Toute organisation est susceptible d'être concernée par des attaques informatiques ; le mail étant le moyen le plus utilisé pour rentrer en contact avec la cellule en charge de la prise en compte des incidents de sécurité.
Comment sélectionner cette adresse email afin qu'elle soit facile à retenir et devienne un moyen de communication efficace par quiconque et surtout des personnes étrangères à l'organisation ? Avec une tel adresse mail toute personne (utilisateur, client, partenaire, société, hacker, journaliste, institution gouvernementale, ...) pourra facilement envoyer des informations concernant la sécurité de l'organisation concernée.
Une adresse unique
Tout d'abord, faire simple : Ne pas multiplier les adresses emails. N'en choisir qu'une et en faire le moyen privilégié : Cela évitera les erreurs d'aiguillage et de s'assurer que toutes les notifications sont effectivement prises en compte et traitées sur un pied d'égalité.
Choisir son adresse
J'irai droit au but : pour le plus grand nombre d'organisation le choix de d'une adresse du type "[email protected]" est un très bon choix. Les sociétés spécialisées dans la sécurité, celles ayant des moyens de monter un CERT ou les organisations gouvernementales pourront choisir ; en pleine connaissance de cause ; une autre adresse email.
Les RFC comme source de référence
Si je vous recommande une adresse du genre "[email protected]" c'est que cela me semble être un bon choix car les RFC (Request For Comments - une sorte de référence dans le domaine de l'Internet) disent que c'est ainsi qu'il faut faire :
1) La RFC 3013 (RFC 3013 - Recommended Internet Service Provider Security Services and Procedures) recommande (cf §2.1) une adresse du genre "[email protected]", et renvoie à la RFC 2142.
2) La RFC 2142 (RFC 2142 - Mailbox Names for Common Services, Roles and Functions) recommande aussi (cf §4) une adresse du format "[email protected]"
Autre son de cloche dans le CSIRT handbook
Le CSIRT Handbook (Computer Security Incident Response Team) - (PDF ici) - fait quant à lui d'autres recommandations (cf §3.7.1.4 , page 105) : [email protected] (SCC : Site Security Contact) et [email protected] (SEP : Security Entry Point).... Mais fait une référence indirecte à la RFC 2142... :-)
Pesé, vendu et emballé, vous pouvez emporter : Let's go pour [email protected] !
Réseaux sociaux
Les réseaux sociaux sont aussi utilisés pour contacter rapidement une société : Les messages directs (DM - Direct Messages) de Twitter sont aussi utilisés. Il est donc important de passer le message aux personnes de la communication (dans le cas d'un compte "classique") de faire suivre ces messages pour qu'ils puissent être traités.
Il est aussi possible de créer un compte Twitter dédié pour collecter les notifications sécurité (bien que cela soit à éviter pour des raisons de confidentialité).
Une page web dédiée
Mais comment communiquer cette adresse email demanderez-vous.... la RFC 3013 (toujours en §2.1) nous donne un indice : http://www.nom-de-domaine.net/security/ - La boucle est bouclée.
Il reste aussi possible d'ajouter une section dans la page "contact" accessible très souvent via une URL du genre "http://www.nom-de-domaine.net/contact".
Sur cette page, on retrouve notamment d'autrss infos utiles sur les numéros de téléphone, les clefs PGP à utiliser pour chiffrer ses messages, etc... cf le la page contact US-CERT ou encore celle du CERT-SG pour quelques exemples.
Traitement des notifications
Tous les mails envoyés à cette adresse devront être traités 24h/24 et 7j/7. C'est typiquement le job d'un CERT (Computer Emergency Response Team) ou plus génériquement d'un CSIRT ou encore d'un SOC (Security Operations Center). C'est un choix à faire : Je vous renvoie l'article de SecurityVibes intitulé "Créez un CERT privé pour votre entreprise".
La vidéo de Stéphane SCIACCO intitulée "Security Operating Center: à quoi ça sert?" fournit quelques détails sur ce qu'est un SOC tel qu'il existe au sein d'Orange Business Services.
Jean-François Audenard