Dans une démarche d’intelligence collective, l’Agence nationale de systèmes d’informations (Anssi) vient de lancer un appel aux directeurs des systèmes d’information pour l’aider à mettre en place un corpus de remédiation dont l’objectif principal est d’aboutir sur un langage commun.
Face aux dégâts financiers et matériels que peuvent engendrer les cyberattaques, leur fort potentiel de déstabilisation et l’extension de leurs effets dans la durée, il est nécessaire que les organisations ciblées ainsi que leurs prestataires de sécurité disposent d’un savoir-faire, non seulement dans l’entrave de ces cyberattaques, mais également dans la reprise du contrôle des système d’information. En ce sens, la remédiation représente une étape clé dans le traitement de l’incident de sécurité informatique majeur pour parvenir à cette reprise du contrôle des systèmes. Or, à l’heure actuelle, l’écosystème français nécessiterait d’être consolidé en la matière pour aboutir sur un vocabulaire partagé entre offreurs de solution et bénéficiaires. Dans cet esprit, l’Anssi vient de publier un appel à commentaires sur un corpus constitué de guides destinés aux acteurs de l’informatique et de la cybersécurité, suivant différents niveaux de décision. Ils visent à expliciter les enjeux de la remédiation, à en proposer les principaux piliers doctrinaux et à fixer les invariants élémentaires de l’organisation et des actions techniques de la remédiation.
Un corpus décliné en trois volets : stratégique, opérationnel et technique
L’Agence a notamment défini la remédiation au travers de la séquence “E3R” : endiguement de la progression de l’attaquant ; Évocation du coeur de confiance ; Eradication des emprise résiduelles dans les systèmes métiers et Reconstruction des moyens d’atteindre les objectifs de l’éviction et de l’éradication. Ce chantier de diffusion des piliers doctrinaux de la mise en œuvre et du pilotage de la remédiation, désormais engagé, rend incontournable la prise en compte active des dynamiques de l’écosystème et des retours d’expériences, en particulier l’avis des DSI, garants du succès de la remédiation lors des cyberattaques. Sur le portail de l’Agence, le corpus remédiation est décliné en trois volets (stratégique, opérationnel et technique). Ces documents décrivent respectivement :
- Les enjeux de la remédiation pour une organisation affectée par un incident de sécurité (volet stratégique),
- Les principes du pilotage et de la mise en œuvre du projet de remédiation (volet opérationnel),
- Les exigences techniques pour une opération spécifique dans le projet de remédiation (volet technique).
Les documents proposés à commentaires couvrent les éléments jugés essentiels sur le sujet. Cependant, le corpus a vocation à être progressivement enrichi en nouveaux documents. Les retours sont à transmettre à l’adresse commentaires-remediation@ssi.gouv.fr, en remplissant la fiche de lecture en pièce-jointe.
