Microsoft

Comment Microsoft répond aux incidents dans Azure

L’éditeur vient de présenter la manière dont il gère les accès non autorisés à ses services en ligne conduisant à des fuites ou modifications de données de ses clients. A la clé, de nombreux enseignements.

Il ne s’agit pas de détailler en profondeur les procédures que Microsoft applique à la gestion des incidents de sécurité affectant son infrastructure en mode services (IaaS), mais d’une présentation dans les grandes lignes de la manière dont les équipes d’Azure réagissent en cas d’accès non autorisé et d’exfiltration de données de clients, de divulgation de données de contrôle sensibles – « comme les identifiants, les clés de chiffrement ou les clés d’API, qui peuvent être utilisés pour modifier ou accéder à des données de clients » –, ou encore de vulnérabilités dans la plateforme.

Microsoft a récemment explicité la manière dont il appréhende le partage des responsabilités autour de la sécurité d’Azure. Là, il s’agit donc pour lui de présenter la manière dont il gère les incidents sur le périmètre dont il est responsable. Et s’il y avoir, derrière l’exercice, un effort visant à rassurer les clients, il y a aussi matière à enseignements pour les entreprises, même celles qui n’ont pas recours aux services du groupe.

Des rôles précisément identifiés

Et la première chose qui saute aux yeux, c’est un effort de structuration poussé qui se traduit notamment par une identification claire et précise des rôles et des responsabilités. Une équipe active 24h/24 et 7j/7 assure la réponse initiale aux incidents suspectés. Celle-ci consiste à vérifier que l’alerte relève bien du domaine de la sécurité informatique avant de la transmettre au gestionnaire des événements de sécurité suspectés. Lui se charge de l’évaluation de l’incident et la détermination des actions à engager. Le cas échéant, il peut déterminer quand et qui solliciter, si nécessaire, pour une analyse et une expertise complémentaire. Le gestionnaire des événements de sécurité assure aussi un tri, entre événements de sécurité et événements de confidentialité. Il oriente l’équipe jusqu’à la résolution.

Parmi les équipes auxquelles ce gestionnaire est susceptible de faire appel, on trouve tout d’abord l’ingénieur sécurité ou investigation. Il assure l’analyse des disques, des logs et de la mémoire en cas de besoin. Cet ingénieur est également responsable de la protection des éléments de preuve susceptibles d’être utilisés dans le cadre d’une procédure judiciaire, ainsi que de la production de rapports de renseignement sur les menaces.

Viennent ensuite les experts de l’équipe service. Ceux-ci travaillent avec l’équipe de réponse et le gestionnaire d’incident pour diagnostiquer et corriger les problèmes identifiés. Ils apportent une expertise spécifique à l’exploitation de leurs services lorsque ceux-ci sont affectés.

Un gestionnaire d’incident exécutif est présent aux côtés du gestion d’incidents de sécurité pour l’assister dans les prises de décision de haut niveau. C’est lui qui a autorité pour déclarer officiellement la survenue d’une brèche de sécurité.

Communication et information des clients

Un responsable de la communication assure, de son côté, la production de contenus de communication en s’appuyant sur les informations fournies par le gestionnaire d’incidents de sécurité et les experts éventuellement impliqués. C’est lui qui fournit émet les bulletins de notification aux clients concernés, ainsi qu’aux organisations de support et de service affectées.

Un ingénieur dédié au support client aide à la remédiation, à la collecte de données et à la communication avec les clients. Il assiste également à la remédiation des déploiements clients concernés.

Le processus de notification des clients est engagé dès que l’enquête conduit à déterminer qu’un accès non autorisé s’est traduit par la perte, la divulgation ou l’altération de données clients. Mais il n’est pas systématiquement déclenché à chaque fois que des risques de sécurité ou de conformité sont identifiés.

En phase de stabilisation et de correction, le gestionnaire d’incident exécutif peut être appelé, conjointement avec le gestion d’incidents de sécurité et le propriétaire du service concerné, a prendre des mesures d’urgence. Celles-ci peuvent aller jusqu’à l’interruption de service : « de telles décisions ne sont pas prises à la légère », explique Microsoft, soulignant que « lorsque de telles corrections agressives surviennent, les processus standard de notification des clients d’indisponibilité et des délais de reprise s’appliquent ». 

Pour approfondir sur IaaS