Les compétences à attendre d'un prestataire cyber
Que peut-on attendre d'un prestataire cyber « de premier niveau » ? Pour se donner une idée, il y a désormais un référentiel : le RCCP.
Censé guider vers l'obtention du label ExpertCyber, le document se structure autour de cinq activités : identifier, protéger, détecter, répondre, rétablir. Elles-mêmes divisées en domaines de compétences.
Certaines de ces compétences doivent être maîtrisées à un niveau « intermédiaire ». D'autres doivent l'être à un niveau plus avancé (« expérimenté »). En voici la liste.
I - Identifier
Gestion des actifs
Boîte mail
> Maîtriser les messageries et la sécurisation des protocoles associés
Gestion des identités et des accès
> Mettre en place une gestion des comptes, des utilisateurs et des privilèges selon le besoin
> Connaître les recommandations relatives à l'administration sécurisée des SI
> Maîtriser les bonnes pratiques de gestion des mots de passe et savoir appliquer des stratégie de gestion conformes aux types d'identités utilisés
Mots de passe
> Connaître les systèmes de coffres-forts numériques et les formes de MFA
> Connaître l'état de l'art sur la gestion et la complexité des mots de passe en fonction du type de compte
Sauvegarde
> Savoir définir un plan en fonction de la criticité des données
Gouvernance
Connaissance des normes et des standards
Connaître les principes généraux des normes ISO 27K et NIST
Lire aussi : Benoit Fuzeau, président du Clusif - « Notre responsabilité de RSSI est d'expliquer clairement les enjeux de NIS 2 »
Obligations du prestataire et risques client
> Maîtriser les éléments d'un contrat de prestation incluant les niveaux de service et les champs de responsabilité
> Connaître les bases juridiques liées à l'externalisation d'un SI et les obligations en matière d'utilisation, de localisation et de transfert de données
Recommandations de base
> Maîtriser et appliquer les guides de bonnes pratiques de l'ANSSI
> Savoir adapter le niveau d'exigence en fonction de la nature de l'entité, de son exposition et de sa tolérance au risque numérique
Appréciation des risques
Identification
> Définir les vulnérabilités et les menaces par rapport aux actifs de la structure
> Connaître les bases d'une analyse de risques
> Concevoir un tableau des risques appliqués aux actifs et aux données
Gestion des vulnérabilités
> Maîtriser les outils de contrôle de la conformité, de configuration et de mise à jour
Stratégie de gestion des risques
Gestion de crise
> Connaître les acteurs, le principe d'activation et le mode de fonctionnement d'une cellule de crise
> Connaître l'environnement et les métiers de la structure en crise
II - Protéger
Sensibilisation et formation
Recommandations de base
> Mettre à disposition des clients des supports d'information sur l'hygiène informatique
Relation client
> Élaborer des formations sur ce sujet d'hygiène informatique et évaluer le niveau de sécurité des utilisateurs
Sécurité des données
Architecture
> Maîtriser les protocoles de sécurité des réseaux (physiques et sans fil)
> Maîtriser les VLAN et les listes de contrôles d'accès réseau
> Déployer et cloisonner des infrastructures de réseaux en conformité avec leurs rôles et objectifs respectifs
Sécurisation
> Maîtriser les outils de protection des applicatifs en ligne, les outils de contre-mesures et les outils de chiffrement de disques
Antivirus
> Maîtriser déploiement, gestion centralisée et mise à jour des bases
> Définir une politique et des procédures de gestion des alertes
Administration systèmes
> Savoir durcir un OS, limiter la surface d'attaque systèmes et services réseau
> Maîtriser l'analyse des logs et l'administration courante des systèmes
Disponibilité
> Maîtriser les principes d'architecture redondante par grappe, les équilibreurs de charge et les services anti-DDoS
> Pouvoir répondre à des problèmes de redirection de flux via des liens tiers
Maintenance
MCO/MCS
> Maîtriser des outils de gestion de parc et de déploiement automatique de logiciels
> Savoir appliquer un plan de continuité opérationnel
> Savoir maintenir des OS et des infrastructures en conservant un niveau de sécurité adéquat
Technologie de protection
Connaissance des solutions et technologies existantes
> Maîtriser la gestion d'un équipement de sécurité et savoir documenter les règles appliquées à la gestion des mises à jour et des accès
> Savoir filtrer les principaux flux associés à un SI pour respecter le principe du moindre privilège
> Savoir identifier le niveau de maturité de l'organisation pour lui conseiller une solution adaptée
III - Détecter
Anomalies et événements
Identification
> Avoir la connaissance des phases d'attaque
> Connaître les vecteurs possibles de compromission et leurs capacités/conséquences
> Savoir définir un comportement jugé non conforme en fonction du vecteur de compromission
> Maîtriser les outils et les méthodes de détection des vulnérabilités
> Pouvoir associer des solutions de remédiation ou des mesures palliatives
Surveillance continue de la sécurité
Supervision SSI
> Maîtriser les SIEM
> Connaître les principaux outils de supervision et savoir les mettre en prod
Processus de détection
Détection
> Pouvoir déployer et maintenir des outils de détection
> Connaître et savoir interpréter les relations entre un événement détecté et les menaces possibles associées
IV - Répondre
Plan d'intervention
Gestion de crise
> Identifier les rôles et missions des acteurs étatiques chargés du traitement technique et judiciaire
Réponse à incidents
> Identifier les vecteurs des compromissions et mesurer l'étendue de ces dernières
> Savoir effectuer des relevés techniques sans modifier le SI
> Savoir recherche des traces de compromission
> Effectuer des opérations de réponse sans détruire de données ou de traces
> Maîtriser le processus de remontée d'information
Analyse
Identification
> Savoir analyser et lier les événements trouvés, puis orienter les recherches en fonction
Conservation de la preuve
> Maîtriser la collecte des preuves
> Pouvoir mettre en oeuvre un système de blocage en écriture physique ou logique
Analyse
> Maîtriser l'analyse des logs pour rechercher des compromissions
Analyse matérielle
> Maîtrise la collecte de la mémoire et des systèmes de stockage des serveurs et des clients
Atténuation
Accompagnement
> Savoir interagir avec les responsables pour respecter leurs contraintes opérationnelles
> Prendre en compte la dimension psychologique d'une crise
Remédiation
> Savoir appliquer les mesures adéquates
> Maîtriser les procédures pour contenir les effets de l'attaque et connaître leurs conséquences opérationnelles
> Maîtriser la mise en place d'un système de contrôle renforcé des flux ou l'isolation des SI
Amélioration
Procédure interne
> Consolider ses connaissances pour améliorer les processus de réponse aux incidents
V - Rétablir
Planification de la récupération
Gestion de crise
> Participer à la mise en place de la cellule de crise
> Accompagner le client jusqu'à la sortie de crise en s'assurant du bon fonctionnement des outils pendant la crise
Sauvegarde
> Maîtriser le plan de restauration des sauvegardes
> Savoir définir si elles peuvent être considérées comme de confiance
À consulter pour davantage de contexte sur certaines de ces compétences :
Gestion de crise cyber : l'approche du Cigref en 7 chiffres
Sécurité informatique : quelques mesures d'hygiène personnelle
Pas de gestion d'accès sans IAM ?
Derrière l'essor du couple EDR-MFA, ce que perçoit le CESIN
Cybersécurité : pourquoi l'externalisation va s'imposer
SIEM ou XDR ? De la concurrence à la « confusion »
D'ATT@CK à D3FEND : un framework de cybersécurité en appelle un autre
Les « clés de passe », remède universel aux mots de passe ?
Photo d'illustration © blackboard - Adobe Stock
Sur le même thème
Voir tous les articles Cybersécurité