8 conseils pour élaborer un plan de gestion d’incident de sécurité

Nous préférons souvent nous rassurer et nous convaincre du contraire, mais une protection efficace à 100% n’existe pas. Cela signifie que le prochain incident de sécurité n’est qu’une question de temps.

Afin d’éviter la course folle qui suit immanquablement tout problème critique non anticipé, voici quelques conseils à prendre en considération pour définir votre réponse en cas d’incident.

A tous les Responsables IT qui gèrent leur cybersécurité interne: Espérons que vous n’en aurez jamais besoin…

1. Élaborez un plan de réponse en cas d’incident de sécurité.

Il s’agit, bien sûr, du conseil le plus évident. Toutefois, vous seriez étonné de savoir le nombre d’organisations qui n’en sont pas encore là. Ce plan ne doit pas nécessairement faire 400 pages (mais pas non plus une page et demie, comme c’est le cas la plupart du temps). Cependant, le fait de documenter et de diffuser en amont votre plan de réponse en cas d’incident de sécurité peut s’avérer décisif lorsque l’inévitable se produit.

2. Formez en amont vos équipes et assurez-vous qu’elles fassent appel à plusieurs spécialités.

Une équipe de réponse en cas d’incident de sécurité ne doit pas uniquement être composée de membres des services informatique ou de sécurité (même s’ils représentent, sans aucun doute, un atout majeur), mais également de membres des services des relations publiques, des ressources humaines, juridique et de responsables, pour n’en citer que quelques uns.

Par exemple, négliger l’équipe des relations publiques peut avoir des conséquences sur l’image de la marque plus dramatiques que la faille de sécurité initiale.

Assurez-vous que chaque membre de l’équipe soit informé de son implication et des attentes. Toutefois, contrôlez cette liste de members afin qu’elle soit toujours à jour et tiennent compte des mouvements internes.

3. Définissez votre approche : observez et apprenez ou maîtrisez et récupérez.

Par exemple, lorsqu’un incident de sécurité est le fruit d’une attaque malveillante, vous devez décider si vous effectuez une récupération le plus rapidement possible ou si vous observez ses actions pour en tirer des enseignements. Vous devez prendre cette décision en amont car cela requiert une bonne préparation, l’appui de la Direction et une équipe compétente pour gérer les risques. La plupart des organisations vont (et devraient) se concentrer sur la maîtrise du dommage et sur la récupération des systèmes métier. Suivre une voie différente ne doit se faire que si l’entreprise dispose des ressources nécessaires (personnel, systèmes dupliqués, infrastructure réseau pour un confinement adapté) à la réussite du plan.

4. Pré-répartissez les procédures de communication.

Une autre erreur fréquente consiste à dépendre de votre infrastructure de communication traditionnelle en cas d’incident. Imaginez que le réseau local cesse de fonctionner, que les uns et les autres ne connaissent aucun autre numéro de téléphone et que la messagerie électronique ne fonctionne plus. Dans cette situation, il sera alors assez difficile de gérer un incident de sécurité. Définissez en amont les méthodes de communication, déterminez une passerelle d’appel ou un dispositif similaire, puis diffusez les informations à chaque participant.

5. Vérifiez et collectez les données de réponse en cas d’incident.

Ces points sont souvent sources de problèmes. Pendant et après un incident de sécurité, la pression est forte et les gens ont tendance à travailler dans l’urgence, ce qui, bien sûr, engendre de nombreuses erreurs. Vous devez vous assurer de collecter de manière complète les données et journaux appropriés, sans pour autant travailler des heures alors que votre temps est compté ; il ne s’agit pas d’un simple compromis. Définissez notamment la manière dont vous collecterez des commentaires (je préfère pour ma part un cahier en papier daté avec des pages lignées, facile à comprendre pour les tribunaux) et les preuves.

6. Obtenez la faveur de vos utilisateurs.

La réponse en cas d’incident de sécurité ne concerne pas uniquement le service informatique. Assurez-vous que votre réponse en cas d’incident corresponde à la politique d’usage conforme et au programme de sensibilisation à la sécurité de votre organisation. Vous souhaitez que vos utilisateurs sachent comment vous informer s’ils pensent qu’un incident se produit. Les administrateurs système, les propriétaires d’applications et les détenteurs de données en particulier doivent savoir comment vous contacter s’ils détectent un fait inhabituel. Le processus de réponse en cas d’incident peut alors être rapidement accéléré (ou ralenti s’il s’agit d’une fausse alerte). Ne vous contentez pas de rédiger cette politique et de la stocker sur un emplacement quelconque de l’intranet.

7. Sachez comment signaler des crimes et garantir la mise en application de la loi.

Certains types d’incidents de sécurité peuvent nécessiter un signalement auprès des autorités mais, bien souvent, personne ne sait comment procéder exactement dans cette situation. Du piratage de votre serveur Web au vol de vos données IP ou de carte de crédit, comprendre le processus et ses exigences à l’avance s’avère payant.

8. C’est en forgeant que l’on devient forgeron.

Ce processus peut être documenté mais lorsqu’il s’agit de l’utiliser, la passerelle est activée et personne ne se connecte ni ne sait que faire. Mettez en scène un incident et laissez votre équipe accéder à ce faux scénario et le gérer. Assurez-vous bien sûr de les avertir qu’il s’agit d’un exercice. Vous risqueriez sinon de vous retrouver dans une délicate situation consistant à annoncer au monde réel cet entraînement comme s’il s’était réellement produit. Il sera alors difficile de convaincre les gens a posteriori que vous n’avez pas été piraté.

Bonne gestion de vos incidents !

Follow @MichelLanaspeze//platform.twitter.com/widgets.js