Versión: 1.5
Fecha: 10/05/2024
Clasificación: TLP:CLEAR

1. INFORMACIÓN DEL DOCUMENTO

Este documento describe el CERT Crédit Agricole de conformidad con la especificación RFC 2350. Presenta de forma sintética las responsabilidades y los servicios del CERT Crédit Agricole.

1.1. Fecha de Última Actualización

Versión 1.5 del 10 de mayo de 2024.

1.2. Lista de Distribución de Notificaciones

El CERT-AG no utiliza una lista de distribución para notificar las actualizaciones de este documento.

1.3. Disponibilidad del Documento

El documento está disponible en el sitio web del CERT-AG en la dirección www.cert-ag.com.

1.4. Autenticación del Documento

El documento está firmado por la clave PGP del CERT-AG. Está disponible en el sitio web del CERT en la siguiente dirección: www.cert-ag.com.

1.5. Identificación del Documento

  • Título: RFC 2350 CERT-AG
  • Versión: 1.5
  • Fecha: 10/05/2024
  • Expiración: Este documento es válido hasta que sea reemplazado por una versión posterior.

2. INFORMACIÓN DE CONTACTO

2.1. Nombre del Equipo de Respuesta a Incidentes

  • Nombre Completo: CERT Credit Agricole
  • Nombre Corto: CERT-AG

2.2. Dirección Postal

Crédit Agricole SA
CERT-AG
12 Place des Etats-Unis
92127 Montrouge
FRANCIA

2.3. Zona Horaria

CET/CEST: Europa/París (GMT+01:00, y GMT+02:00 para horario de verano).

2.4. Número de Teléfono

Línea fija: Reservado para empleados del Grupo Crédit Agricole.

2.5. Número de Fax

Ninguno.

2.6. Otros Modos de Telecomunicación

Ninguno.

2.7. Dirección de Correo Electrónico

Para reportar un incidente de seguridad o una ciberamenaza dirigida a entidades del grupo Crédit Agricole o que las involucre, póngase en contacto con nosotros en la siguiente dirección: cert@credit-agricole.com.

2.8. Clave Pública e Información sobre Cifrado

El cifrado PGP se utiliza en los intercambios con el CERT.

  • User ID: CERT Credit Agricole <cert@credit-agricole.com>
  • Key ID: DFB3787D
  • Fingerprint: 3679 5976 A04E 80E6 CEF9 6ADD 3B95 4B4D DFB3 787D

Esta clave está disponible en el sitio www.cert-ag.com. Puede obtenerse del servidor de claves públicas: openpgp.circl.lu.

2.9. Miembros del Equipo

El CERT está compuesto por un equipo dedicado de analistas de seguridad IT. El representante del CERT Crédit Agricole es Marc Frédéric Gomez. La lista completa de los miembros del equipo no es pública.

2.10. Otra Información

Ninguna.

2.11. Puntos de Contacto

Las notificaciones deben enviarse por correo electrónico a la dirección especificada en el apartado 2.7 – Dirección de correo electrónico. La clave PGP del CERT debe utilizarse para garantizar la integridad y confidencialidad de los intercambios.

En caso de emergencia, el punto de contacto telefónico es el indicado en el apartado 2.4 Número de teléfono. Todos los servicios del CERT funcionan 24/7. Los analistas del CERT proporcionan guardia telefónica.

3. CARTA

3.1. Declaración de Misión

La misión del CERT-AG es:

  • Proporcionar servicios de monitoreo y reporte en Cyber Threat Intelligence para anticipar y prevenir amenazas dirigidas al grupo Crédit Agricole;
  • Coordinar, investigar y gestionar incidentes de ciberseguridad que puedan afectar a una Entidad del grupo Crédit Agricole;
  • Mantener la cooperación con comunidades de seguridad de confianza (CSIRT y CERT).

3.2. Composición

El CERT Crédit Agricole es un CERT interno a las Entidades del Grupo Crédit Agricole. El CERT de Crédit Agricole opera únicamente para las entidades del grupo Crédit Agricole y sus filiales.

3.3. Patrocinio/Afiliación

El CERT Crédit Agricole forma parte de Crédit Agricole S.A.

3.4. Autoridad

El CERT Crédit Agricole actúa bajo la autoridad del CISO del grupo Crédit Agricole. Las misiones del CERT son decididas y validadas por una instancia representativa del Grupo Crédit Agricole.

4. POLÍTICAS

4.1. Tipos de Incidentes y Nivel de Servicio

El CERT asegura la coordinación, investigación y gestión de incidentes de seguridad que impactan a las Entidades del Grupo Crédit Agricole. El CERT Crédit Agricole interviene en cualquier incidente del ámbito de la seguridad o del cibercrimen que impacte de forma potencial o comprobada a las Entidades del Grupo Crédit Agricole.

El CERT puede ser mandatado por Entidades para experticia específica que requiera acceder a equipos, equipos de colaboradores (como PCs o smartphones) o a registros de equipos de red o de seguridad.

El nivel de asistencia proporcionado por CERT-AG puede depender del tipo de incidente, de la exhaustividad de la información disponible y de los recursos disponibles para gestionarlo.

4.2. Cooperación, Interacción e Intercambio de Información

El CERT-AG considera la coordinación operacional y el intercambio de información entre CERTs, CSIRTs y SOCs como un elemento importante. El equipo intercambia esencialmente experiencias e información relevante para reforzar la eficacia de detección y gestión de incidentes específicos.

La información intercambiada por el CERT-AG con toda la comunidad de seguridad, CERTs/CSIRTs externos al grupo se limita a información técnica relevante a su ámbito de responsabilidad y estrictamente necesaria. Ningún dato propio del Grupo o dato personal se intercambia sin el consentimiento explícito de las personas autorizadas y concernidas.

Ningún incidente o vulnerabilidad será divulgado públicamente sin el acuerdo de todas las partes involucradas. Salvo acuerdo contrario, la información proporcionada permanece confidencial.

A nivel del Grupo, CERT-AG se compromete a intercambiar toda la información necesaria con otros equipos de seguridad de las Entidades que puedan estar concernidas en caso de necesidad.

4.3. Comunicación y Autenticación

El CERT Crédit Agricole recomienda el envío de información por correo cifrado. El CERT respeta las reglas del Grupo Crédit Agricole en materia de confidencialidad concerniente al intercambio y almacenamiento de datos sensibles o de carácter personal. En sus intercambios con otras comunidades de seguridad, el CERT respeta las reglas de confidencialidad llamadas «TLP» para Traffic Light Protocol.

5. SERVICIOS

5.1. Respuesta a Incidentes

El CERT ofrece los siguientes servicios de respuesta a incidentes:

  • Alertas y notificaciones
  • Gestión de incidentes
  • Análisis y respuesta a incidentes
  • Análisis de vulnerabilidades
  • Análisis de malware
  • Investigaciones digitales
  • Intercambio de IOC.

5.2. Clasificación de Incidentes

Se realiza una primera evaluación para confirmar el incidente de seguridad y evaluar el nivel de severidad del incidente en función de la criticidad de los activos impactados. Este nivel de severidad puede ser revisado durante la gestión de incidentes para adaptar la gestión de prioridades.

5.3. Coordinación de Incidentes

La coordinación de incidentes incluye los siguientes servicios:

  • Identificación de acciones de contención y remediación después de la detección del incidente;
  • Notificación de las partes interesadas respetando la necesidad de conocer;
  • Organización de la coordinación entre las partes interesadas;
  • Identificación del perímetro comprometido;
  • Análisis técnico del origen del incidente;
  • Redacción de medidas correctivas en reacción a los ataques.

5.4. Resolución del Incidente

Durante la resolución del incidente, el CERT proporciona en particular:

  • Propuestas de mejora a raíz de las constataciones y observaciones durante el incidente;
  • Los informes de investigación digital realizados.

5.5. Actividades Proactivas

El CERT Crédit Agricole asegura una vigilancia de la amenaza susceptible de afectar los activos del Grupo Crédit Agricole:

  • Detección de vulnerabilidades en las tecnologías utilizadas por el Grupo;
  • Evaluación de la amenaza (Cyber Threat Intelligence);
  • Detección de fugas de datos externas;
  • Publicación de boletines de alerta.

6. FORMULARIO DE INCIDENTE TIPO

No existe un formato de formulario de incidente obligatorio.

7. DESCARGO DE RESPONSABILIDAD

El CERT Crédit Agricole toma todas las precauciones necesarias al redactar sus informes, notificaciones y alertas, sin embargo su responsabilidad no puede ser comprometida en caso de errores u omisiones, ni en caso de daños resultantes del uso de la información transmitida.