La gestion des incidents de sécurité informatique

Avant toute chose, lorsque intervient un incident de sécurité, il ne faut pas céder à la panique. Ensuite, afin d’être résolument efficace, il est primordial de suivre une procédure claire et bien définie. Bien évidemment, le suivi d’une procédure de gestion des incidents de sécurité informatique répond à une logique globale. Sans vision holistique de l’ensemble du processus, il est difficile de mener à bien la gestion des incidents de sécurité de l’entreprise.

La gestion des incidents de sécurité informatique

Qu'appelle-t-on un incident de sécurité informatique ?

Tout évènement, volontaire ou non, ou ensemble de circonstances mettant en péril la confidentialité des informations et des données numériques d’une entreprise, leur intégrité ou leur disponibilité sont considérés comme des incidents de sécurité. Sont donc intégrés dans cette définition évènementielle ou circonstancielle les intrusions non autorisées dans le réseau d’une entreprise, l’utilisation des données sans autorisation, la divulgation de ces informations, voire leur destruction.

Le schéma global de gestion des incidents

  • Au sein d’une entreprise, la gestion des incidents de sécurité demande une parfaite coordination entre différents services : les Ressources Humaines, le service juridique et bien sûr, le service informatique. Objectifs :
  • Comprendre ce qui a pu se passer ;
  • Identifier dans les plus brefs délais les vulnérabilités potentiellement exploitées durant l’incident ;                                                                                                       
 
Pour ce faire, l’entreprise doit découper sa gestion en trois phases temporelles : 
 
  • La préparation à l’incident, quand l’entreprise s’assure que les politiques de cybersécurité et les réponses aux incidents sont bien documentées ;
  • La réponse, moment au cours duquel l’entreprise détermine le niveau des dégâts (données perdues ? systèmes compromis ? Etc.) ;
  • La récupération, dont le but est de rétablir le fonctionnement normal des systèmes d’information. Cette dernière phase peut nécessiter une restauration complète des systèmes comme des réparations diverses et variées.

Des rôles à définir

Selon l’ampleur de l’incident, l’entreprise peut le gérer simplement en interne (en changeant les mots de passe, en établissant de nouvelles règles de sécurité, en renforçant la protection du réseau…) ou faire appel à un prestataire extérieur. Quelle que soit la décision prise, elle doit figurer dans les différents scenarii développés par les différents services, de façon à réagir vite et efficacement.

Bien sûr, le service informatique est en première ligne, mais il n’est pas seul. Les répercussions (comme la divulgation de données privées de clients par exemple) impliquent également le service juridique et/ou le service RH. En somme, la répartition des rôles entre les différents intervenants, internes et externes, doit être notifiée en amont : 

  • La Direction coordonne les opérations ;
  • La Sécurité enquête sur l’incident et fait ce qu’il faut pour que ce type d’incident ne se reproduise plus ;
  • L’équipe marketing/communication informe les parties prenantes (clients, fournisseurs, tiers…) ;
  • La RH applique les sanctions éventuelles ;
  • L’équipe Relations Publiques informe éventuellement les médias ;
  • Le Service Juridique étudie et évalue les implications juridiques et œuvre aux côtés des forces de l’ordre.

 

Au sein de certaines grandes organisations, il est intéressant de créer une équipe spécifique de réponse aux incidents (CIRT), composée de membres de différents services de l’entreprise, comme ceux évoqués ci-dessus, de façon à optimiser la réactivité en cas d’incident. Il va de soi que cette équipe doit être capable de répondre efficacement sur tous les fronts et doit donc être parfaitement formée sur tous les aspects.

Les étapes de la gestion des incidents de sécurité informatique

Au final, une bonne gestion des incidents de sécurité informatique s’anticipe en amont des potentiels incidents et se poursuit selon un processus bien établi. On peut décliner la gestion des incidents en 6 étapes clés :

1. La préparation ou l’anticipation d’un incident, étape consistant à former les équipes et à les entraîner à réagir à tout type d’incident ainsi qu’à la mise en place d’outils permettant la surveillance permanente des systèmes d’information. Ici, le déploiement d’une équipe SOC permet d’orchestrer une cyberdéfense de l’entreprise de façon pérenne ;

2. L’identification de l’incident de cybersécurité, passant par le recueil de toutes les informations disponibles et l’analyse poussée de l’incident. Avec le SIEM de Sekoia.io, l’on peut collecter et analyser des logs afin d’enquêter sur l’incident et de remonter par exemple le patient zéro ;

3. Le confinement, étape clé en cas de détection d’une intrusion dans le système, dans le but de freiner ou d’empêcher toute propagation aux autres systèmes connexes de l’entreprise. A ce stade par exemple, l’utilisation de l’EDR d’HarfangLab permet d’isoler les terminaux infectés et d’empêcher la propagation du malware ou du contrôle de l’attaquant ;

4. L’éradication, ou l’élimination des causes de l’incident et des données irrémédiablement infectées ;

 

5. La récupération, souvent conjointe à l’éradication, notamment en ce qui concerne les données infectées et consistant à la réinitialisation des systèmes après nettoyage ; 

6. L’apprentissage, ayant pour but la documentation précise de l’incident. Cette documentation vient nourrir la préparation de nouveaux incidents potentiels.

Chacune de ces étapes est itérative et nourrit constamment le cycle de gestion des incidents, renforçant constamment le plan d’action de l’entreprise.

 

Partager sur twitter
Twitter
Partager sur linkedin
LinkedIn
Partager sur facebook
Facebook
Alfabet Group
Nous contacter

Nous rejoindre :

Twitter
Linkedin

#AlfabetGroup