargéesauprèsdes sourcesdemiseà jourautorisées,etmettreenœuvredescertificatsens’appuyantsur les règleset recommandationsconcernant lagestiondesclésutiliséesdanslesmécanismescryptographiquesannexéesauxarrêtésministérielsn°2018-635,n° 2018-636 et n° 2018-637 du 2 juillet 2018 portant application de l’arrêté ministériel n° 2017-835 du29novembre2017portantapplicationdel’article54del’OrdonnanceSouverainen°3.413du29août2011portantdiversesmesuresrelativesàlarelationentrel’Administrationetl’administré,modifiée.

e) [E]Configurerlessolutionsdefiltrage(voirexigenceIV.3.9.b))pourn’autoriserquelesfluxinitiésdepuisle(s)dépôt(s)relaisverslapasserelleInternet.

IV.3.11.Zonedenotification

a) [R]Lorsquedessystèmesdemessagerieélectroniquesontutilisésdanslecadredelagestiondesnotifications,ceux-cidoiventêtredédiésauxactivitésdenotificationdanslecadreduservicededétection.

b) Ledispositifdefiltrage(voirexigenceIV.3.9.b))àl’interconnexiondusystèmed’informationduservicededétection,entrel’extérieurdusystèmed’informationduserviceetlazonedenotification,nedoitautoriserquelesfluxémisdepuislazonedenotificationpourl’envoid’informationnonsensible(exemple:notificationd’incidentdesécurité).

IV.3.12.Enclavedecollecteauseindusystèmed’information

a) [E]L’enclavedecollectenedoithébergerquelesdispositifspermettantd’assurerleservicededétectiondesincidentsdesécurité,àsavoirlesdispositifsimpliquésdanslasupervision(Systèmesdedétectionqualifiés,Tapqualifiés,agrégateurs).

b) [E]Administreretopérerlesdispositifshébergésdansl’enclavedecollecteàpartirrespectivementdeszonesd’administrationetd’exploitationdusystèmed’informationduservicededétectiondesincidentsdesécurité(voirexigenceIV.3.7b)).


c) [E]Lecloisonnementdel’enclavedecollectedoitêtreréaliséparundispositifdefiltrageentrecetteenclaveetlesystèmed’informationduservicededétectiondesincidentsdesécuritéduprestataire.

d) [E]Ledispositifdefiltrageentre l’enclavedecollectedesfluxet le systèmed’informationduservicededétectiondesincidentsdesécuritédoitinterdiretouslesfluxexceptés:

- ceux initiésdepuis cette enclavede collectevers le systèmed’informationdu servicededétectiondesincidentsdesécuritéetpermettantuniquementdetransmettrelesflux;

- ceuxpermettantd’administrerdepuislazoned’administrationlesdispositifshébergésdanscetteenclavedecollecte;

- ceuxpermettantlamiseàjourdesdispositifsdel’enclavedecollecteàpartirdelazonedemiseàjour.e) [E] Prévoir, pour les outils d’analyse de contenu malveillant, un traitement spécifique pour les fichiers

chiffrésounepouvantêtreanalysés.

IV.3.13.ZoneInternetauseindusystèmed’informationduservicededétection

a) [E]Mettreenplaceendehorsdusystèmed’informationduservicededétectionunezoneInternetcontenantdespostesdetravaildédiésutilisésparlesopérateursetadministrateurspouraccéderàInternetouàd’autressystèmesd’information(systèmed’informationinterneparexemple).LazoneInternetdoitêtredéconnectéedessystèmesd’informationduservicededétection.

b) [E]LespostesdetravailhébergésdanslazoneInternetdoiventêtrephysiquementdédiésàlazoneInternet(dédiésàl’accèsàd’autressystèmesd’informationquelesystèmed’informationduservicededétection).

c) [E]L’ensembledesfluxsortantdelazoneInternetversInternetdoittransiterparunserveurmandatairepuisparunesortieversInternetdistinctedecelleutiliséeparlesystèmed’informationinterne.

d) [R] Réaliser les recherches en sources ouvertes, notamment sur Internet, à partir de liaisons Internetdémarquées(IPanonymeetdynamiqueavecchangementpériodique,aucunenregistrementdanslesbaseswhois,etc.)afindenepassefaireidentifierparl’attaquant.

e) [E]LazoneInternetdoitêtrehomologuéeauminimumauNiveau Standardduguided’hygièneinformatiquedel’ANSSI[HYGIENE].

f) [E]Horodateretjournaliserlesrecherchesensourcesouvertesréalisées.g) [R]JournalisertouslesaccèsauxdispositifshébergésdanslazoneInternetainsiquelesactionsréalisées,et

appliquer les recommandationsdéfiniesdans lanote techniquede l’ANSSIconsacréeà lamiseenœuvred’unsystèmedejournalisation[NT_JOURNAL].

IV.4.Organisationetgouvernance

IV.4.1. Charte d’éthique et recrutement

a) [E]Procéderàunevérificationdesformations,qualifications,référencesprofessionnellesdescandidatspourleservicededétectionetdelavéracitédeleurcurriculum vitaepréalablementàleurembauche.

b) [E]Demanderauxcandidatsdeluifournirunepreuvequ’ilsnefontpasl’objetd’uneinscriptionaubulletinn°3ducasierjudiciaire.

c) [E]Disposerd’unecharteintégréeaurèglementintérieur,prévoyantnotammentque:

- lesprestationssontréaliséesavecloyauté,discrétionetimpartialité; - lespersonnelsnerecourentqu’auxméthodes,outilsettechniquesvalidés; - les personnels s’engagent à ne pas divulguer d’informations à un tiers, même anonymisées et

décontextualisées,obtenuesougénéréesdanslecadredelaprestationsaufautorisationformelleetécriteducommanditaire;

- lespersonnelss’engagentàsignalertoutcontenumanifestementillicitedécouvert; - les personnels s’engagent à respecter la législation et la réglementation monégasque en vigueur et les

bonnespratiquesliéesàleursactivités.


d) [E]Fairesigneràl’ensembledesonpersonnellacharteprévueàl’exigenceprécédente.e) [E]Veiller au respect de la charte et prévoir des sanctions disciplinaires à l’intentiondes opérateurs, des

administrateurs et des experts du service de détection ayant enfreint les règles de sécurité ou la charted’éthique.

f) [E] Élaborer et mettre en œuvre un plan de sensibilisation de son personnel à la sécurité des systèmesd’informationetdesmesuresdesécuritéassociéesainsiqu’àlalégislationetlaréglementationmonégasqueenvigueurenrapportavecleservicededétectiondesincidentsdesécurité.

IV.4.2. Organisation et gestion des compétences

a) [E]Disposerd’uneéquipe: -assurantauminimumlesmissionsdécritesdansl’Appendice2; -disposantdescompétencesassociéesàcesmissions.

b) [E]Définiretformaliserlalisteexhaustive:

- desrôlesd’administrateurduservicededétectiondesincidentsdesécurité; - desrôlesd’opérateurduservicededétectiondesincidentsdesécurité. (cf.Appendice2). Lesprincipesdumoindreprivilègeetdubesoind’enconnaîtredoiventêtreappliquésauxrôlesd’opérateurs

etauxrôlesd’administrateurs.

c) [E]Élaboreretmettreenœuvreunplandeformationàdestinationdel’équipeduservicededétection.

d) [E] Élaborer et mettre à disposition des personnels les guides d’exploitation ou d’administration desdispositifsduservicededétectiondesincidentsdesécurité.

e) [R]Mettreenplacedesastreintes luipermettant lamobilisationd’unepartiedesonéquipeendehorsdesheuresouvrées.

f) [E]Disposer en interne d’un centre de veille, d’alerte aux attaques d’informatiques ou souscrire à un telservice.

g) [E]Lecentredeveille,d’alerteauxattaquesd’informatiquesdoitêtreréférencéparleCentregouvernementaldeveille,d’alerteetderéponseauxattaquesinformatiques(CERT-MC).

IV.4.3. Comités opérationnels

a) [E]Mettreenplaceetanimerenprésencedeladirectionuncomitéopérationnel,auminimumunefoispartrimestre.

b) [E]Lecomitéopérationneldoittraiterauminimumdessujetssuivants:

-bilanduservicededétectiondesincidentsdesécurité: • revue des indicateurs opérationnels (voir point IV.5.1) selon un cycle de revue de chaque indicateur

convenuaveclecommanditaire; • revuedesincidentsdesécuritédétectés; -périmètreduservicededétectiondesincidentsdesécurité: • revueducontextedusystèmed’information; • revuedeschangementsconcernantlesystèmed’information; • présentationdesprojetsd’évolutionsdespointsdecollectedesflux; • revuedelalistedesincidentsdesécuritéredoutés; -améliorationduservicededétectiondesincidentsdesécurité: • revuedesindicateursdequalité(voirpointIV.5.1)selonuncyclederevuedechaqueindicateurconvenu

aveclecommanditaire; • présentationconsolidéedel’efficacitéduservicededétection; • revueetanticipationdelamenace.


c) [E]Rédigeruncompterenduà lasuitedechaquecomitéopérationnelà fairevaliderpar ladirection.Cecompterendudoitcontenirauminimumlalistedesparticipants,lesdécisionsprisesencomitésetlepland’actionassocié.

d) [E]Protégerlecompterenduducomitéopérationnel,enparticulierenmatièredeconfidentialité,entenantcompteduniveaudesensibilitéoudeclassificationdesoncontenu.

e) [E]Stockeretarchiver les supportsdescomitésopérationnelsetcomptes rendusassociésdansunespacespécifiqueauseindel’infrastructureduservicededétection.

IV.5.Qualitéetniveaudeservice

IV.5.1. Gestiondelaqualitéduservice

a) [E]Élaborer etmettre enœuvre unprocessus de capitalisation sur les incidents de sécurité détectés afind’améliorercontinuellementl’efficacitéduservicededétection.

b) [E]Définirlesindicateursopérationnelsduservicededétectiondesincidentsdesécurité.

c) [R]Utiliserlesindicateursproposésdanslanorme[ETSI_ISG_ISI].d) [E]Auminimummettreenplacelesindicateursopérationnelsd’activitésuivants: - letauxdedisponibilitédesdispositifstechniquesduservicededétection; - gestiondelasécuritédesinterconnexionsduSIduservicededétection; - gestiondescapacitésdedétection: • lenombred’alertesdesécuritédétectéespartrimestre; • lenombred’incidentsavéréssuiteàunequalification,partrimestre; - gestiondesincidents: • lenombredenouveauxticketsd’incidentsouvertspartrimestre; • lenombredeticketsd’incidentsdesécuritéclospartrimestre; • laduréeminimale,moyenne,maximaleentrelacréationd’unticketetsaclôture; • lenombred’incidentscréésselonleniveaudegravitédel’incident; - gestiondesévènements: • lenombred’évènementsnonreconnuscommeteletdoncnonprisencompte; • lenombredepointsdecollecte; • lenombred’évènementscollectéspartrimestre; • la capacité de rétention des collecteurs si la communication est impossible (lien réseau coupé par

exemple)aveclecollecteursupérieur(envolumétrieetentemps).

e) [E]Élaboreretteniràjourunprocessusdemesuredesindicateursdécrivant,pourchacundesindicateursopérationnelsdéfinis,lesméthodesetmoyensmisenœuvrepourmesurerl’indicateur.

APPENDICE 1 - RÉFÉRENCES DOCUMENTAIRES

Renvoi Document[HOMOLOGATION] L’homologationdesécuritéenneufétapessimples,AMSN,surhttps://amsn.gouv.mc[HYGIENE] Guided’HygièneInformatique,ANSSI,versionenvigueur.

Disponiblesurhttps://www.ssi.gouv.fr[NT_JOURNAL] Recommandationsdesécuritépourlamiseenœuvred’unsystèmede

journalisation,notetechniquen°DAT-NT-012/ANSSI/SDE/NPdu2décembre2013,ANSSI.Disponiblesurhttps://www.ssi.gouv.fr


Renvoi Document[NT_ADMIN] Recommandationsrelativesàl’administrationsécuriséedessystèmesd’information,

notetechniquen°DAT-NT-22/ANSSI/SDE/NPdu20février2015,ANSSI.Disponiblesurhttps://www.ssi.gouv.fr

[ETSI_ISG_ISI] StandardsETSIISIIndicators(ISI001-1andGuides001-2),ISIEventModel(ISI-002),ISIMaturity(ISI-003),ISIEventDetection(ISI-004)–5standardssurladétectiondesincidentsdesécurité.Disponiblesurhttp://www.etsi.org

[ISO27000] NormeinternationaleISO/IEC27000:2014:Technologiesdel’information–Techniquesdesécurité–Systèmesdegestiondelasécuritédel’information–vued’ensembleetvocabulaire.Disponiblesurhttp://www.iso.org

[ISO27001] NormeinternationaleISO/IEC27001:2013:Technologiesdel’information–Techniquesdesécurité–Systèmesdemanagementdelasécuritédel’information–Exigences.Disponiblesurhttp://www.iso.org

[ISO27002] NormeinternationaleISO/IEC27002:2013:Technologiesdel’information–Techniquesdesécurité–Codedebonnepratiquepourlemanagementdelasécuritédel’information.Disponiblesurhttp://www.iso.org

[ISO27005] NormeinternationaleISO/IEC27005:2011:Technologiesdel’information–Techniquesdesécurité–Gestiondesrisquesliésàlasécuritédel’information.Disponiblesurhttp://www.iso.org

[ISO27035] NormeinternationaleISO/IEC27035:2011:Technologiesdel’information–Techniquesdesécurité–Gestiondesincidentsdesécuritédel’information.Disponiblesurhttp://www.iso.org

APPENDICE 2 - MISSIONS ET COMPÉTENCES DU PERSONNEL1. Opérateur analyste

a. Missions- identifier,analyseretqualifierenincidentdesévènementsdesécurité;- accompagnerletraitementdesincidentspardeséquipesd’investigation.

b.Compétences- connaissancedesprotocolesetarchitecturesréseau;- pratiquedel’analysedejournauxdessystèmesdedétection;- connaissancesensécuritédessystèmesd’information;- pratiquedel’analysedefluxréseauxetdefichiers;- maîtrisedesfonctionnalitésmétierdesdispositifsduservicededétectionnotammentlarecherched’évènementsdanslessystèmesdestockagedesévènements.

2. Administrateur d’infrastructure

a. Missions- administrerlesdispositifsdel’infrastructuretechniqueduservicededétectiondesincidentsdesécurité;- maintenirenconditionsopérationnelleslesdispositifsdel’infrastructuretechniqueduservicededétectiondesécurité;


- mettreàjouretmaintenirenconditionsdesécuritélesdispositifsdel’infrastructuretechniqueduservicededétectiondesincidentsdesécurité;

- gérerlacréationetladésactivationdecomptessurlesoutilsd’exploitationduservice;- gérerl’attribution,lamodificationetlasuppressiondedroitsd’accèsauxoutilsd’exploitationduservice.

b. Compétences- maîtrisedesdispositifsduservicededétectiondesincidentsdesécuritéetnotammentceuxdanslesactivitésdegestiondesévènements,desincidentsetdesnotifications;

- maîtrisedel’administrationdesoutilsd’exploitationduservice;- connaissancedesrôlesduservicededétectionetdesdroitsassociés.

3. Expert architecture

a. Missions- concevoiretmaintenirunearchitectureduservicededétection;- intégrervoiredévelopperetmaintenirlescomposantsduservicededétection.

b. Compétences- connaissancesdufonctionnementdessondes;- maîtrisedesprotocolescourantspourlefonctionnementdesservicesdedétection;- bonnesconnaissancesdel’architectureglobaled’unréseauetdelasécurisationdesescomposants(routeurs,commutateurs,etc.).

4. Expert métier détection

a. Missions- alimenterdesbasesdeconnaissancesinternesdecapitalisationdesmenaces,vulnérabilités,codesmalveillants;- gérer les règles de détection au travers de leur cycle de vie (conception, implémentation, documentation,modification,désactivation,etc.);

- assurerl’améliorationcontinuedesprocessusduservice.

b. Compétences- connaissancedesvulnérabilités;- connaissancedesprotocolesdecontrôlecommande;- connaissancedesmodesopératoiresd’attaqueetdescodesmalveillants;- maîtrisedesoutilsdedéveloppementdesrèglesdedétection.


APPENDICE 3 – EXEMPLE D’UNE ARCHITECTURE CONFORMELeschémasuivant,toujoursàtitreillustratif,metenavantlefaitquelesmêmesexigencesdoiventêtrerespectées

parunservicededétection.

Chacundesfluxreprésentéssurleschémaci-aprèsdoitfairel’objetdechiffrementetd’authentificationpardessolutions IPSecqualifiéesdèslorsqu’ilcirculesurunréseaunondédiéauservicededétection.

Sileréseauestdédiéauservicededétection,lesfluxdoiventfairel’objetdechiffrementetd’authentificationàl’aidedecertificat.


APPENDICE 4 - RÈGLES RELATIVES À L’USAGE D’UN AGRÉGATEUR DE FLUX

L’utilisationd’unagrégateurdefluxestautoriséeentredesTapetlesystèmededétection,danslesconditionssuivantes:

- L’agrégateurdoitêtreutiliséexclusivementpourassurerlafonctiond’agrégation: •touteslesautresfonctionsdel’agrégateurdoiventêtredésactivées; •iln’estpasautoriséd’utiliserunéquipementréalisantlesfonctionsdeTapetd’agrégateur(unéquipement

dédiéestnécessairepourassurerchaquefonction);

- L’agrégateurdoitêtreadministrédelamêmemanièreetdanslesmêmesconditionsdesécuritéquepourlessystèmesdedétectionqualifiés;

- Lesresponsabilitésd’administrationdel’agrégateurdoiventêtredétaillées;

- L’agrégateurdoitêtreadministrédepuisleservicededétectiond’incidentsdesécurité;

- L’agrégateurdoitêtresuperviséafind’identifierdeséventuellespertesdepaquets;

- Lesmisesàjourdel’agrégateurdoiventêtreréaliséesdanslesmêmesconditionsquelessondes.

Il est recommandé que l’agrégateur soit dimensionné pour supporter la capacité réseau théorique de chaqueréseau agrégé.

À défaut d’utiliser un agrégateur, l’utilisation d’un système de détection disposant de plusieurs interfacesréseauxetassurantlafonctiond’agrégationestautorisée.

amsn annexe 2 - gouv...les recommandations [r] sont données à titre de bonnes pratiques. les...

Documents