(a) Description des Services : Bell fournira les Services de sécurité réseau DDoS (« Services ») décrits dans la présente Annexe de service. Les Services sont des services de sécurité gérés, qui permettent de détecter et d’atténuer les menaces d’attaques par déni de service distribué en périphérie du réseau de Bell. Les services assurent la surveillance, la vérification et le blocage/filtrage des attaques par DDoS avant qu’elles n’atteignent les routeurs ou les pare-feu du Client.

DDoS en périphérie : Couvre les vecteurs d’attaques volumétriques standard

Les services fournissent au Client toutes les capacités standard de détection et d’atténuation ainsi que les signalements décrits dans les caractéristiques suivantes des services :

1. Processus d’atténuation des attaques DDoS :

Lorsque survient une attaque connue :

• Une alerte est signalée et documentée.
• Les mesures d’atténuation démarrent automatiquement.
• Dans le cas d’attaques DDoS massives qui excèdent la bande passante Internet du service ISA EO/SIA de Bell auquel le client est abonné et qui est associé au service, une alerte est produite, communiquée et documentée. Le personnel de l’exploitation de Bell redirigera ce trafic vers des installations d’épuration volumétrique au sein du réseau central de Bell afin de contribuer au nettoyage volumétrique.

En cas de suspicion d’une attaque ou d’un événement inconnu :

• Ce type d’attaque comprend une menace potentielle que le Client signale à Bell ou que l’infrastructure de Bell identifie comme une menace potentielle nécessitant une enquête plus approfondie.
• Après avoir confirmé qu’il s’agit d’une attaque malveillante, Bell avise les services de la « Sécurité » et « IS&C » (Sécurité et contrôle de l’information) du Client avant que Bell ne prenne des mesures, qui peuvent inclure l’application d’une combinaison de blocage et de filtrage pour filtrer le trafic d’attaque ou bloquer l’adresse IP source incriminée de la manière la plus efficace possible.
• Bell déploie des mises à jour selon le cas et/ou prend les mesures correctives nécessaires.
2. Types d’attaques : Les types d’attaques qui seront surveillés par Bell comprennent :

Vecteurs d’attaques	DDoS en périphérie *
Attaques par inondation et attaques volumétriques
Inondations TCP SYN (protocole de contrôle de transmission) + ACK	✓
Inondations de fragments TCP (anomalie des paquets)	✓
Inondations de réinitialisation TCP	✓
Inondations des ressources de la pile TCP	✓
Inondations TCP FIN	✓
Attaques par inondation UDP	✓
Inondations ACK (anomalie des paquets)	✓
Inondations IGMP (attaque multidiffusion)	✓
Attaques par inondation ICMP et attaques reflétées (p. ex., attaques par rebond, inondation par demandes d’écho)	✓
Attaque par connexions simultanées	✓
Inondations GRE	✓
Attaques par fragmentation IP (p.ex., attaque de type tear drop)	✓
Inondations de requêtes DNS/attaques d’amplification	✓
Attaques par violation de RFC (anomalie des paquets)	✓
Attaques d’allocation de mémoire	✓
Attaques SIP	✓
Attaques UDP	✓
Protection DNS améliorée	✓
Protection contre les attaques en rafale à faible volume	✓
Déni de service comportemental	✓

* Dans le cas d’une attaque DDoS en périphérie, il existe des seuils volumétriques qui doivent être dépassés avant que la protection indiquée ne soit appliquée. Tout le trafic est acheminé, comme indiqué, vers la destination jusqu’à ce que le seuil soit atteint. Ce n’est qu’une fois que ces seuils volumétriques sont atteints que le trafic sera dévié vers le centre d’épuration pour être inspecté.

3. Surveillance continue, 24 heures par jour, toute l’année durant : Bell maintiendra un environnement d’opérations de sécurité sécurisé et doté de personnel pour la gestion des exigences en matière de sécurité et d’incidents; la gestion des dispositifs de sécurité est assurée par l’équipe ou les équipes d’exploitation du réseau.
4. Installation et configuration initiales : Lors de la configuration initiale du Service de sécurité DDoS, Bell effectuera des tests de connexion, de configuration et d’acheminement du trafic du Client et de configuration de l’infrastructure d’atténuation DDoS. Ces tests peuvent inclure des actions telles que l’envoi de paquets mal formés ou de trafic d’attaque volumétrique simulé à l’infrastructure du Client pour s’assurer que les drapeaux et redirections appropriés se produisent au sein du réseau de Bell nécessaire pour que le Service DDoS soit efficace. Cette phase de tests sera coordonnée avec la configuration initiale, en concordance avec la fenêtre de maintenance initiale requise pour la mise en œuvre initiale. Ces tests sont destinés à confirmer la réussite de l’installation et de la configuration du service. Bien qu’il soit hautement improbable que ces tests affectent l’infrastructure du Client, cela pourrait se produire, et le Client comprend et accepte les risques qui en découlent.
5. Gestion du changement : Bell fournira un processus permettant au Client de demander des changements aux plages d’adresses IP actuellement surveillées, des changements de largeur de bande, d’options, d’identifiants de rapport et de paramètres de notification. Les frais applicables pendant les heures normales d’ouverture sont indiqués dans la section Frais du présent document. Les frais pour le travail en dehors des heures normales d’ouverture seront calculés selon les tarifs actuels de Bell pour les heures supplémentaires (minimum de 4 heures) ou selon les tarifs indiqués dans la section des frais de la présente Annexe (selon le plus élevé des deux). Les frais indiqués dans le Tableau 2 s’appliqueront.
6. Centre de service Bell/Point de contact unique : Les Clients ont un point de contact unique à Bell, accessible sept jours sur sept, 24 heures sur 24, pour toutes les demandes de renseignements ou de modifications.
7. Période de rodage : Après la mise en œuvre réussie du service, le trafic du Client sera dirigé vers l’infrastructure de détection du déni de service distribué. Au cours des quatorze (14) premiers jours, l’infrastructure apprend à connaître les schémas de trafic typiques du Client. Pendant cette période, appelée « période de rodage », les ONS concernant la détection des menaces, l’atténuation des effets, le délai de réaction, la notification et l’atténuation des effets ne sont pas applicables. La « période de rodage » peut être prolongée ou abrégée si le Client et Bell Canada en conviennent mutuellement.
8. Rapports :

Rapports mensuels : Les rapports mensuels seront disponibles par l’entremise de l’accès des Clients au Portail libre-service Bell Business (CLSAB). Les identifiants de connexion initiaux et les mots de passe seront fournis dans la trousse de bienvenue sur la sécurité DDoS. Conservation et récupération des journaux : Bell conserve les journaux sous forme de données brutes, conformément à la réglementation, pendant 12 mois. Afin que Bell puisse récupérer ces journaux de données brutes et les fournir au Client, le Client devra fournir une demande écrite, y compris une justification légale. Le Client peut soumettre une telle demande à partir du portail CLSAB sous « Demandes techniques » avec une justification claire. À la réception de cette demande, Bell validera l’exigence et, lors de cette validation, fournira les données de journal nécessaires dans les sept jours ouvrables.

Les Services ne comprennent pas de travaux supplémentaires en dehors des services décrits dans les présentes. Tout travail additionnel sera considéré comme sortant du cadre des services. Si le Client souhaite obtenir l’implication ou le soutien de Bell pour l’un des éléments énumérés ci-dessous, Bell fournira un amendement à la présente Annexe de service ou un formulaire de demande de modification, selon les besoins, décrivant les activités à entreprendre, l’effort estimé et les coûts associés. Voici quelques exemples d’éléments hors du cadre des services :

1. Exigences en matière d’alimentation électrique ou de câblage des bâtis/espaces des lieux du Client
2. Changements massifs de l’environnement demandés par le Client
3. Besoins de modification de la topologie du réseau
4. Soutien du centre de service/point de contact unique pour des administrateurs ou utilisateurs non autorisés
5. Formation sur place pour le Client
6. Accès Internet et frais connexes
7. Certifications de vérifications
8. Préparation de vérifications pour les évaluations de conformité ou de sécurité – ces activités sont disponibles par l’entremise des équipes de services professionnels de Bell dans le cadre d’un engagement distinct
9. Tout autre matériel, câblage, changement ou activité qui n’est pas expressément mentionné dans la présente annexe; et
10. Éradication des logiciels malveillants et analyse judiciaire des systèmes ou des données sur place.
11. Remédiation aux incidents liés aux cybermenaces, y compris l’éradication des logiciels malveillants et l’analyse judiciaire des systèmes ou des données sur place

Dans la présente Annexe de service, y compris toute pièce jointe, les termes suivants sont définis comme suit à moins que le contexte n’indique clairement une signification différente :

« ASN » signifie Numéro de système autonome.

« Utilisateurs autorisés » désigne les personnes identifiées par le Client et ayant l’autorisation de soumettre des demandes de modification ou de recevoir des avis relatifs aux perturbations du service.

« ISA EO » désigne le service Internet spécialisé d’affaires (ISA) Ethernet optique fourni par Bell

« SIA » désigne le Service Internet d’Affaires fourni par Bell

« DDoS » signifie Déni de service distribué.

« Attaques connues » sont les attaques DDoS pour lesquelles l’infrastructure mise en place au sein du réseau de Bell peut déterminer de manière automatisée qu’il s’agit en fait d’un trafic d’attaque

« Attaques inconnues » sont les attaques DDoS pour lesquelles l’infrastructure mise en place au sein du réseau de Bell ne peut pas immédiatement confirmer qu’il s’agit bien d’un trafic d’attaque; soit l’infrastructure de Bell a déclenché une alarme quant à la possibilité qu’il s’agisse d’un trafic d’attaque, soit le client a contacté Bell par le biais du centre d’assistance ou des fonctions de libre-service du Portail d’affaires de Bell pour s’enquérir de l’existence d’un trafic d’attaque potentiel.

« Dans le nuage de Bell » ou « Dans le nuage » désigne un ensemble de dispositifs qui font partie de l’infrastructure de Bell fournissant la communication entre les réseaux internationaux et l’accès Internet associé aux clients. Cet ensemble de dispositifs comprend des équipements de sécurité utilisés par le Service de protection contre les attaques DDoS.

« Internet » désigne un réseau mondial partagé constitué de routeurs liés par diverses technologies de transport et reliant des millions d’ordinateurs entre eux par le protocole TCP/IP.

« Adresses IP » désigne un identifiant pour un ordinateur ou un appareil sur un réseau TCP/IP. Sur les réseaux qui utilisent le protocole TCP/IP, les messages sont acheminés en fonction de l’adresse IP de destination. Les adresses IP sont en format numérique 32 bits et sont constituées de quatre nombres, séparés par des points. Chaque chiffre peut se situer entre 0 et 255. Exemple : 1.160.10.240 est une adresse IP possible.

« Actifs TI » désigne les systèmes de technologie de l’information utilisés pour accomplir des activités d’Affaires ou héberger des applications d’affaires.

« Heures anormales d’ouverture » désigne toutes les heures qui ne sont pas les heures d’ouverture normales.

« MTTN » – Temps moyen d’avis de traitement – Le « temps pour aviser » fait référence au temps écoulé entre la détection d’un incident par Bell et celui de l’avis au Client. Le « Temps moyen d’avis de traitement » est le « temps pour aviser » moyen au cours d’un mois civil. MTTN est un niveau de service de base que Bell offrira toujours pour tout service géré avec surveillance et gestion des événements. MTTN ne s’applique pas aux billets d’incident réactifs, lorsque le Client signale un incident.

« MTTRespond » – Temps moyen de réponse - Le temps de réponse est déterminé par le temps écoulé entre le déclenchement d’une alerte au groupe SSG CGS, ou la création d’un billet d’incident de sécurité au centre d’assistance, et le moment où commence l’analyse de l’attaque soupçonnée. La moyenne des temps de réponse est calculée sur un mois civil pour l’ensemble des billets d’incident de sécurité mesurés par Bell.

Dans ce délai, le billet est attribué à un agent pour effectuer des tâches d’enrichissement et d’enquête sur les incidents.

L’état du billet est passé à « Confinement » jusqu’à ce que l’attaque soit atténuée et qu’aucune autre action manuelle ne soit requise.

L’horloge ONS s’arrête à l’état « Confinement ».

« MTTResolve » – Temps moyen de résolution – désigne le temps écoulé entre l’identification de l’incident et sa résolution, si l’incident est résolu à distance. Le « temps moyen de résolution » est le « temps de résolution » moyen au cours d’un mois civil. Le calcul inclut tout le temps sous état « En cours » pour le même billet jusqu’à la fermeture.

« Installation haut de gamme » Des frais d’installation supplémentaires sont applicables lorsque le Client souhaite accélérer la mise en œuvre (en matière de réduction de la durée entre la signature du contrat et la mise en œuvre du système) et/ou souhaite que la mise en œuvre ait lieu en dehors des heures d’ouverture normales (c.-à-d. en dehors de la plage de 8 h à 17 h HE).

« Incident de sécurité » signifie la détection d’une possible attaque par déni de service distribué dirigée vers le Client

« Heures normales d’ouverture » sont de 8 h à 17 h, heure de l’Est, du lundi au vendredi. Les jours fériés observés par Bell et les fins de semaine sont considérés comme hors des heures normales d’ouverture.

« Services » désigne les Services gérés d’atténuation proactive des menaces, dont les Services MPTM généraux et le Service géré de protection contre les attaques DDoS.

« EQS » – Entente sur la qualité du Service.

« ONS » – Objectifs de qualité du Service

« PdCU » signifie Point de contact unique et désigne la personne-ressource désignée au sein de l’entreprise du Client avec laquelle Bell Canada interagit pour fournir un soutien au Client.

« Mise en service » désigne les tâches liées au branchement et au début des Services suite à l’installation et à la configuration des appareils.

« Mise à jour » désigne une version du logiciel ou du cadre qui consiste en des corrections mineures, des bogues, des correctifs et des améliorations sans ajout substantiel de fonctionnalités ou de caractéristiques et qui est généralement indiquée dans le numéro de révision par un changement du nombre à droite de la première décimale (p. ex. : passage de 2.0 à 2.1).

Rapports mensuels sur les menaces

Rapport	Description du rapport
Attaques par catégorie de menace	Ce rapport répertorie les attaques par catégorie d’attaque, en indiquant le nom de l’attaque, le risque et le dernier horodatage.
Principales attaques par durée	Ce rapport présente les attaques continues les plus longues en fonction de la durée de l’attaque
Principales attaques par largeur de bande	Ce rapport indique les attaques qui ont consommé la plus grande largeur de bande, en fonction de la largeur de bande de l’attaque, y compris les paquets par seconde (PPS) et les bits par seconde (Kbit/s).
Principales attaques par protocole	Ce rapport fournit des informations sur les protocoles par lesquels le plus grand nombre d’attaques ont été tentées. Il indique également le nom de ces attaques et le nombre total de tentatives pour chacune d’entre elles.
Principaux attaquants bloqués	Ce rapport affiche les adresses IP des sources d’attaques les plus souvent bloquées et le nombre de tentatives d’attaques bloquées pour chaque source.
Principales adresses IP sondées	Ce rapport présente une vue historique des adresses IP les plus sondées qui ont été analysées. Remarque : Ce rapport n’indique pas les adresses IP « inconnues » ou « 0.0.0.0 ».
Principales applications sondées	Ce rapport présente une vue historique des principaux ports de niveau 4 sondés (associés à des noms d’application de niveau 7) qui ont été analysés.
Principales attaques par destination	Ce rapport fournit des informations sur les adresses IP du système de destination ayant subi le plus grand nombre d’attaques. Le rapport indique également le nom de l’attaque et le nombre total d’attaques.
Principales attaques par heure de la journée	Ce rapport fournit des informations sur le nombre d’attaques principales contre les systèmes protégés par le DP IPS pour chaque heure de la journée.
Principales attaques par Application	Ce rapport fournit des informations sur le nombre total des principales attaques tentées sur un nœud, le nom de l’attaque et le protocole par lequel l’attaque a été tentée.
Principales attaques par source	Ce rapport répertorie les principales adresses IP sources à partir desquelles le plus grand nombre d’attaques ont été tentées.
Principales destinations par attaque	Ce rapport fournit des informations sur les attaques qui ont été tentées le plus grand nombre de fois sur les adresses IP des systèmes protégés de destination.
Destinations les plus attaquées	Ce rapport fournit des informations sur les adresses IP du système de destination ayant subi le plus grand nombre d’attaques. Le rapport indique également le nom de l’attaque et le nombre total d’attaques.
Principales attaques	Ce rapport fournit des informations sur le nombre total de tentatives d’attaques, le nom de l’attaque et le nombre total d’attaques par nom d’attaque.
Attaques critiques	Ce rapport fournit des informations sur les attaques critiques, qui comprennent la source d’origine de l’attaque critique, la destination de l’attaque et le nom de l’attaque, ainsi que le nombre de fois qu’une attaque a été lancée.
Principales sources d’attaque	Ce rapport répertorie les principales adresses IP sources à partir desquelles le plus grand nombre d’attaques ont été tentées.
Principaux attaquants entrants	Ce rapport fournit des informations sur les principales sources externes responsables des attaques entrantes sur les systèmes protégés et sur le nombre de tentatives d’attaque. Les colonnes de pourcentage représentent la part d’attaques qu’une source particulière contribue à la part totale d’attaques.
Attaques par destination et port	Ce rapport fournit des informations sur le nombre total de tentatives d’attaque contre le nœud et le port ciblés, ainsi que le nombre de tentatives et le nom de chaque attaque.
Attaques par port de source et de destination	Ce rapport fournit des informations sur le nombre d’attaques, la source et la destination de l’attaque, ainsi que le nom de l’attaque.

Rapport d’incident

Contenu du rapport d’incident	Description du rapport
Type d’incident	Renseignement sur l’attaque identifiée par le type d’alerte déclenchée, p. ex. (alerte en cas de déni de service au niveau de l’hôte)
Niveau de gravité	Classement de l’impact de l’attaque (p. ex. élevé, moyen, faible)
Pourcentage de trafic	Détermine le pourcentage du trafic constituant une attaque comparativement au trafic propre permis
Heure de début de l’attaque	Date et heure indiquées au moment du début de l’attaque
Heure de fin de l’attaque	Date et heure indiquées au moment où l’attaque a été arrêtée
Durée de l’attaque	Durée de l’attaque en minutes
Détails de l’atténuation	Les détails de l’atténuation doivent être fournis sous forme d’échantillon en pièce jointe.