SEIDOR | CSIRT est un Centre de Réponses aux Incidents de nature privée créé par la Société SEIDOR pour coordonner et répondre aux menaces de cybersécurité de la propre société, des filiales et des clients, qu'ils soient des entités publiques ou privées. Sa mission principale est de mettre en œuvre les mesures humaines, techniques et technologiques nécessaires pour réduire le risque d'incidents de sécurité et répondre lorsque cela est nécessaire dans toutes les infrastructures, systèmes et services de son périmètre.
SEIDOR | CSIRT est né avec la ferme volonté de soutenir la communauté des CSIRT pour une réponse globale face aux menaces qui mettent en danger la sécurité de tous les acteurs offrant des services aux entreprises, institutions et aux citoyens.

Pour atteindre ces objectifs, le SEIDOR | CSIRT réalise, entre autres, les tâches suivantes :
- Définition des alertes de sécurité en fonction des exigences personnalisées.
- Analyse et gestion continue des vulnérabilités
- Tableaux de bord de l'évolution du service
- Recommandations pour des améliorations de sécurité
- Collecte et analyse d'informations provenant de différentes sources disponibles relatives aux nouvelles vulnérabilités et menaces.
- Communication aux bénéficiaires des renseignements générés qui sont pertinents pour leur contexte opérationnel.
- Distribution d'informations techniques sur les incidents avec d'autres CSIRT.
- Surveillance des événements de sécurité et détection des incidents.

Pour atteindre ces objectifs, SEIDOR | CSIRT adhère depuis sa création aux valeurs suivantes :
- Conformité à la réglementation légale.
- Suivi et application des meilleures pratiques associées à chaque environnement de production et opérationnel. Amélioration continue dans ce domaine décrit et situé dans le référentiel qui lui est destiné.
- Être exhaustif dans l'audit de gestion des risques spécifique aux services offerts, en impliquant le reste du CSIRT sur l'état de ceux-ci et en facilitant la mise en commun des efforts de tous pour l'amélioration de la communauté.
- Faciliter la plus grande sensation de bien-être aux bénéficiaires du service, en créant un environnement de confiance et de sécurité optimaux, évaluable et modifiable.
- Exécution stricte et en temps des audits définis tant internes qu'externes, en respectant de manière excellente les normes de qualité et de sécurité pour chacun des services catalogués.
- Création et maintenance de processus de communication et d'évaluation périodiques des besoins des clients internes et externes des services dans le cadre d'un processus d'amélioration continue de ceux-ci.

Circonscription

Les services fournis par SEIDOR | CSIRT s'adressent à tous les départements de SEIDOR ainsi qu'aux entreprises et institutions externes à l'entreprise qui y souscrivent.

Affiliation

SEIDOR | CSIRT est parrainé par SEIDOR S.A

Autorité

SEIDOR | CSIRT opère, au sein de SEIDOR sous l'égide et l'autorité du Bureau de la Cybersécurité Corporative de SEIDOR et de son responsable de la Sécurité de l'information corporative, personnifié par la figure du CSO/CISO Global.
En ce qui concerne les clients externes, modifiable selon les accords client/entreprise, SEIDOR | CSIRT agit en tant que consultant en sécurité de ces clients et ne dispose d'aucune autorité sur eux, par conséquent, la mise en œuvre des recommandations fournies sera exclusivement de la responsabilité du client.

Types d'incidents et niveau de support

Le SEIDOR | CSIRT soutient les incidents d'information qui peuvent affecter l'intégrité, la disponibilité et la confidentialité des informations gérées par les systèmes et processus des bénéficiaires de ses services. Les types d'incidents pris en charge correspondent aux typologies d'incidents de sécurité publiées par le Centre Cryptologique National d'Espagne, CCN-CERT :
https://www.ccn-cert.cni.es/series-ccn-stic/800-guia-esquema-nacional-de- seguridad/988-ccn-stic-817-gestion-de-ciberincidentes/file.html

Tous les incidents confirmés sont classés selon leur typologie et leur gravité, les réponses étant priorisées en fonction des résultats de cette classification.

Le SEIDOR | CSIRT ne fournit pas de support direct aux utilisateurs finaux externes à SEIDOR, considérant que ceux-ci contacteront leurs propres services de sécurité. Toutes les communications entre le SEIDOR | CSIRT et ses bénéficiaires externes seront canalisées par l'intermédiaire des interlocuteurs définis dans le contrat de service.

Le niveau de support fourni dépendra des conditions contractuelles du service et de la typologie, de l'impact, de la gravité et/ou de la complexité de l'incident, et il pourra être nécessaire d'intervenir avec le CSIRT de portée supérieure associé à différentes administrations et/ou services de l'État.

Coopération, interaction et distribution d'informations

Le SEIDOR | CSIRT peut interagir avec d'autres organisations, telles que d'autres équipes CERT ou CSIRT, des fournisseurs, des analystes et des générateurs de renseignements, etc.

Dans le cadre national espagnol, les organismes CERT référencés sont les suivants :

- Pour les citoyens, organismes et entreprises du secteur privé, INCIBE-CERT a été désigné comme référence. https://incibe-cert.es
- Pour les organismes et entreprises publics, le CCN-CERT a été désigné comme référence. https://ccn-cert.cni.es

Les contacts nécessaires ont été initiés pour l'union et la communication bidirectionnelle avec les différents CSIRT nationaux et internationaux, disposant d'un calendrier d'actions pour atteindre l'objectif dès que possible.

Le SEIDOR | CSIRT applique les directives suivantes pour la gestion et la sélection des informations partagées :

- Appliquer à tout moment les mesures techniques et légales indiquées dans ce document pour la protection de l'information.
- Anonymiser les informations partagées et, parmi celles-ci, sélectionner exclusivement les données pertinentes pour la résolution des incidents.
- Respecter le niveau de confidentialité assigné à l'information.
- Ne pas partager d'informations confidentielles avec d'autres parties sans un accord et une autorisation préalables du propriétaire de celles-ci. Cette directive s'applique dans tous les cas où il n'existe pas d'obligation légale ou réglementaire supérieure obligeant à partager l'information.
- Protéger la confidentialité des informations personnelles. Bien qu'en général, les données personnelles ne soient jamais partagées, si cela devait être nécessaire, et dans les cas prévus par le RGPD, l'autorisation expresse du titulaire de ces données sera demandée.
- Arrêter la distribution d'informations dès que le client propriétaire de celles-ci notifie le refus de permission pour cela, ce point étant également basé sur le RGPD.

Communication et authentification

Le SEIDOR | CSIRT applique aux informations qu'il gère les mesures de protection correspondant à leur nature et classification, en prenant comme référence, entre autres, le RGPD, le Schéma National de Sécurité du Gouvernement d'Espagne, la directive NIS européenne, le Décret Royal 12/2018, du 7 septembre et le Décret Royal 43/2021, du 26 janvier.

De même, dans les communications et la documentation, le protocole FIRST TLP v1.1 est utilisé en interne et en externe pour la classification et l'étiquetage des documents.

Compte tenu des types d'informations traitées par SEIDOR | CSIRT, les téléphones seront considérés comme suffisamment sûrs pour être utilisés même sans chiffrement. Les courriels non chiffrés ne seront pas considérés comme particulièrement sûrs, mais ils seront suffisants pour la transmission de données de faible sensibilité.

Comme indiqué dans les points précédents concernant le cryptage des informations partagées, les données seront chiffrées en utilisant les clés PGP des émetteurs et des récepteurs de celles-ci.

Lorsqu'il est nécessaire d'établir une relation de confiance, et avant de révéler des informations confidentielles, l'identité de l'autre partie utilisera, dans la mesure du possible, les références de tierces personnes et/ou d'organismes connus et de confiance comme moyen d'accréditation. Sinon, des méthodes appropriées seront utilisées, telles que la recherche des membres de FIRST ou la base de données de Trusted Introducer et en effectuant un rappel téléphonique ou un courriel pour garantir l'identité des autres parties.

• Activités Réactives
  • Surveillance de la Cybersécurité
    • Le SEIDOR | CSIRT fournit des services de surveillance, détection, analyse, classification, coordination et soutien dans la réponse rapide aux incidents de sécurité.
  • Ces services sont fournis avec le soutien et la collaboration d'autres groupes IT des bénéficiaires.
  • DFIR – Équipe de réponse aux incidents.
    • Le SEIDOR | CSIRT dispose d'une Équipe spécialisée de Réponse aux Incidents (DFIR) pour intervenir lorsqu'une situation d'incident est déclarée.
• Activités Proactives
  • Alertes et avis
    • Le SEIDOR | CSIRT distribue des informations de renseignement concernant les campagnes malveillantes détectées, les nouvelles menaces, les indicateurs de compromission, etc., ainsi que des recommandations sur les actions à entreprendre en réponse à celles-ci.
  • Audits de sécurité des services du périmètre CSIRT
    • Le SEIDOR | CSIRT offre des services de révision et d'amélioration de la gestion de la sécurité de l'information en se basant sur des cadres de travail reconnus, ainsi que des analyses de vulnérabilités, la surveillance des risques et la gestion du renseignement pour la prévention des menaces. Le service offert couvrira les systèmes qui relèvent de la juridiction du CSIRT.
  • Sensibilisation et prise de conscience
    • Le SEIDOR | CSIRT fournit ces services par le biais d'ateliers informatifs, ainsi que la diffusion de nouvelles à ses bénéficiaires, concernant les bonnes pratiques, la sécurité de l'information, les nouvelles, l'apparition de nouvelles vulnérabilités, etc.
  • Développement de solutions de sécurité
    • Le SEIDOR | CSIRT réalisera des développements permettant d'améliorer la surveillance et la réponse aux incidents de sécurité principalement dans les environnements SAP et Microsoft Corp. Ces outils, ainsi que d'autres développements d'intérêt pour le CSIRT, auront pour objectif d'améliorer la gestion de la sécurité de l'information de ses bénéficiaires.

Pour les communications du service, des formats convenus entre les parties participantes et/ou généralement reconnus par le secteur sont utilisés.

Bien que toutes les précautions soient prises lors de la préparation des informations, notifications et alertes, SEIDORCSIRT n'assume aucune responsabilité pour les erreurs ou omissions, ni pour les dommages résultant de l'utilisation des informations fournies pendant l'exécution de ses services.