On commence par le début

Un Incident de sécurité désigne tout évènement qui se produit par

hasard ou volontairement et qui impacte les systèmes de traitement
des communications ou informations.

Est considéré comme un incident de sécurité n’importe quel

événement ou ensemble de circonstances mettant en danger la
confidentialité, l’intégrité ou la disponibilité des informations,
données ou services de l’organisation. Cela inclut l’accès non
autorisé, utilisation, divulgation, modification ou destruction
de données ou des services utilisés ou fournis par l’entreprise.

Le processus de gestion des incidents de cybersécurité est le résultat

d’un effort de collaboration entre l’informatique, les RH et le service
juridique. L’objectif de ce processus est d’aider à comprendre ce qui
s’est passé en cas d’événement, d’identifier rapidement les risques ou
les vulnérabilités potentiels qui ont pu être exploités pendant
l’événement, puis de prendre des mesures pour atténuer ces risques
autant que possible.

Pour parvenir efficacement à gérer un incident, il existe trois phases

principales : la préparation, la réponse et la récupération ou avant — 
pendant — et après !

Lors de la préparation à un incident de cybersécurité, vous devez

vous assurer que votre organisation a documenté ses politiques en
matière de protection des informations et de la vie privée, ainsi que
la manière dont elle gérera de tels incidents lorsqu’ils se produiront.

Pendant la phase de réponse, vous devez déterminer le niveau

d’impact de l’incident, déterminer si des données ont été perdues et
si des systèmes ont été compromis d’une quelconque manière.

La phase de récupération consiste à remettre les choses en ordre et

peut comprendre des étapes telles que la restauration des données, le
rétablissement du service et la réparation de tout dommage.

Définitions

Incidents de sécurité : Un incident de sécurité consiste en tout

événement qui va à l’encontre de la politique de sécurité de
l’entreprise ou d’une directive de sécurité; tout événement qui cause
ou peut causer un dommage à un actif informationnel de l’entreprise
ou tout acte ou omission qui entraîne ou pourrait entraîner la
matérialisation d’un risque.

Une action préventive : une mesure prise pour éliminer ou

réduire la probabilité qu’un problème ou un risque particulier se
produise. Elle peut impliquer des changements dans les politiques,
les procédures ou les pratiques et peut être quelque chose d’aussi
simple que la formation des employés sur la façon de protéger les
informations.
Une action corrective: une mesure qui est prise pour rectifier un
problème ou une vulnérabilité. Elle peut impliquer des changements
dans les politiques, les procédures ou les pratiques.

Atteinte à l’intégrité: L’atteinte à l’intégrité est une tentative

d’accès non autorisée, une modification non autorisée ou une
suppression non autorisée et/ou inappropriée de système
informatique, données et/ou logiciels.

Une atteinte à l’intégrité peut consister en un accès non autorisé aux

ressources critiques de l’organisation, telles que les fichiers système,
les programmes et les données. L’atteinte à l’intégrité est un canal
d’accès pour une autre attaque potentielle, tel que le vol ou la perte
de données sensibles, en plus d’être une violation en soi des
politiques de sécurité.

Qui est responsable de quoi?

La responsabilité de la gestion des incidents de sécurité de

l’information peut être répartie entre différentes personnes au sein
d’une organisation. Le service informatique est souvent chargé de
répondre aux incidents de sécurité, tandis que le service des
ressources humaines est chargé de gérer les éventuelles implications
juridiques.

Si l’incident est grave ou s’il semble que des données ont été
divulguées, il est possible de le traiter en interne ou par des
professionnels extérieurs. Il est important d’avoir un plan en place
pour les deux scénarios.
Si l’incident est mineur, vous serez peut-être en mesure de le gérer
vous-même. Il peut s’agir de prendre des mesures correctives,
comme changer les mots de passe ou mettre en place de nouvelles
mesures de sécurité.

Direction : Coordonner les opérations en cas d’incidents majeurs et

participer aux rencontres de coordinations afin de prendre les
décisions nécessaires rapidement.

Responsable de la sécurité : Enquêter sur l’incident et prendre

des mesures pour éviter qu’il ne se reproduise. Il peut agir également
comme responsable des donnée personnelles. (DPO — Data Privacy
Officer)

Équipe de réponse aux incidents : L’équipe de réponse aux

incidents (IRT) est un élément clé du plan de cybersécurité de toute
organisation. L’IRT est chargée de répondre aux incidents de
sécurité et comprend des représentants de différentes parties de
l’organisation, telles que l’informatique, le service juridique, les RH
et le marketing.

L’IRT doit avoir des rôles et des responsabilités clairs et être bien
formée sur la manière de répondre aux incidents de sécurité

Équipe de communication / Marketing / vente: être le point

central des communications entre les membres de l’équipe et tous les
fournisseurs, clients ou autres tiers.
Ressources humaines : Appliquer les mesures disciplinaires s’il y
a lieux.

Relations publiques : Publier une déclaration aux médias et aux

parties concernées.

Affaires juridiques : Collaborer avec les forces de l’ordre et

déclaration obligatoire si nécessaire.

Toute l’équipe: responsable de signaler les incidents le plus

rapidement possible aux responsables de sécurité

Les 6 étapes de gestion des cyber-incidents

Étape 1 — Préparation

Cette étape, préalable à tout incident de sécurité, consiste à préparer

les utilisateurs et les équipes à gérer les incidents de sécurité
lorsqu’ils vont survenir.

Il est important de ne pas attendre qu’une cyberattaque ou une

tentative de piratage se produise avant d’entreprendre des travaux
préparatoires, car le nettoyage après coup est une tâche difficile et
que l’ont souhaite éviter.

Prévoyez la manière dont votre organisation réagira à divers

scénarios impliquant des menaces telles que le piratage, les logiciels
malveillants et l’ingénierie sociale.
D’autres mesures préparatoires sont à prendre :

 La formation et sensibilisation du personnel afin de détecter et

réagir en cas de soupçons d’incident de sécurité;

 La mise en place d’outils de surveillance automatique pour aider

les équipes techniques dans la détection d’évènement suspect;

 l’élaboration d’un plan de communication, afin que l’organisation

puisse communiquer rapidement et efficacement avec les
membres de l’équipe, les clients, les fournisseurs et autres tiers;

 la création d’un manuel d’intervention en cas d’incident, qui

guidera l’équipe tout au long du processus d’intervention;

 Déterminer les niveaux que peut prendre un incident avec les

activités associées tel que les délais de réponses;

 Vérifier les copies de sauvegarde, c’est-à-dire confirmer qu’elles

sont prises, et conservées sur un site externe et ne permettant pas
d’être modifié;

 Mettre en œuvre les mesures de protection prévenir appropriées

à l’organisation, tel que logiciel de sécurité sur tous les systèmes,
outils de centralisation des journaux d’évènements.

Étape 2 — Identification

Parmi les premières étapes, de la gestion d’un incident de

cybersécurité consiste à déterminer ce qui s’est passé, confirmer s’il y
a eu effectivement un incident de sécurité.
L’étape d’identification, s’il y a présence d’un incident, est un
processus en continu qui se répète à chaque nouvel évènement
détecté

Cela implique de recueillir des informations auprès de toutes les

sources pertinentes, y compris l’informatique, les RH et le service
juridique. Il est important de rassembler autant d’informations que
possible au cours des premières étapes d’un incident afin de pouvoir
prendre des décisions éclairées sur la manière de procéder par la
suite, telles que si les systèmes touchés comportent des données
confidentielles ou des renseignements personnels.

Les membres de l’organisation doivent être sensibilisés à ce qu’est un

incident de sécurité? Quels événements peuvent être ignorés et
lesquels demandent une action immédiate?

Il peut être difficile de reconnaître un incident de sécurité. Toutefois,

il peut y avoir des indicateurs d’une activité non autorisée ou signes
d’abus.

Voici quelques indicateurs qu’un incident de sécurité s’est produit,

ou est en cours :

 Activité de connexion des utilisateurs, en particulier de n’importe

quel utilisateur inactif;

 Activité d’accès distant, excessif ou inhabituel. Cela pourrait être

celles de notre personnel ou nos fournisseurs;
 La présence de toute activité inhabituelle en ce qui concerne les
programmes, les fichiers suspects, ou exécutables nouveaux/non
approuvés et maliciel (logiciels malveillants);

 Matériel ou logiciel enregistreurs trouvés connectés à ou installés

sur des systèmes;

 Perdus ou volés : ordinateurs portables, disques durs ou autres

supports contenant des données de carte de paiement ou d’autres
données sensibles;

 Toute plainte de la part des employés ou tiers concernant les

courriels étranges, des appels téléphoniques ou des visites
inattendues;

 Rapports d’audit montrant une diminution significative de la

performance du système ou une anomalie inhabituelle.

Une fois que vous avez une bonne compréhension de ce qui s’est
passé, vous devez décider comment réagir. Cela implique d’évaluer le
niveau de risque associé à l’incident, de décider des mesures à
prendre pour atténuer ce risque et d’impliquer les bonnes personnes
dans l’équipe de réponses, incluant le responsable des
renseignements personnels (DPO)

Étape 3 — Confinement

Tant qu’un intrus a un accès non autorisé à un système, celui-ci n’est

pas fiable et ne peut pas être utilisé.

Le confinement d’un système (ou machine) est une mesure de

protection appliquée afin d’empêcher la propagation de l’incident sur
tous les autres systèmes. Par exemple un confinement pourrait
consister à déconnecter tous les utilisateurs du système concerné
afin de stopper ses activités et essayer de trouver un remède.

Concrètement cette étape vise à isoler les systèmes affectés afin de

prévenir d’autres dommages, arrêter une fuite de donnée ou ne pas
compromettre l’intégrité de l’information.

Les étapes de confinement peuvent être exécutées de manière

itérative avec les étapes de la phase de détection et d’analyse,
débrancher chaque système découvert comme étant vulnérable.

Étape 4 — Éradication

Cette étape consiste à bien identifier et éliminer les causes de

l’incident de cybersécurité par exemple retirer les systèmes affectés
de la production.

L’éradication est l’élimination des éléments permettant l’incident, tel

que les codes malveillants, les comptes et mots de passe compromis,
ou d’autres systèmes et informations compromis. Il consiste à
supprimer les données corrompu des systèmes affectés afin
d’empêcher leur utilisation.

L’objectif de l’éradication est de supprimer définitivement les

données compromises et rendre le système ou la machine
sécuritaire.
Étape 5 — Récupération

Habituellement cette étape se réalise conjointement avec l’étape

précédente, soit d’éradication, nous allons re-initialiser les systèmes
afin de repartir à zéro et remettre les données d’une sauvegarde
précédente.

Ramener les systèmes affectés dans l’environnement de production

et les surveiller attentivement

Étape 6 — Leçons apprises

Cette dernière étape, réalisée lorsque l’incident est résolu, consiste à

documenter et effectuer un bilan de l’évènement afin d’en tirer les
leçons nécessaires.

Par exemple:

 Déterminer les vulnérabilités et manquements ayant mené à

l’incident;

 Déterminer si la capacité des équipes à gérer l’incident de

sécurité a été à la hauteur des attentes et si des ressources ou
outils supplémentaires sont nécessaires;

 Identifier les points d’amélioration à la posture de sécurité de

l’organisation;

 Documenter l’information afin de permettre une communication

aux parties intéressées telles que client, fournisseurs ou entité
gouvernementale.
Il est important de spécifier que les étapes d’activités de gestion des
incidents de sécurité de l’information sont itératives, et que par
conséquent une organisation doit constamment apporter des
améliorations à ses manières de faire. Ces améliorations à la manière
de faire sont basées sur les leçons apprises, sur les incidents
survenus ainsi que sur les vulnérabilités découvertes dans son
environnement.

Pour réussir dans le paysage actuel de la cybersécurité, il est

important d’avoir un plan d’action solide. Le processus de gestion
des incidents décrit plus haut devrait permettre à votre équipe de
commencer à réfléchir aux différentes étapes à suivre et aux outils
nécessaires.

Écrire un seul article sur la gestion des incidents demande des

approfondissements, voici quelques questions en suspens qui mérite
réflexion :

 Quelle est la bonne manière pour qu’une personne interne ou

externe à l’organisation signale une faiblesse de sécurité ou un
incident de sécurité?

 Y a-t-il un modèle de document pour les rapports d’incident?

 Comment les preuves collectées seront-elles préservées et

protégées dans le temps?

 Comment définir le niveau de risque associé à un incident de

sécurité?

 La classification des systèmes permet-elle de mieux faire une

gestion des risques?
 Les gens ayant des responsabilités ont-ils compris leurs rôles?

 Comment tester un tel plan de gestion des incidents?

Je suis curieux de savoir vos trucs et astuces pour mettre en œuvre

un plan de gestion des incidents de cybersécurité !