Choisir son adresse email pour les incidents de sécurité

Publié le 31 août 2011 par Orangebusinessservices

Toute organisation est susceptible d'être concernée par des attaques informatiques ; le mail étant le moyen le plus utilisé pour rentrer en contact avec la cellule en charge de la prise en compte des incidents de sécurité.

Comment sélectionner cette adresse email afin qu'elle soit facile à retenir et devienne un moyen de communication efficace par quiconque et surtout des personnes étrangères à l'organisation ? Avec une tel adresse mail toute personne (utilisateur, client, partenaire, société, hacker, journaliste, institution gouvernementale, ...) pourra facilement envoyer des informations concernant la sécurité de l'organisation concernée.

Une adresse unique

Tout d'abord, faire simple : Ne pas multiplier les adresses emails. N'en choisir qu'une et en faire le moyen privilégié : Cela évitera les erreurs d'aiguillage et de s'assurer que toutes les notifications sont effectivement prises en compte et traitées sur un pied d'égalité.

Choisir son adresse

J'irai droit au but : pour le plus grand nombre d'organisation le choix de d'une adresse du type "security@votre-nom-de-domaine.net" est un très bon choix. Les sociétés spécialisées dans la sécurité, celles ayant des moyens de monter un CERT ou les organisations gouvernementales pourront choisir ; en pleine connaissance de cause ; une autre adresse email.

Les RFC comme source de référence

Si je vous recommande une adresse du genre "security@votre-nom-de-domaine.net" c'est que cela me semble être un bon choix car les RFC (Request For Comments - une sorte de référence dans le domaine de l'Internet) disent que c'est ainsi qu'il faut faire :

1) La RFC 3013 (RFC 3013 - Recommended Internet Service Provider Security Services and Procedures) recommande (cf §2.1) une adresse du genre "security@nom-de-domaine.net", et renvoie à la RFC 2142.

2) La RFC 2142 (RFC 2142 - Mailbox Names for Common Services, Roles and Functions) recommande aussi (cf §4) une adresse du format "security@nom-de-domaine.net"

Autre son de cloche dans le CSIRT handbook

Le CSIRT Handbook (Computer Security Incident Response Team) - (PDF ici) - fait quant à lui d'autres recommandations (cf §3.7.1.4 , page 105) : scc@nom-de-domaine.net (SCC : Site Security Contact) et sep@nom-de-domaine.net (SEP : Security Entry Point).... Mais fait une référence indirecte à la RFC 2142... :-)

Pesé, vendu et emballé, vous pouvez emporter : Let's go pour security@nom-de-domaine.net !

Réseaux sociaux

Les réseaux sociaux sont aussi utilisés pour contacter rapidement une société : Les messages directs (DM - Direct Messages) de Twitter sont aussi utilisés. Il est donc important de passer le message aux personnes de la communication (dans le cas d'un compte "classique") de faire suivre ces messages pour qu'ils puissent être traités.

Il est aussi possible de créer un compte Twitter dédié pour collecter les notifications sécurité (bien que cela soit à éviter pour des raisons de confidentialité).

Une page web dédiée

Mais comment communiquer cette adresse email demanderez-vous.... la RFC 3013 (toujours en §2.1) nous donne un indice : http://www.nom-de-domaine.net/security/ - La boucle est bouclée.

Il reste aussi possible d'ajouter une section dans la page "contact" accessible très souvent via une URL du genre "http://www.nom-de-domaine.net/contact".

Sur cette page, on retrouve notamment d'autrss infos utiles sur les numéros de téléphone, les clefs PGP à utiliser pour chiffrer ses messages, etc... cf le la page contact US-CERT ou encore celle du CERT-SG pour quelques exemples.

Traitement des notifications

Tous les mails envoyés à cette adresse devront être traités 24h/24 et 7j/7. C'est typiquement le job d'un CERT (Computer Emergency Response Team) ou plus génériquement d'un CSIRT ou encore d'un SOC (Security Operations Center). C'est un choix à faire : Je vous renvoie l'article de SecurityVibes intitulé "Créez un CERT privé pour votre entreprise".

La vidéo de Stéphane SCIACCO intitulée "Security Operating Center: à quoi ça sert?" fournit quelques détails sur ce qu'est un SOC tel qu'il existe au sein d'Orange Business Services.

Jean-François Audenard