Conseils pour permettre l'intervention d'un consultant sécurité certifié PCI Forensic
Je termine ma trilogie sur les prestataires de sécurité PCI par ces recommandations qui tiennent du bon sens et on une forte influence sur l’intervention du consultant dans un environnement compromis ou suspecté de l’être. Il est parfois surprenant de constater que la demande de l’auditeur PFI (Payment Card Industry Forensic Investigator) lorsqu’il demande à avoir accès à toutes les ressources physiques et logiques de la bulle PCI ainsi qu’aux contrats avec les entreprises fournisseurs. Mais nous devons répondre à cette demande sans hésitation.
Nous sommes conscient que la priorité reste la conservation des preuves de la compromission.
Il est toujours tentant de rebooter les équipements, effacer les logs en cas de manque de place, supprimer et détruire tous logiciels non utiles ainsi que de rendre le service au plus vite à l’utilisateur final que ce soit le client interne ou externe. Une erreur de débutant qui fera plus de mal à moyen et long terme.
Nous ne devons plus réfléchir ITIL, SLA, au sacro saint « Oui chef, je remet en route ». Vous avez un plan de réponse aux incidents qui contient les scénarios de reprise dans ce cas. Respecté le, sensibiliser vos managers, Directeurs, Direction Général…voir Dieu 🙂
Quand on est poutré, on doit aussi savoir prendre le recul pour ne pas rendre impossible le forensic et la découverte de la cause de cette brèche. La conservation des preuves est la vrai priorité et quand les équipes travaillent de concert avec le prestataire PFI, le temps de rétablissement rentre dans l’acceptable d’une situation inacceptable.
Nous sommes des professionnels, nous sommes tous vulnérables et on ne pourra empêcher une brèche ou une compromission mais nous serons capable grâce à PCI et ses exigences de remonter l’histoire si nous avons respecter les quelques conseils de bases qui sont:
La préservation des preuves
- Eviter les accès aux systèmes compromis avant d’avoir consulté/vu votre auditeur sécurité PFI. Ne pas se connecter en ROOT et encore moins de changer les mots de passes. L’idéal serait de ne plus utiliser les systèmes compromis mais dans la vrai vie.com c’est plus compliqué 🙁
- N’éteignez pas les systèmes infectés. Si vous le pouvez déconnecter les du réseau (enlève le cable/fibre).
- Conserver les fichiers journaux, événements de sécurités sur l’ensemble des composants « Web, DataBase, Firewalls, etc. S’assurer que les fichiers journaux ne soient pas compromis par les outils d’investigations.
- Que l’ensemble des actions, documents et décisions prisent soient consignés pour permettre le chronogramme lors du postmortem.
La partie Physique
Le prestataire PFI devra déterminer avec notre aide l’ensemble du périmètre physique qui rentre dans son investigation. Ce périmètre physique peut aller très loin car on couvre l’ensemble des prestataires qui peuvent se situer aussi bien en Inde, qu’au Maroc ou aux USA. Ceci est la raison que dans votre plan de réponse aux incidents l’ensemble des acteurs internes et externes soient dans la boucle dès le départ.
Les ressources pour le Forensic
Il faudra aussi s’assurer que l’ensemble des ressources humaines aussi bien la DSI, la DG ainsi que les responsables techniques, administrateurs systèmes & réseaux, personnel de sécurité Cyber, CERT quand présent soient disponible pour répondre et assister le prestataire PFI. Le prestataire PFI sont soumis aux règles de qualité établis par le PCI SSC et il est possible leur remonté toute information positive ou négative lors de cet incident de sécurité majeure…
Voila que du bon sens et si je devais donner un seul conseil. Préparez vous, sensibiliser autours de vous, faites un exercice une fois par an.
and be cool, it’s only PCI 🙂
