Règle 18. Détection
L'opérateur de services essentiels élabore, tient à jour et met en œuvre, conformément à sa politique de sécurité des réseaux et systèmes d'information, une procédure de détection des incidents de sécurité affectant ses systèmes d'information essentiels (SIE).
Cette procédure prévoit des mesures organisationnelles et techniques destinées à détecter les incidents de sécurité affectant les SIE. Les mesures organisationnelles comprennent les modalités d'exploitation des dispositifs de détection et décrivent la chaîne de traitement des événements de sécurité identifiés par ces dispositifs. Les mesures techniques précisent la nature et le positionnement des dispositifs de détection.
L'opérateur met en œuvre des dispositifs de détection capables d'identifier des événements caractéristiques d'un incident de sécurité notamment d'une attaque en cours ou à venir et de permettre la recherche de traces d'incidents antérieurs. A cet effet, ces dispositifs :
- collectent les données pertinentes sur le fonctionnement de chaque SIE (notamment des données « réseau » ou des données « système ») à partir de capteurs positionnés de manière à identifier les événements de sécurité liés à l'ensemble des flux de données échangés entre les SIE et les systèmes d'information tiers à ceux de l'opérateur ;
- analysent les données issues des capteurs notamment en recherchant des marqueurs techniques d'attaques connus, dans le but d'identifier les événements de sécurité et de les caractériser ;
- archivent les métadonnées des événements identifiés afin de permettre une recherche a posteriori de marqueurs techniques d'attaques ou de compromission sur une durée d'au moins six mois.
Dans le cas particulier d'un SIE nécessaire à la fourniture de service d'interconnexion par appairage pour l'échange de trafic internet, l'opérateur ne met en œuvre de dispositifs de détection que pour les flux de données autres que ceux correspondant au trafic internet proprement dit.
L'opérateur ou le prestataire mandaté à cet effet exploite les dispositifs de détection en s'appuyant sur les exigences du référentiel en matière de détection des incidents de sécurité pris en application de l'article 10 du décret n° 2015-350 du 27 mars 2015 modifié relatif à la qualification des produits de sécurité et des prestataires de service de confiance pour les besoins de la sécurité des systèmes d'information.
L'opérateur veille en particulier à ce que l'installation et l'exploitation des dispositifs de détection n'affectent pas la sécurité et le fonctionnement de ses SIE.
Règle 19. Journalisation
L'opérateur de services essentiels met en œuvre sur chaque système d'information essentiel (SIE) un système de journalisation qui enregistre les événements relatifs à l'authentification des utilisateurs, à la gestion des comptes et des droits d'accès, à l'accès aux ressources, aux modifications des règles de sécurité du SIE ainsi qu'au fonctionnement du SIE. Le système de journalisation contribue à la détection d'incidents de sécurité en collectant les données de journalisation.
Le système de journalisation porte sur les équipements suivants lorsqu'ils génèrent les événements mentionnés au premier alinéa :
- les serveurs applicatifs supportant les services essentiels ;
- les serveurs d'infrastructure système ;
- les serveurs d'infrastructure réseau ;
- les équipements de sécurité ;
- les postes d'ingénierie et de maintenance des systèmes industriels ;
- les équipements réseau ;
- les postes d'administration.
Les événements enregistrés par le système de journalisation sont horodatés au moyen de sources de temps synchronisées. Ils sont, pour chaque SIE, centralisés et archivés pendant une durée d'au moins six mois. Le format d'archivage des événements permet de réaliser des recherches automatisées sur ces événements.
Règle 20. Corrélation et analyse de journaux
L'opérateur de services essentiels met en œuvre un système de corrélation et d'analyse de journaux qui exploite les événements enregistrés par le système de journalisation installé sur chacun des systèmes d'information essentiels (SIE), afin de détecter des événements susceptibles d'affecter la sécurité des SIE. Le système de corrélation et d'analyse de journaux contribue à la détection d'incidents de sécurité en analysant les données de journalisation.
Le système de corrélation et d'analyse de journaux est installé et exploité sur un système d'information mis en place exclusivement à des fins de détection d'événements susceptibles d'affecter la sécurité des systèmes d'information.
L'opérateur ou le prestataire mandaté à cet effet installe et exploite ce système de corrélation et d'analyse de journaux en s'appuyant sur les exigences du référentiel en matière de détection des incidents de sécurité pris en application de l'article 10 du décret n° 2015-350 du 27 mars 2015 modifié relatif à la qualification des produits de sécurité et des prestataires de service de confiance pour les besoins de la sécurité des systèmes d'information.