Articles

Étapes de la réponse à l’incident

Lorsque l’on parle de réponse à l’incident, le processus standard suivi pour gérer un incident est décrit par les étapes suivantes :

  • Étapes de la réponse à l'incidentPréparation
  • Identification
  • Confinement
  • Éradication
  • Récupération

La préparation n’est pas seulement la première phase mais la phase la plus cruciale. La préparation détermine l’efficacité de vos capacités de réponse aux incidents. En pratique, l’essence de la préparation est tissée tout au long du processus. La préparation est également la phase où les fonctions essentielles implicites d’une gestion efficace des incidents sont explicitement énoncées. Une bonne préparation dictera la maturité de votre équipe d’intervention en cas d’incident et l’impact commercial peut être mesuré de manière quantifiable.

Les points focaux de préparation sont:

  • Politique
  • Communication
  • Outils
  • Formation
  • Responsabilités

Politique

Pour qu’un plan d’intervention en cas d’incident soit efficace, la toute première étape consiste à obtenir le soutien du haut de l’organisation. Ce soutien garantira que l’organisation dans son ensemble soutiendra le plan d’intervention en cas d’incident et fournira le temps et les ressources nécessaires pour maximiser sa capacité à réussir. Le soutien de la direction se manifeste initialement sous la forme d’une politique approuvée par les dirigeants de l’organisation. Une bonne politique protège la mission de l’équipe d’intervention en cas d’incident en lui donnant l’autorité nécessaire pour l’accomplir. La politique fournit un ensemble écrit de principes, de règles ou de pratiques qui dictent la façon dont l’organisation réagira à un incident.

La définition de la politique peut être un processus intimidant en raison de nombreux domaines de la sécurité de l’information qui pourraient être impactés par un incident. L’utilisation acceptable, la cessation d’emploi des employés, l’archivage des données, le contrôle d’accès et la gestion des mots de passe ne sont qu’un petit échantillon de la façon dont les tentacules de la réponse aux incidents peuvent se propager. La politique peut avoir des répercussions sur plusieurs ministères qui peuvent avoir des besoins concurrents en raison de leurs propres mandats. La création d’une politique globale qui répond aux exigences légales, réglementaires et opérationnelles peut nécessiter un investissement important en temps et en ressources. Mais, c’est une étape nécessaire pour comprendre comment l’ensemble de l’organisation fonctionne pour faciliter la mise en œuvre d’une équipe de réponse aux incidents efficace.

Responsabilités

Le processus de création d’une politique commence à mettre en évidence les différents rôles qui seront nécessaires pour soutenir le processus d’intervention en cas d’incident. Les rôles d’incident traditionnels, tels qu’un responsable de la sécurité ou un analyste, ont tendance à être clairs. Le soutien interfonctionnel d’autres départements est essentiel au succès de la capacité de l’équipe à remédier aux incidents. Ces services naviguent dans les ramifications de l’incident autour des questions juridiques, de conformité et de relations publiques.

Les rôles identifiés devraient voir leur responsabilité explicitement définie pour le processus d’intervention en cas d’incident. Les rôles auront des responsabilités différentes selon la phase du processus d’intervention en cas d’incident que l’organisation exécute actuellement.

Image de l'équipe d'intervention en cas d'incident

Communication

L’analyse menée tout au long de l’élaboration des politiques aide à faciliter la définition des canaux et des processus de communication qui devraient se produire lors d’un incident. L’un des faux pas courants lors de l’élaboration d’un plan d’intervention en cas d’incident consiste à négliger d’identifier un intervenant clé dans la gestion d’un incident.

Les lois et règlements peuvent dicter les entités extérieures avec lesquelles votre organisation doit communiquer en cas d’incident. Le plan de communication devrait identifier ces entités et définir les procédures de notification. Une attention particulière devrait être accordée aux fournisseurs, aux clients et aux fournisseurs de services lors de l’élaboration d’un plan.

Le plan de communication devrait également définir des lignes directrices claires pour savoir quand impliquer les forces de l’ordre et qui coordonnera la coordination entre l’organisation et les agences. La principale raison pour laquelle un incident de sécurité ne mène pas à des accusations criminelles est que l’organisation n’a pas géré correctement l’incident et la communication avec les forces de l’ordre. La ou les personnes désignées comme personne-ressource principale doivent communiquer avec les organismes d’application de la loi d’une manière claire et cohérente qui correspond aux procédures définies par l’organisation et les organismes d’application de la loi.

Outils

Un élément clé du processus de création de politiques consiste à définir les capacités de l’équipe d’intervention en cas d’incident. Définir clairement les responsabilités de votre équipe d’intervention en cas d’incident est essentiel pour préparer l’organisation au succès. Certains services peuvent être gérés en interne tandis que d’autres peuvent être externalisés. Les outils mis en œuvre sont conçus pour être en ligne avec les capacités définies.

Chaque phase du plan d’intervention en cas d’incident sera associée à des outils. La phase de détection et d’analyse comportera des outils pour rationaliser les rapports d’incidents, capturer le trafic réseau et effectuer des analyses comportementales. La phase de confinement et de rétablissement des incidents disposera d’outils pour limiter l’accès au réseau/système et faciliter la restauration des services dans les délais de rétablissement définis. Les outils post-incident peuvent être utilisés pour mettre à jour les renseignements sur les menaces et la base de connaissances de l’organisation.

Formation

Une fois les outils et les procédures définis, tout le personnel qui doit participer au processus d’intervention en cas d’incident devra être formé régulièrement. La formation peut prendre forme sous de nombreuses formes différentes. La clé est de rendre la formation pertinente et englobant différents scénarios. Des exercices sur table impliquant tous les services concernés sont l’un des moyens les plus efficaces d’affiner le processus de réponse aux incidents. Un exercice sur table est un exercice simulé où les participants se réunissent pour discuter des processus d’incident. Il offre une flexibilité difficile à obtenir avec des exercices en direct et englobe tous les rôles au sein de l’organisation. Les exercices sur table permettent à l’organisation d’identifier les lacunes qui peuvent exister. Ils permettent également à une organisation d’appliquer les leçons apprises dans un environnement contrôlé.

Une pratique régulière permet à votre entreprise de fonctionner avec une efficacité maximale lors d’un incident en direct.

Une citation populaire de Sun Tzu est  » connais-toi toi-même et tu gagneras toutes les batailles. »Se connaître soi-même s’accompagne d’un soin extrême pendant la phase de préparation et d’une pratique délibérée pour découvrir les faiblesses. Une équipe d’intervention en cas d’incident mature et efficace n’est pas créée via une solution technologique en boîte ou toute autre solution miracle. Ils sont construits avec une attention méticuleuse pour se préparer à exécuter les activités de détection, de confinement et de post-incident.