Le département de veille technologique sécurité CSI (Cercle de la Sécurité Informatique) surveille au quotidien l'apparition des vulnérabilités et des programmes malveillants (Vers, Virus, Chevaux de Troie, etc.).

La veille technologique sécurité - CSI est entièrement personnalisable en fonction de votre environnement
et inclut :

• L'envoi en temps réel de bulletins de vulnérabilités personnalisés pour parer aux menaces imminentes
  (attaques informatiques d'envergure, menaces virales, intrusions, etc.),
• Une base de vulnérabilités couvrant plusieurs milliers de produits, mise à jour quotidiennement,
  
• Un outil de gestion de vulnérabilités facilitant le déploiement de la veille technologique sécurité dans l'entreprise : mise en oeuvre et suivi des tâches correctives, reporting, module statistique,
• Une base documentaire rédigée par le CERT-LEXSI faisant l'état de l'art de façon thématique en matière de SSI (technique, organisation, réglementation, malveillance, etc.),
• Une revue de presse électronique quotidienne et un agenda des évènements,
• Un accès illimité à l'assistance téléphonique du CERT-LEXSI en cas d'incident
  (attaque virale, intrusion, présomption de malveillance, etc.).

Nos points forts :

• Une équipe de dix personnes dédiées à l'activité,
• Une base de vulnérabilités intégrant les normes CVE et CVSS,
• Plus de 7.000 vulnérabilités déjà référencées,
• Une surveillance exhaustive et personnalisée de vos composants,
• Un accès illimité à notre assistance technique sécurité,
• Un service disponible en langue française et anglaise.

Accès à l'extranet de la Veille Technologique.

Personnalisation du contenu des bulletins d'alertes

Cette option consiste à définir un modèle de courriel, dans tout format souhaité (texte, HTML, XML, etc.), permettant de recevoir tout ou partie de l'intégralité des informations qualifiées au sein d'un bulletin de vulnérabilité, en langue française ou anglaise.

Pour rappel, une fiche de vulnérabilité contient potentiellement les informations suivantes lorsqu'elle est consultée sur le site Abonnés :

• Référence LEXSI ;
• Titre de la vulnérabilité ;
• Priorité (basse, moyenne ou haute) ;
• Score CVSSv1 (métrique international d'évaluation de criticité) ;
• Dates de découverte, de publication, et de mise à jour ;
• Description ;
• Cibles (liste des produits touchés) ;
• Solutions ;
• Liens de téléchargement des correctifs ;
• Références (sources ayant permis la qualification) ;
• Existence d'un code d'exploitation ;
• Identifiant CVE ;
• Nessus & Qualys ID (référence des plugins correspondants aux vulnérabilités) ;
• Impacts ;
• Type ;
• Catégorie.

L'option permet donc de recevoir, quotidiennement, un courriel contenant les fiches descriptives de l'ensemble des vulnérabilités relevées, selon la nature du profil de veille souhaité (défini selon la configuration des agents de veille).

Outre la personnalisation des informations techniques, l'option proposée permet également d'appliquer la charte graphique de l'entreprise au sein des courriels et, si souhaité, de supprimer toute référence liée au fournisseur.

Compte XML automatique

LEXSI fournit dans un format XML l'ensemble des informations liées aux vulnérabilités notifiées qui correspondent au périmètre défini par le système d'agents de veille. L'utilisation du compte automatique en XML permet donc :

• La récupération intégrale des données (fiches) liées aux vulnérabilités ;
• L'intégration de la Veille Technologique Sécurité à tout système interne au client (tableau de bord, « workflow » interne, base de données, messagerie, etc.).

De par la nature du format XML, les données sont transmises dans un format défini et rigoureux permettant :

• Une parfaite exploitation technique de récupération ;
• La possibilité d'évoluer sans perturber les systèmes existants (ajouts de balises) ;
• Une liberté totale quant à la présentation finale pour les destinataires (ordre des éléments, mixage de contenu, etc.)

Le format utilisé par le compte XML automatique est documenté et peut être communiqué sur simple demande. L'usage du compte XML automatique est réservé aux utilisateurs déclarés au sein d'un compte d'accès.

Surveillance des noms de domaines

Au cours des dernières années, le nom de domaine est devenu un vecteur principal de malveillance et le pivot d'actions d'usurpation d'identité, de détournement de clients, de dénigrement ou d'extorsion de fonds. La structure technique de gestion de noms de domaine, entièrement décentralisée, offre un espace de non-droit et d'anonymat idéal pour des actions nocives envers une organisation particulière.

L'objectif du service est de détecter tout dépôt de nom de domaine représentant un risque d'usurpation d'identité.

Dans la très grande majorité des cas, LEXSI détecte l'enregistrement d'un nom de domaine au niveau administratif (avant utilisation). Face à certaines restrictions techniques de tiers, LEXSI détecte le nom de domaine au moment de son utilisation initiale.

Le système de détection de noms de domaine développé par LEXSI est l'un des plus complets au niveau international, considérant le nombre d'extensions nationales et de sous-extensions couvertes (~630).

Surveillance des domaines gTLD

La cellule de veille LEXSI a conclu des accords avec les sociétés Verisign, NeuLevel, Public Internet Registry, Global Name Registry et Afilias afin de collecter quotidiennement l'intégralité (100% de couverture) des noms de domaines enregistrés par ces organismes. Couplés aux bases de données publiques de l'AFNIC et du WebSite Registry, nous pouvons ainsi analyser l'intégralité des domaines aux extensions COM, NET, ORG, INFO, BIZ, NAME, WS, FR, US. Ces extensions représentent environ 70% des noms de domaines existants.

Pour chaque marque placée sous surveillance sont définis trois mots-clefs permettant de détecter l'apparition d'un nom de domaine usurpant la marque considérée. Ainsi, tous les domaines pouvant être constitués sur la forme *marque* (où le caractère « * », autrement appelé joker, représente toute série possible de caractère) seront détectés et donneront lieu à une alerte.

Surveillance des domaines ccTLD

Dans la mesure où il n'existe sur la plus grande partie de ces extensions aucune base de données centralisée donnant accès à l'intégralité des noms de domaines enregistrés, la surveillance d'enregistrement de noms de domaines pour les ccTLDs ne couvre que la formalisation verbale de la marque. Ainsi, les recherches pourront être, pour la marque FRANCE :

france.cn, france.co.uk, france.se,france.de,Etc.

Interface Abonnés

Chaque détection donne lieu à une notification par courriel, et un tableau de bord dédié sur le site Abonnés permet d'effectuer le suivi des alertes ainsi que de configurer les mots-clefs.

Surveillance des DNS Black Lists

Relais de spam, de dénis de services ou d'autres actions frauduleuses. le système d'information des entreprises est régulièrement détourné à des fins illicites.

Qu'il s'agisse de serveurs ou de stations corrompues par des chevaux de Troie, des virus ou des intrus, cette situation peut porter de lourds préjudices à l'entreprise, tant en terme d'image que de production.

Aucune organisation n'est aujourd'hui à l'abri de ce type d'incident, et la majorité des grandes entreprises sont régulièrement victimes d'une compromission de ce type.

L'impact de ce type de malveillance est réel pour l'entreprise :

• Mise sur liste noire de l'entreprise, soit au niveau de clients (blocage d'accès complet), soit au niveau des opérateurs télécoms (blocage de tous messages électroniques émis par l'entreprise);
• Responsabilité de l'entreprise vis-à-vis des victimes ;
• Important coût d'assistance dans le cadre d'enquêtes électroniques ;
• Dégradation de l'image du département informatique de l'entreprise sur le marché.

L'unité de recherche du CERT-LEXSI a mis en place un service de détection indirecte de compromission du système d'information de ses clients. Ce service interroge près d'une cinquantaine de bases de données mondiales de listes noires afin de détecter l'apparition de l'une des adresses IP de l'entreprise.

Cette démarche permet de détecter :

• L'infection du système d'information par un vers de réseau public
• compromission d'un serveur en relais smtp, http ou ftp ;
• Le détournement d'un serveur ou d'un poste de l'entreprise pour conduire des dénis de service ou des attaques vers l'extérieur.

Ainsi, dès lors que l'une des adresses IP d'un client est détectée ou est entrée (par délation ou automatisme) dans une base de données DNSBLs, les clients reçoivent une alerte par email (jusqu'à cinq destinataires) spécifiant :

• L'heure de la detection ;
• L'adresse IP impactée ;
• La description de la source et du type d'incident à l'origine de l'alerte : spam, système zombie, déni de service distribué, relais ouverts testés ; etc.
• La méthode de dé-référencement de la base de données (lorsque l'incident est clos).

Interface Abonnés

Chaque détection donne lieu à une notification par courriel, et un tableau de bord dédié sur le site Abonnés permet d'effectuer le suivi des alertes ainsi que de configurer les classes d'adresses IP à surveiller.