Service Definition Document

Vous trouverez ci-dessous le document en anglais reprenant la description officielle de nos services CERT selon les recommandations de The Internet Engineering Task Force (link naar http://www.ietf.org/rfc/rfc2350.txt ) et Trusted Introducer (link naar http://www.trusted-introducer.org ), qui sont soutenus par la communauté CERT européenne.

Information concernant ce document

Dernière mise à jour

Version 2.00: Juin 2017

Liste de distribution de notifications

Les notifications de mise à jour sont publiées sur le site officiel de CERT.be, https://www.cert.be/.

Où trouver ce document?

La dernière version de ce document est disponible sur le site de CERT.be, https://www.cert.be/.

Information de contact

Nom de l’équipe

CERT.be: Belgian National Computer Emergency Response Team

Addresse

CERT.be
Rue Ducale, 4
1000 Bruxelles
Belgique

Fuseau horaire

Central European Time (GMT+0100 en hiver, GMT+0200 en été).

Numéro de téléphone

+32 2 501 05 60

Email

cert [at] cert [dot] be

Clefs PGP

cert [at] cert [dot] be
Utilisation : cette clef signe toute communication en provenance de CERT.be. Son utilisation est également encouragée pour toute communication confidentielle avec CERT.be: vulnérabilités, incidents…
Name: CERT.be 2018 <cert [at] cert [dot] be>
Key ID: B902685A
Fingerprint: 74BC 4E13 C282 C5A3 20F4 6C6A 852E 6171 B902 685A
Length:4.096
Expires: 31 January 2019

Méthodes de contact

La méthode préférée est le mail. En cas d’indisponibilité du mail, CERT.be peut être contacté par téléphone pendant les heures de bureau (08:00 à 18:00), du lundi au vendredi, sauf pendant les jours fériés belges.

Charte

Mission

La mission de CERT.be est d’aider les fournisseurs d’infrastructures critiques ou importantes à protéger leurs infrastructures IT en:

  • fournissant de l’information concernant des incidents de sécurité ;
  • offrant du support à la résolution d’incidents de sécurité ;
  • coordonnant la réponse à des incidents de grande échelle, et en
  • les aidant à développer leurs propres activités CSIRT.

Public-cible

Le public cible de CERT.be sont les fournisseurs de ressources importantes et d’infrastructures critiques :

  • Banques
  • Fournisseurs Internet
  • Fournisseurs d’énergie
  • Fournisseurs de transport
  • Toute société ou institution identifiée comme Infrastructure Critique
  • Administrations Fédérales, Régionales et Communautaires

Sponsoring de tutelles

CERT.be est exploité par le Centre pour la Cybersécurité Belgique (CCB).

Autorité

Le public cible doit prendre en compte les avis de CERT.be, bien que la décision d’implémenter ou non certaines mesures reste de leur ressort. Ils doivent rapporter les incidents d’une certaine amplitude à CERT.be (propagation de virus au sein de leur infrastructure, par exemple), et doivent fournir des informations de contact pour le traitement d’incidents de sécurité.

Politiques

Types d’incidents et niveau de support

CERT.be a la possibilité d’enquêter sur tout type d’incidents de sécurité informatique qui se produirait parmi son public cible. CERT.be peut agir à la demande d’une partie de son public cible, ou agir si un de ceux-ci est impliqué dans un incident de sécurité informatique.

La priorité la plus élevée sera donnée aux incidents qui peuvent menacer les fournisseurs d’infrastructure critique belges ou l’accès à internet de la Belgique, ou qui relèvent de la fraude financière.

Coopération, interaction et divulgation d’information

Bien qu’il y ait des restrictions éthiques et légales à la transmission d’informations par CERT.be, celui-ci reconnaît être redevable de l’esprit de coopération qui a fondé l’internet, et déclare son intention d’y contribuer. En conséquence, bien que les mesures appropriées seront prises afin de préserver l’identité des membres de notre public cible et de sites voisins, CERT.be partagera librement l’information nécessaire à la résolution ou la prévention d’incidents de sécurité.

Dans les paragraphes ci-dessous, « parties impliquées » fait référence aux propriétaires légitimes, opérateurs et utilisateurs des ressources informatiques concernées. Cette mention ne réfère pas aux utilisateurs non autorisés, ci-inclus des utilisateurs généralement autorisés qui utiliseraient ces ressources de manière inappropriée ; ces intrus ne doivent pas attendre de la confidentialité de la part de CERT.be à leur égart. Dans le cas où ils ont des droits légaux en matière de vie privée, ces droits seront respectés par CERT.be. CERT.be peut fournir de l’information à des tiers ou aux autorités compétentes lorsqu’il y a une obligation légale en ce sens. Cependant, CERT.be peut dans certains cas postposer cette action jusqu’à ce que l’obligation soit établie de manière irrévocable, comme par exemple par une décision de justice. Dans ce cas, CERT.be notifiera les personnes et organisations impliquées.

L’information classifiée, comme définie par la Loi du 11 décembre 1998 sur la Classification d’information et les habilitations de sécurité, sera traitée comme demandé par la loi. De même pour les informations à caractère personnel, telles que définies par la Loi du 8 décembre 1992 sur la protection de la vie privée à l’égard des traitements de données à caractère personnel.

De manière générale, des informations spécifiques concernant des incidents particuliers ne seront partagées qu’avec ceux qui on un besoin de les connaître afin de traiter l’incident. CERT.be peut partager de telles informations spécifiques avec des groupes fermés qui se spécialisent dans le traitement d’incidents à grande échelle, lorsque rendre l’information anonyme ne serait pas praticable ou contre productif. D’autres sites et CSIRTs, lorsqu’ils sont partenaires dans l’investigation d’un incident de sécurité informatique, recevront ces informations restreintes. Ceci ne se produira que lorsque la bonne foi de ces sites ou CSIRTs pourra être vérifiée. Dans ses contacts avec d’autres CSIRTs, CERT.be vérifiera que l’information qui est mise à disposition de tiers soit signée (a fin de non répudiation) et, lorsque estimé nécessaire, cryptée. Voir également 1.18 pour plus de détails.

CERT.be partagera des informations au sujet de vulnérabilités connues dans des programmes avec le grand public (y compris la presse) sous forme d’avis lorsqu’un correctif ou des contre-mesures sont disponibles. Les informations au sujet de vulnérabilités non encore connues publiquement ne seront partagées qu’avec ceux qui on un besoin de les connaître de manière à corriger la vulnérabilité ou protéger leurs utilisateurs.

Les membres des forces de l’ordre recevront une coopération totale, dans la mesure autorisée par la loi, y compris toute information nécessaire à la poursuite d’une enquête, malgré les précédentes déclarations concernant la confidentialité.

Communication et authentification

Au vu du type d’information que CERT.be traitera, on considérera que le téléphone est suffisamment sûr, même sans encryptage. Des courriers électroniques non cryptés ne seront pas considérés particulièrement sûrs, mais seront suffisants pour la transmission de données peu sensibles. S’il est nécessaire de transmettre des données sensibles par courrier électronique, on utilisera PGP. Les transferts de fichiers au dessus du réseau seront considérés comme semblable au courrier électronique pour ces cas : les données sensibles doivent être cryptées avant transmission.

Lorsqu’il est nécessaire d’établir une relation de confiance, par exemple vis à vis de sources d’information fournies à CERT.be, ou avant de divulguer des informations confidentielles, CERT.be vérifiera l’identité et la bonne foi de l’autre partie jusqu’à un niveau raisonnable de confiance. Au sein du public cible, et pour des sites voisins connus, la référence de personnes connues et de confiance suffira à l’identification. Dans les autres cas, CERT.be vérifiera que l’autre partie n’est pas un imposteur par des mesures appropriées, comme une recherche de membres FIRST, l’utilisation de WHOIS, etc, accompagnées d’appels téléphoniques ou mail. Des mails envoyés à CERT.be dont le contenu doit être de confiance seront vérifiés avec l’expéditeur personnellement, ou au moyen de signature électronique (PGP en particulier est supporté).

CERT.be ajoutera de l’information Traffic Light Protocol lors du partage d’information avec des équipes qui le supporte et honorera ces informations si elles sont présentes.

Services

Services réactifs

Ces services sont offerts en réaction à un incident en cours, qu’ils soit détecté par le staff de CERT.be, un autre CSIRT, ou un membre du public cible. Ils se focalisent sur des problèmes à court terme.

Alertes et avertissements

CERT.be collecte des informations au sujet d’incidents de sécurité en cours (attaques en cours, nouvelles vulnérabilités, …), soit automatiquement (récoltées sur les senseurs de CERT.be, pots de miel, darknet et autres systèmes similaires) ou grâce à des informations transmises par des tiers comme d’autres CSIRTs. CERT.be publie des alertes au sujet de ces incidents en cours sur le site sécurisé www.cert.be, et envoie des messages signés électroniquement à une liste de diffusion et flux RSS. Les alertes comprennent l’interprétation de la menace par CERT.be, ainsi que des conseils d’action (correctifs à appliquer, programmes à éviter, ports à bloquer au niveau du firewall, …). Des attaques en cours peuvent comprendre la diffusion de virus, des attaques par déni de service sur l’infrastructure belge, … En ce qui concerne les virus, il n’entre pas dans les tâches de CERT.be d’analyser tout nouveau virus.

Les alertes et avertissements sont résumés en Français et Néerlandais, et contiennent l’avis original (s’il existe) pour référence.

Traitement d’incidents

Analyse d’incidents

Après un incident à grande échelle, impliquant plusieurs acteurs, CERT.be analyse les causes systémiques de l’incident (manque de processus, systèmes vulnérables, manque de résilience, …). Cette analyse est basée sur l’information collectée pendant l’incident et si nécessaire sur des interviews avec les acteurs. Le résultat de cette analyse est un rapport indépendant, avec des directives et de possibles améliorations pour le futur. Le rapport est transmis aux parties concernées.

Incident Response Coordination

CERT.be sert de centre de gestion de crise pour les incidents à grande échelle impliquant un ou plusieurs membres de son public cible. CERT.be s’enregistrera en tant que CSIRT national auprès de CERT/CC, TF-CSIRT, FIRST et si possible avec EGC (le groupe européen de CSIRTs gouvernementaux), car ces groupes sont les sources les plus vraisemblables en matière d’information.

CERT.be traite les rapports d’incidents qui proviennent de son public cible ou de tiers, et trouve les correspondants les plus appropriés pour coordonner les efforts de résolution de l’incident.

Incident Response Support

CERT.be propose du support téléphonique ou par courrier électronique à son public cible. Ce support peut prendre la forme d’avis, de pointeurs vers des sites web ou des correctifs, … Le site sécurisé www.cert.be fourni également des bonnes pratiques concernant certains incidents classiques.

Services proactifs

Ces services visent à prévenir les incidents et réduire leur impact lorsqu’ils se produisent. Ils se focalisent sur des problèmes à moyen et long terme.

Annonces

Au moyen du site sécurisé www.cert.be, de liste de diffusion et de flux RSS, CERT.be publie des avis concernant des vulnérabilités existantes, ainsi que les moyens de les résoudre. Le site contient tous les avis, et les divers flux RSS permettent à ceux qui sont uniquement intéressés par certaines technologies, programmes ou systèmes d’exploitation de filtrer les autres avis. La page de garde de www.cert.be montre les avis en cours, et donne accès à une page d’archives.

Veille technologique

Ce service est absolument nécessaire pour permettre à l’équipe de CERT.be de rester à jour dans leur domaine. La veille technologique est d’une certaine manière la tâche par défaut de tout membre de CSIRT lorsqu’ils ne sont pas en train de traiter des incidents. La veille technologique est l’activité qui permet à CERT.be de fournir des alertes et avertissements ainsi que des annonces de manière pertinente. La veille technologique inclus le suivi de site spécialisés, de magazines, ou comptes-rendus de conférences.

Dissémination d’information liée à la sécurité

CERT.be produit des documents tells que des bonnes pratiques, des directives pour mettre en place un CSIRT, des rapports techniques, … De nouveaux rapports et bonnes pratiques sont publiés aussi fréquemment que nécessaire, mais une moyenne d’un document tous les deux mois semble raisonnable (rapport sur un sujet précis, ou nouveau document de bonnes pratiques). Les documents sont accessibles à partir du site sécurisé www.cert.be.

Services de gestion de la qualité de la sécurité

Ces services s’appuient sur l’expertise de CERT.be et se focalisent sur des problèmes à long terme.

Éducation / Formation

CERT.be organise des formations pour son public cible, dont le but est de fournir de l’information sur le développement d’activités CSIRT. Ces formations sont basées sur les formations TRANSITS, développées par des membres de TF-CSIRT.

Conscientisation

CERT.be identifie de quelle information son public cible a le plus besoin pour se conformer au mieux aux bonnes pratiques de sécurité et aux politiques de sécurité. Des politiques standard sont disponibles sur le site sécurisé www.cert.be.

Formulaire de rapport d’incidents

Autant que possible, veuillez utiliser le formulaire de rapport d’incidents qui suit.

Formulaire de rapport d’incident CERT.be

The following form has been developed to easLe formulaire qui suit a été développé afin de faciliter la récolte d’information concernant des incidents. Si vous pensez être impliqué dans un incident, veillez compléter – autant que possible – le formulaire suivant, et envoyez-le à cert [at] cert [dot] be.

Cette information sera traitée confidentiellement, comme indique dans notre Politique de partage d’informations.

Ce formulaire est une adaptation du formulaire de rapport d’incidents du CERT/CC, version 5.2

Vos informations de contact et organisationnels
1. nom.......................:
2. nom d’organisation........:
3. type de secteur (comme banque, éducation, énergie ou
    sécurité publique).......:
4. adresse email.............:
5. numéro de téléphone.......:
6. autre (fax, ...)..........:

Système(s) affectés
(reproduire pour chaque machine)
7. hostname et IP...........:
8. fuseau horaire...........:
9. raison d’être du système (veuillez être aussi précis
    que possible).............:

Source(s) de l’attaque
(reproduire pour chaque machine)
10. hostname ou IP...........:
11. fuseau horaire...........:
12. contact pris?............:

Description de l’incident (reproduire si plusieurs incidents)
13. dates....................:
14. méthodes d’intrusion.....:
...............................................................
...............................................................
...............................................................
15. outils impliqués.........:
...............................................................
...............................................................
...............................................................
16. versions des programmes..:
...............................................................
17. produit d’un outil d’intrusion :
...............................................................
...............................................................
...............................................................
...............................................................
...............................................................
...............................................................
18. Vulnérabilités exploitées
...............................................................
...............................................................
...............................................................
19. autre information pertinente
...............................................................
...............................................................
...............................................................
...............................................................
...............................................................
...............................................................
...............................................................

Exonération de responsabilité

Bien que toutes les précautions soient prises lors de la préparation d’informations, notifications et alertes, CERT.be n’assume aucune responsabilité pour des erreurs, omissions ou pour des dommages résultant de l’utilisation de toute information transmise ou publiée.