Quelles compétences « avancées » peut-on attendre d’un prestataire de cybersécurité de premier niveau ? Le référentiel RCCP apporte une réponse.
Que peut-on attendre d’un prestataire cyber « de premier niveau » ? Pour se donner une idée, il y a désormais un référentiel : le RCCP.
Censé guider vers l’obtention du label ExpertCyber, le document se structure autour de cinq activités : identifier, protéger, détecter, répondre, rétablir. Elles-mêmes divisées en domaines de compétences.
Certaines de ces compétences doivent être maîtrisées à un niveau « intermédiaire ». D’autres doivent l’être à un niveau plus avancé (« expérimenté »). En voici la liste.
I – Identifier
Gestion des actifs
Boîte mail
> Maîtriser les messageries et la sécurisation des protocoles associés
Gestion des identités et des accès
> Mettre en place une gestion des comptes, des utilisateurs et des privilèges selon le besoin
> Connaître les recommandations relatives à l’administration sécurisée des SI
> Maîtriser les bonnes pratiques de gestion des mots de passe et savoir appliquer des stratégie de gestion conformes aux types d’identités utilisés
Mots de passe
> Connaître les systèmes de coffres-forts numériques et les formes de MFA
> Connaître l’état de l’art sur la gestion et la complexité des mots de passe en fonction du type de compte
Sauvegarde
> Savoir définir un plan en fonction de la criticité des données
Gouvernance
Connaissance des normes et des standards
Connaître les principes généraux des normes ISO 27K et NIST
Obligations du prestataire et risques client
> Maîtriser les éléments d’un contrat de prestation incluant les niveaux de service et les champs de responsabilité
> Connaître les bases juridiques liées à l’externalisation d’un SI et les obligations en matière d’utilisation, de localisation et de transfert de données
Recommandations de base
> Maîtriser et appliquer les guides de bonnes pratiques de l’ANSSI
> Savoir adapter le niveau d’exigence en fonction de la nature de l’entité, de son exposition et de sa tolérance au risque numérique
Appréciation des risques
Identification
> Définir les vulnérabilités et les menaces par rapport aux actifs de la structure
> Connaître les bases d’une analyse de risques
> Concevoir un tableau des risques appliqués aux actifs et aux données
Gestion des vulnérabilités
> Maîtriser les outils de contrôle de la conformité, de configuration et de mise à jour
Stratégie de gestion des risques
Gestion de crise
> Connaître les acteurs, le principe d’activation et le mode de fonctionnement d’une cellule de crise
> Connaître l’environnement et les métiers de la structure en crise
II – Protéger
Sensibilisation et formation
Recommandations de base
> Mettre à disposition des clients des supports d’information sur l’hygiène informatique
Relation client
> Élaborer des formations sur ce sujet d’hygiène informatique et évaluer le niveau de sécurité des utilisateurs
Sécurité des données
Architecture
> Maîtriser les protocoles de sécurité des réseaux (physiques et sans fil)
> Maîtriser les VLAN et les listes de contrôles d’accès réseau
> Déployer et cloisonner des infrastructures de réseaux en conformité avec leurs rôles et objectifs respectifs
Sécurisation
> Maîtriser les outils de protection des applicatifs en ligne, les outils de contre-mesures et les outils de chiffrement de disques
Antivirus
> Maîtriser déploiement, gestion centralisée et mise à jour des bases
> Définir une politique et des procédures de gestion des alertes
Administration systèmes
> Savoir durcir un OS, limiter la surface d’attaque systèmes et services réseau
> Maîtriser l’analyse des logs et l’administration courante des systèmes
Disponibilité
> Maîtriser les principes d’architecture redondante par grappe, les équilibreurs de charge et les services anti-DDoS
> Pouvoir répondre à des problèmes de redirection de flux via des liens tiers
Maintenance
MCO/MCS
> Maîtriser des outils de gestion de parc et de déploiement automatique de logiciels
> Savoir appliquer un plan de continuité opérationnel
> Savoir maintenir des OS et des infrastructures en conservant un niveau de sécurité adéquat
Technologie de protection
Connaissance des solutions et technologies existantes
> Maîtriser la gestion d’un équipement de sécurité et savoir documenter les règles appliquées à la gestion des mises à jour et des accès
> Savoir filtrer les principaux flux associés à un SI pour respecter le principe du moindre privilège
> Savoir identifier le niveau de maturité de l’organisation pour lui conseiller une solution adaptée
III – Détecter
Anomalies et événements
Identification
> Avoir la connaissance des phases d’attaque
> Connaître les vecteurs possibles de compromission et leurs capacités/conséquences
> Savoir définir un comportement jugé non conforme en fonction du vecteur de compromission
> Maîtriser les outils et les méthodes de détection des vulnérabilités
> Pouvoir associer des solutions de remédiation ou des mesures palliatives
Surveillance continue de la sécurité
Supervision SSI
> Maîtriser les SIEM
> Connaître les principaux outils de supervision et savoir les mettre en prod
Processus de détection
Détection
> Pouvoir déployer et maintenir des outils de détection
> Connaître et savoir interpréter les relations entre un événement détecté et les menaces possibles associées
IV – Répondre
Plan d’intervention
Gestion de crise
> Identifier les rôles et missions des acteurs étatiques chargés du traitement technique et judiciaire
Réponse à incidents
> Identifier les vecteurs des compromissions et mesurer l’étendue de ces dernières
> Savoir effectuer des relevés techniques sans modifier le SI
> Savoir recherche des traces de compromission
> Effectuer des opérations de réponse sans détruire de données ou de traces
> Maîtriser le processus de remontée d’information
Analyse
Identification
> Savoir analyser et lier les événements trouvés, puis orienter les recherches en fonction
Conservation de la preuve
> Maîtriser la collecte des preuves
> Pouvoir mettre en œuvre un système de blocage en écriture physique ou logique
Analyse
> Maîtriser l’analyse des logs pour rechercher des compromissions
Analyse matérielle
> Maîtrise la collecte de la mémoire et des systèmes de stockage des serveurs et des clients
Atténuation
Accompagnement
> Savoir interagir avec les responsables pour respecter leurs contraintes opérationnelles
> Prendre en compte la dimension psychologique d’une crise
Remédiation
> Savoir appliquer les mesures adéquates
> Maîtriser les procédures pour contenir les effets de l’attaque et connaître leurs conséquences opérationnelles
> Maîtriser la mise en place d’un système de contrôle renforcé des flux ou l’isolation des SI
Amélioration
Procédure interne
> Consolider ses connaissances pour améliorer les processus de réponse aux incidents
V – Rétablir
Planification de la récupération
Gestion de crise
> Participer à la mise en place de la cellule de crise
> Accompagner le client jusqu’à la sortie de crise en s’assurant du bon fonctionnement des outils pendant la crise
Sauvegarde
> Maîtriser le plan de restauration des sauvegardes
> Savoir définir si elles peuvent être considérées comme de confiance