Aperçu
Information Operations Condition (INFOCON) est un système de niveau de menace aux États-Unis similaire à celui de DEFCON ou FPCON. INFOCON est un système de défense basé principalement sur l’état des systèmes d’information et est une méthode utilisée par l’armée pour se défendre contre une attaque de réseau informatique.
La Structure du Système
Le niveau INFOCON est finalement décidé par le Commandant du Commandement stratégique américain (CDRUSSTRATCOM). Le système s’étend à tous les systèmes d’information du Ministère de la Défense sur le Réseau de routage de Protocole Internet Non classifié (NIPRNET) et le Réseau de routeur de Protocole Internet Secret (SIPRNET).
Une directive » À usage officiel uniquement » de 2006 décrit le système INFOCON comme suit ::
. . . y compris les responsabilités, les processus et les procédures, s’applique aux systèmes de Réseau de Routage de Protocole Internet Non classifiés (NIPRNET) et de Réseau de Routeur de Protocole Internet Secret (SIPRNET) relevant des Chefs d’État-Major interarmées et à toutes les activités du DoD au sein des commandements unifiés, des services militaires et des Agences du DoD, ainsi qu’au COI NetOps non-DoD (NetOps CONOPS, Concept d’opérations conjoint pour le Réseau d’information Mondial NetOps). Il est exécuté par des commandants unifiés et de service, des commandants de base / point de vente / camp / station / navire et des directeurs d’agence ayant autorité sur les systèmes et réseaux d’information (opérationnels et / ou de soutien) (ci-après collectivement appelés » commandants »).1
La même directive décrit le système comme « un cadre dans lequel le commandant USSTRATCOM (CDRUSSTRATCOM), les commandants régionaux, les chefs de service, les commandants de base / poste / camp / station / navire ou les directeurs d’agence peuvent accroître la préparation mesurable de leurs réseaux pour correspondre aux priorités opérationnelles. »2
Niveaux de menace INFOCON
Il existe cinq niveaux d’INFOCON, qui ont récemment changé pour être plus étroitement corrélés aux niveaux DEFCON. Ils sont:
- INFOCON 5 se caractérise par des NetOps de routine, une disponibilité normale des systèmes d’information et des réseaux qui peuvent être maintenus indéfiniment. Les réseaux d’information sont pleinement opérationnels dans un état de base connu avec des politiques d’assurance de l’information standard en place et appliquées. Au cours d’INFOCON 5, les administrateurs système et réseau créeront et maintiendront une base de données instantanée de chaque serveur et poste de travail dans une bonne configuration connue et développeront des processus pour mettre à jour cette base de données pour les modifications autorisées.
- INFOCON 4 augmente la préparation NetOps, en préparation d’opérations ou d’exercices, avec un impact limité pour l’utilisateur final. Les administrateurs système et réseau établiront un rythme opérationnel pour valider la bonne image connue d’un réseau d’information par rapport à l’état actuel et identifier les modifications non autorisées. De plus, les profils d’utilisateurs et les comptes sont examinés et des vérifications sont effectuées pour détecter les comptes dormants. En augmentant la fréquence de ce processus de validation, l’état d’un réseau d’information est confirmé comme étant inchangé (c’est-à-dire bon) ou déterminé comme étant compromis. Ce niveau de préparation peut ou non se caractériser par une surveillance accrue du renseignement et des mesures de sécurité renforcées (blocage des ports, numérisation accrue) des systèmes et réseaux d’information. L’impact sur les utilisateurs finaux est négligeable.
- INFOCON 3 augmente encore la disponibilité NetOps en augmentant la fréquence de validation du réseau d’information et de sa configuration correspondante. L’impact sur les utilisateurs finaux est mineur.
- INFOCON 2 est une condition de disponibilité nécessitant une augmentation supplémentaire de la fréquence de validation du réseau d’information et de sa configuration correspondante. L’impact sur les administrateurs système augmentera par rapport à INFOCON 3 et nécessitera une augmentation de la planification préalable, de la formation du personnel et de l’exercice et du pré-positionnement des utilitaires de reconstruction du système. L’utilisation d’équipements « de rechange à chaud » peut réduire considérablement les temps d’arrêt en permettant la reconstruction en parallèle. L’impact sur les utilisateurs finaux pourrait être important pendant de courtes périodes, ce qui peut être atténué par la formation et la planification.
- INFOCON 1 est la condition de préparation la plus élevée et traite des techniques d’intrusion qui ne peuvent pas être identifiées ou vaincues à des niveaux de préparation inférieurs (par exemple, kit racine du noyau). Il ne devrait être mis en œuvre que dans les cas limités où les mesures INFOCON 2 indiquent à plusieurs reprises des activités anormales qui ne peuvent être expliquées que par la présence de ces techniques d’intrusion. Jusqu’à ce que des méthodes de détection plus souhaitables soient disponibles, la méthode la plus efficace pour s’assurer que le système n’a pas été compromis de cette manière consiste à recharger le logiciel du système d’exploitation sur des serveurs d’infrastructure clés (par exemple, contrôleurs de domaine, serveurs d’échange, etc.) à partir d’une ligne de base précise.
La reconstruction doit être étendue à d’autres serveurs selon les ressources le permettent et les niveaux de détection d’intrusion l’indiquent. Une fois que les comparaisons de référence n’indiquent plus d’activités anormales, l’INFOCON 1 devrait être mis fin. L’impact sur les administrateurs système sera important et nécessitera une augmentation de la planification préalable, de la formation du personnel et de l’exercice et du pré-positionnement des utilitaires de reconstruction du système. L’utilisation d’équipements « de rechange à chaud » peut réduire considérablement les temps d’arrêt en permettant la reconstruction en parallèle. L’impact sur les utilisateurs finaux pourrait être important pendant de courtes périodes, ce qui peut être atténué par la formation et la planification.3