Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

Choisir son adresse email pour les incidents de sécurité

Choisir son adresse email pour les incidents de sécurité
2011-08-312013-02-11sécurité organisationnelle et humainefr
Toute organisation est susceptible d'être concernée par des attaques informatiques ; le mail étant le moyen le plus utilisé pour rentrer en contact avec la cellule en charge de la prise en compte des incidents de sécurité, comment sélectionner cette adresse email...
Publié le 31 Août 2011 par Jean-François Audenard dans sécurité organisationnelle et humaine

 

Toute organisation est susceptible d'être concernée par des attaques informatiques ; le mail étant le moyen le plus utilisé pour rentrer en contact avec la cellule en charge de la prise en compte des incidents de sécurité.

Comment sélectionner cette adresse email afin qu'elle soit facile à retenir et devienne un moyen de communication efficace par quiconque et surtout des personnes étrangères à l'organisation ? Avec une tel adresse mail toute personne (utilisateur, client, partenaire, société, hacker, journaliste, institution gouvernementale, ...) pourra facilement envoyer des informations concernant la sécurité de l'organisation concernée.

une adresse unique

Tout d'abord, faire simple : Ne pas multiplier les adresses emails. N'en choisir qu'une et en faire le moyen privilégié : Cela évitera les erreurs d'aiguillage et de s'assurer que toutes les notifications sont effectivement prises en compte et traitées sur un pied d'égalité.

choisir son adresse

J'irai droit au but : pour le plus grand nombre d'organisation le choix de d'une adresse du type "security@votre-nom-de-domaine.net" est un très bon choix. Les sociétés spécialisées dans la sécurité, celles ayant des moyens de monter un CERT ou les organisations gouvernementales pourront choisir ; en pleine connaissance de cause ; une autre adresse email.

les RFC comme source de référence

Si je vous recommande une adresse du genre "security@votre-nom-de-domaine.net" c'est que cela me semble être un bon choix car les RFC (Request For Comments - une sorte de référence dans le domaine de l'Internet) disent que c'est ainsi qu'il faut faire :

1) La RFC 3013 (RFC 3013 - Recommended Internet Service Provider Security Services and Procedures) recommande (cf §2.1) une adresse du genre "security@nom-de-domaine.net", et renvoie à la RFC 2142.

2) La RFC 2142 (RFC 2142 - Mailbox Names for Common Services, Roles and Functions) recommande aussi (cf §4) une adresse du format "security@nom-de-domaine.net"

autre son de cloche dans le CSIRT handbook

Le CSIRT Handbook (Computer Security Incident Response Team) - (PDF ici) - fait quant à lui d'autres recommandations (cf §3.7.1.4 , page 105) : scc@nom-de-domaine.net (SCC : Site Security Contact) et sep@nom-de-domaine.net (SEP : Security Entry Point).... Mais fait une référence indirecte à la RFC 2142... :-)

Pesé, vendu et emballé, vous pouvez emporter : Let's go pour security@nom-de-domaine.net !

réseaux sociaux

Les réseaux sociaux sont aussi utilisés pour contacter rapidement une société : Les messages directs (DM - Direct Messages) de Twitter sont aussi utilisés. Il est donc important de passer le message aux personnes de la communication (dans le cas d'un compte "classique") de faire suivre ces messages pour qu'ils puissent être traités.

Il est aussi possible de créer un compte Twitter dédié pour collecter les notifications sécurité (bien que cela soit à éviter pour des raisons de confidentialité).

une page web dédiée

Mais comment communiquer cette adresse email demanderez-vous.... la RFC 3013 (toujours en §2.1) nous donne un indice : http://www.nom-de-domaine.net/security/ - La boucle est bouclée.

Il reste aussi possible d'ajouter une section dans la page "contact" accessible très souvent via une URL du genre "http://www.nom-de-domaine.net/contact".

Sur cette page, on retrouve notamment d'autrss infos utiles sur les numéros de téléphone, les clefs PGP à utiliser pour chiffrer ses messages, etc... cf la page contact US-CERT ou encore celle du CERT-SG pour quelques exemples.

traitement des notifications

Tous les mails envoyés à cette adresse devront être traités 24h/24 et 7j/7. C'est typiquement le job d'un CERT (Computer Emergency Response Team) ou plus génériquement d'un CSIRT ou encore d'un SOC (Security Operations Center). C'est un choix à faire : Je vous renvoie l'article de SecurityVibes intitulé "Créez un CERT privé pour votre entreprise".

La vidéo de Stéphane SCIACCO intitulée "Security Operating Center: à quoi ça sert?" fournit quelques détails sur ce qu'est un SOC tel qu'il existe au sein d'Orange Business Services.

Jean-François Audenard

3 Commentaires

  • 26 Février 2016
    2016-02-26
    par
    Nicolas norris
    Je le veux
  • 29 Septembre 2011
    2016-02-26
    par
    Mathieu
    Bonjour Jeff,
    Qu'en est il de l'adresse abuse@mondomain.com?
    Il me semblait qu'elle était justement faite pour ce type de communication.
  • 1 Septembre 2011
    2016-02-26
    par
    Il convient de rappeler que les normes sont fait pour être respectées, c'est l'un des principes fondateurs qui ont permis à l'Internet d'être ce qu'il est...

    Avec cela en tête, il vous arrivera peut-être d'être confronté à des opinions divergentes (oui oui, c'est vrai, ça existe) qui préféreront faire dans l'exotique et pousseront des approches contraires aux RFC : notificationsecurite@xxx, securityinfo@xxx, informationsecurite@xxx, etc...


    Après, dans le cas présent il ne s'agit que d'une simple adresse email... Si l'information ne circule pas correctement (et que donc un incident sécurité n'est pas géré ou ne l'est que de façon sous-optimale) seule l'organisation ayant fait ce "non choix" sera impactée : l'Internet restera là car (fort heureusement) car la très grande majorité des organisations respectent les RFC !


    Bonne journée à toutes et à tous ! JF.

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage