Incidents

Incidents de sécurité

Par incidents de la sécurité de l’information (ou « incidents »), on entend un ou plusieurs événements indésirables relatifs à la sécurité de l’information et risquant fortement de compromettre les activités opérationnelles ou de menacer la sécurité des informations.

Par sécurité des informations, on entend la préservation de la confidentialité, de l’intégrité et la disponibilité des informations ; d’autres propriétés, telles que l’authenticité, l’imputabilité, la non-répudiation et la fiabilité, peuvent également être concernées.

Un exemple d’incident menaçant la confidentialité des informations est l'utilisation d'un abus de fonctionnalité pour accéder à des informations qui sont sensées rester confidentielles. Il s’agit d’une technique d’attaque qui permet de contourner les mécanismes de contrôle d’accès d’un site web en se servant intentionnellement de fonctionnalités propres au site pour accéder aux banques de données qui se cachent derrière. Il est ainsi possible de récupérer, à l'insu du propriétaire du site, des listes de clients ou des informations relatives à des cartes de crédit.

Le défacement est un exemple d’incident menaçant l’intégrité des informations. Si elle est appliquée avec succès, cette technique permet à un cybercriminel de changer l’apparence visuelle d’un site web en échangeant une page originale contre une page qu’il a créée. Les visiteurs peuvent toujours accéder au site, mais les informations reçues ne sont pas celles qui ont été publiées par le propriétaire du site, ce qui peut évidemment nuire fortement à sa réputation.

L’attaque par déni de service (Denial of Service (DoS)) est un exemple-type d’incident menaçant la disponibilité des informations. Il peut s'agir de :

  • l’inondation d’un réseau afin d'empêcher son fonctionnement ;
  • la perturbation des connexions entre deux machines, empêchant l'accès à un service particulier ;
  • l'obstruction d'accès à un service à une personne en particulier.

L'attaque par déni de service peut ainsi bloquer un serveur de fichiers, rendre impossible l'accès à un serveur web ou empêcher la distribution de courriels dans une entreprise.

Types d'incidents

On dénombre une multitude de types d’incidents dans le domaine de la cybersécurité et cette page n’a pas prétention d’en dresser une liste exhaustive. Seuls dix d’entre eux parmi les plus fréquemment rencontrés sont repris ci-après.

  • Informations compromises : destruction, corruption ou divulgation réussie d'informations sensibles ou de la propriété intellectuelle.
  • Actifs fragilisés : hôte, périphérique réseau, application ou compte utilisateur compromis. Cela inclut des hôtes infectés par des logiciels malveillants contrôlés activement par un attaquant.
  • Accès non autorisé : un individu (interne ou externe) accède logiquement ou physiquement sans autorisation à un réseau, un système, des applications, des données ou à d’autres ressources.
  • Code malveillant : logiciel malveillant (virus, ver, cheval de Troie ou autre entité fondée sur des codes malveillants) qui infecte un système d'exploitation ou une application.
  • Déni de service : attaque qui empêche ou entrave avec succès le fonctionnement normal autorisé des réseaux, des systèmes ou des applications en épuisant les ressources. Cette activité comprend le fait d’être victime d'une attaque DoS ou de participer involontairement à une telle attaque.
  • Vol ou perte : perte ou vol d'équipements sensibles, tels que les ordinateurs portables ou les supports d’information amovibles (disque dur, stockage flash, CD/DVD, ...).
  • Phishing : utilisation de la technologie de réseau informatique frauduleuse, comme des e-mails trompeurs ou des sites Web, pour inciter les utilisateurs à divulguer des informations sensibles (par exemple les détails et informations d'identification de comptes bancaires).
  • Activité illégale : incidents informatiques de nature criminelle, susceptibles d'entraîner l'application de la loi, des enquêtes mondiales, ou la prévention des pertes. Exemples : fraudes, menaces à la sécurité humaine, pornographie juvénile.
  • Scans / sondes / tentative d'accès : toute activité qui cherche à accéder ou identifier des ordinateurs, ports ouverts, protocoles, services, ou une combinaison d’entre eux pour les exploiter plus tard. Cette activité n’entraîne pas directement un compromis ou un déni de service.
  • Violations de politique : violation délibérée d'une politique de sécurité de l'information. Exemples :
    • l'utilisation inappropriée de biens sociaux, tels que des ordinateurs, des réseaux ou des applications ;
    • l’accroissement non autorisé de privilèges ou tentative délibérée de contourner les contrôles d'accès.

Un deuxième mode de classification des incidents est la distinction entre accidents, attaques opportunistes et attaques ciblées. Ces trois catégories sont décrites plus en détail dans les sous-rubriques de cette page. Il est à noter que ce n’est pas la définition du type d’incident qui décide de la catégorie dans laquelle placer l’incident, mais la cible visée par celui qui en est à l’origine.

Pourquoi gérer les incidents

L’expérience a montré qu’aucun système informatique n’est sécurisé à 100%, ce qui signifie que des incidents de sécurité vont se produire tôt ou tard. L'utilisation croissante des technologies de l'information et de la communication (TIC) offre un champ d’attaque toujours plus grand aux criminels.

Le premier but de la gestion des incidents est de minimiser l’impact (l’envergure) de l’incident et de rétablir un fonctionnement normal dans les meilleurs délais. Dans le domaine professionnel, cela se traduit par la volonté de ne pas violer le contrat de niveau de service (Service Level Agreement (SLA)).

Le deuxième but de la gestion des incidents est d’analyser la situation afin de comprendre l’incident en détail et d'en tirer des conclusions qui permettront éventuellement de prévenir des incidents similaires dans le futur. La conservation des traces est un élément clé pour une gestion d'incidents réussie.

Enfin, il convient de collecter des informations sur les incidents afin de pouvoir établir des statistiques. Des données anonymisées devraient ou doivent – selon le domaine d’activité de la victime – être transmises à un acteur public national (CSIRT ou régulateur) qui, selon le cas de figure, les partage avec des acteurs internationaux.

Dernière mise à jour