Qu’est-ce qu’un plan de réponse aux incidents de sécurité informatique ?

0

Malgré les menaces en sécurité informatique faisant la une des médias ces derniers mois, beaucoup d’entreprises n’ont pas encore adapté leurs mesures de sécurité informatique, parfois même après avoir essuyé une cyber-attaque.

Si un climat grandissant de sensibilisation aux cyber-menaces (devenant de plus en plus sophistiquées et coûteuses) est aujourd’hui observable, tant sur un plan professionnel que dans la sphère personnelle, c’est un fait, beaucoup d’entreprises ne font pas assez pour se préparer à ces incidents et à savoir y réagir proportionnellement : c’est alors que le plan de réponse aux incidents peut intervenir, et devenir un réel atout et outil essentiel de la sécurité informatique d’une organisation.

  • Qu’est-ce qu’un plan de réponse aux incidents ? Que contient-il ?

Le plan de réponse en cas d’incident de sécurité est une méthode documentée de gestion des incidents, vulnérabilités et failles de sécurité informatique. Il est utilisé dans les environnements et les installations informatiques d’entreprises pour identifier, répondre, limiter et contrer les incidents de sécurité au fur et à mesure qu’ils surviennent.

S’il n’est pas un remède miracle à votre sécurité informatique et que s’équiper des solutions adaptées en sécurité informatique est essentiel à toute stratégie de cybersécurité, le plan de réponse en cas d’incident est conçu afin de donner des conseils réfléchis et adaptés pour gérer efficacement et sans « panique » une cybermenace ou cyber-attaque dans une organisation donnée. Il aide également à évaluer stratégiquement les risques encourus, ou encore à atténuer les dommages post-attaque. Le but ultime de la conception d’un tel document est donc de gérer la situation de sorte à limiter les dommages pour l’entreprise tout en réduisant le temps de récupération et les coûts.

Plusieurs phases clés sont généralement identifiées pour ces procédures-type de réponse. En voici quelques-unes :

  • Préparation du personnel et de l’organisation (sensibilisation en amont)
  • Détection et identification de l’incident, attribution son niveau de priorité
  • Analyse d’impact puis confinement de l’incident.
  • Éradication du problème, rétablissement initial : en fonction de la gravité de l’incident, au cours de cette phase, l’activité revient souvent à la détection et à l’analyse, par exemple, pour voir si d’autres hôtes sont infectés par un logiciel malveillant tout en éradiquant un incident de logiciel malveillant.
  • Récupération de données et services
  • Bilan des leçons apprises, qui sont utilisées pour les futures exigences d’audit et Rapport d’incident contenant causes, coût total de l’incident présent.

 Quelques astuces pour un plan de réponse aux incidents réussi :

Si certaines organisations et entreprises n’ont même pas la notion de ce type de plan de réponses aux incidents, certaines d’entre elles possèdent déjà un plan de réponse. Mais là encore, une problème se pose : ces plans de réponses ont parfois été conçus il y a de ça des mois entiers sans réelle mise à jour, dans l’idée de «cocher une case» et se mettre en conformité. L’efficacité de ces plans risque alors d’être la même que celle des entreprises n’en possédant aucun : nulle.

Nous vous proposons donc ici quelques idées et astuces pour améliorer ou créer en totalité votre propre plan de réponse aux incidents, pour qu’il soit le plus efficace possible :

La documentation créée est bien souvent trop générique, et s’avère alors peu efficace pour guider des entreprises aux activités spécifiques en cas de crise : il faut donc que votre plan de réponse soit adapté en tout point à l’organisation (et aux équipements/réseaux) de votre entreprise. Cela signifie que vous devez (re)commencer par les bases, (re)tracer la bonne structure et définir en détails les rôles des employés concernés.

En effet, il est important de préciser que le service informatique d’une entreprise n’est pas le seul à être concerné par l’élaboration de ce plan de réponse, puisqu’une faille de données peut par exemple toucher des services e-commerce ou encore marketing, par exemple. L’implication d’autres services de l’entreprise pourra par ailleurs amener un regard neuf sur la stratégie à adopter et à la compléter au mieux.

Une fois que vous avez identifié les personnes clés pour ce plan de réponse, il est important de clairement définir leurs responsabilités en cas d’incident. Par exemple, les services RH ou marketing pourront être amené à communiquer en interne ou externe après cet incident. La spécification de ces rôles en prévision d’un incident comme une faille de données, par exemple, évite les confusions et facilite la communication entre les différentes parties impliquées.

  • Evaluez les risques potentiels”

Il est bien entendu important d’évaluer le périmètre qui pourrait être menacé en cas d’incident et de les identifier clairement, en fonction du type de menace potentiellement rencontré, avant même de penser à une réponse en elle-même.

  • Priorisez les incidents de sécurité et déterminez-en son périmètre

La définition de ce qui – et de ce qui n’est pas – un incident est étroitement liée aux indicateurs clés de performance. En faisant cela, vous déterminez ce qui doit être suivi et ce qui doit être ignoré, tout en vous assurant que votre équipe de sécurité ne travaille que sur les problèmes les plus sérieux.

  • Testez ce plan régulièrement, continuez à l’améliorer et tenez-le à jour

Les plans de réponse aux incidents sont très peu testés avant qu’un réel incident ne survienne, une simulation d’attaque peut donc être une vraie valeur ajoutée à votre stratégie de sécurité afin d’en vérifier l’efficacité.

L’exécution de tels tests maintient le plan mis à jour et adapté au fil des évolutions et développements de l’entreprise concernée, tout en aidant à identifier (et corriger) les points faibles à améliorer (qu’ils soient techniques ou humains).

About Author

Jean-Nicolas Piotrowski

Fondateur et Président d’ITrust. Diplômé de l’IUP STRI, ingénieur en télécommunications et réseaux informatiques, il a été successivement Responsable Sécurité de la salle de marché BNP Paribas, consultant sécurité pour la Banque Postale et le Crédit Lyonnais. En 2007, il fonde ITrust et dirige la société.

Leave A Reply