LogCraft's Blog

Appearance

Le référentiel d'exigences PDIS de l'ANSSI, pourquoi ça me concerne?

Qu'est que le référentiel d'exigences PDIS de ANSSI et pourquoi tous les SOC devraient s'en inspirer, au moins pour partie.

Qu'est que le référentiel d'exigences PDIS de l'ANSSI?

Le référentiel d'exigences pour les Prestataires de Détection des Incidents de Sécurité (PDIS) a été publié en première version en décembre 2015. Au moment où ce billet est écrit, le référentiel PDIS v2 est disponible au format PDF sur le site de l'ANSSI.

Ce référentiel permet notamment de qualifier les prestataires [internes ou externes] susceptibles d’intervenir, pour la détection des incidents de sécurité, au profit des secteurs d’importance vitale concernés par l'application des règles de sécurité prévues au titre de la loi de programmation militaire. Il peut également être utilisé, à titre de bonnes pratiques, en dehors de tout contexte réglementaire.

L'ANSSI souhaites donc que nos SOC se conforment à l'état de l’art afin de prévenir des incidents de sécurité graves ou lorsqu’ils surviennent d’en limiter les conséquences car les centres opérationnels de cybersécurité sont des cibles de choix pour les attaquants, a fortiori lorsqu'ils mutualisent plusieurs clients.

Bien que PDIS aborde les moyens humains, techniques et organisationnels pour la détection d’incidents de sécurité en 59 pages, ce modeste billet se concentrera sur la gestion des règles de détection.

Qui est concerné par le référentiel PDIS de l'ANSSI ?

Du point de vue réglementaire, pas grand monde, car seuls les Opérateurs d'Importance Vitale (OIV) sont contraints d'être en conformité avec PDIS car ceux-ci sont sujet à la Loi de Programmation Militaire (LPM).

On parle donc d'environ 300 organisations identifiées par l'État comme ayant des activités indispensables à la survie de la nation ou dangereuses pour la population. Ce chiffre est à mettre en perspective avec par example les quelques 5 500 entreprises de taille intermédiaire (ETI) que compte la France ; sociétés suceptibles d'avoir la masse critique pour nécessiter un SOC.

Une OIV à donc le choix entre monter un SOC interne, en conformité avec PDIS, ou, recourir à un prestataire externe, qui doit donc être certifié par l'ANSSI. La liste des prestataires certifiés PDIS est disponible en PDF ici. 8 prestataires sont qualifiés au moment où ce billet est écrit.

En résumé, la conformité PDIS est obligatoire pour les OIV, et souhaitable pour tous les autres SOC, qu'ils soient managés (externes) ou internes à l'organisation.

Comment améliorer son SOC avec PDIS ?

Si votre organisation dispose d'un SOC, alors PDIS peut s'avérer utile dans le cadre d'une démarche d'amélioration continue, même si votre organisation n'est pas une OIV.

Piocher ici et là des exigences dans le référentiel PDIS pour améliorer votre processus de réponse aux incidents, tant en termes de collecte de preuves, d'investigation et d’identification des menaces. Une fois ces exigences maîtrisées, il suffit de passer à d'autres exigences!

Cette démarche à le bénéfice d'être pragmatique, facile à adopter, quel que soit votre contexte, et permet d'obtenir des résultats concrets et rapides sans trop d'efforts. De plus, comme la finalité n'est pas la certification PDIS, au moins dans l'immédiat, pas de pression 😎

A titre d'exemple, l'exigence "IV.2.2.t" est une bonne pratique, parfois oubliée, et pourtant simple à mettre en oeuvre:

IV.2.2 t) Les horloges des collecteurs doivent être synchronisées avec une source de temps unique [...]

Le référentiel PDIS peut donc être utilisé comme un guide pour améliorer son SOC.

Gestion des règles de détection

Le chapitre "IV.2.1 Gestion des incidents" de PDIS v2 énumère un certain nombre d'exigences concernant la gestion des règles de corrélation:

h) Cette politique [de marquage] doit définir pour chaque règle de détection:

  • un identifiant unique de la règle de détection
  • un numéro de version de la règle de détection
  • le propriétaire de la règle de détection, c’est-à-dire celui qui dispose des droits sur la règle de détection ;
  • l’auteur de la règle de détection, c’est-à-dire celui qui a créé la règle de détection ;
  • la date de création de la règle de détection ;
  • la date de dernière modification de la règle de détection ;
  • le niveau de sensibilité ou de classification, [...], de la règle de détection ;
  • les modalités de diffusion de la règle de détection [...] sous la forme de TRAFFIC LIGHT PROTOCOL (TLP) ou autre, en accord avec les conventions définies avec les sources de la règle de détection ;
  • la possibilité ou non d’effectuer des recherches en source ouverte en fonction du niveau de sensibilité et des modalités de diffusion ;
  • ...

A la lecture de ces exigences, on se rend compte qu'être certifié PDIS n'est pas une mince affaire, et de surcroît il ne s'agit ici que d'un extrait du chapitre traitant la gestion des règles de corrélation.

Pour autant, en prenant un peu de distance avec PDIS, on s'aperçoit que ces exigences ne sont ni plus ni moins que des bonnes pratiques (best practices pour jean-claude) et que celles-ci sont essentielles pour tout Security Operations Center (SOC) mature.

Se pose alors la question de la mise place technique, car aucun SIEM du marché, à ma connaissance, ne permet de mettre un TLP sur une règle de détection, et encore moins de gérer du versioning.

En outre, pour répondre à ces exigences, des développements d'outillage interne sont nécessaires, avec la plupart du temps, l'utilisation de github ou gitlab, parfois couplée avec une grille Excel pour le suivi et le reporting des règles de détection. C'est donc long, fastidieux et réservé aux SOC de taille significative et correctement staffés.

TIP

LogCraft répond à l'ensemble des exigences PDIS en matière de gestion des règles de détection:

  1. Versioning automatique des règles de détection
  2. Code review & diff
  3. Permissions granulaires & TLP
  4. Déploiement unitaire ou par batch avec gestion des dépendances
  5. Reporting d'analyse MITRE ATT&CK pour identifier les axes d'amélioration des détections
  6. Et plus encore 😃

Bref, les exigences du référentiel PDIS sont une formalité avec LogCraft, de quoi faire progresser n'importe quel SOC, concerné ou non par PDIS.

Copyright © 2022-2024 LogCraft's Blog - All rights reserved.

hello@logcraft.io @LogCraftIO