Direction de l’informatique et de la gestion documentaire

Processus de gestion des incidents de sécurité

Guide de référence

Service à la clientèle

Rédigé le : 28 juillet2008

875, Grande Allée Est, 3e

étage
Québec (Québec) G1R 4Y8
Téléphone : (418) 643-2353
Télécopieur : (418) 644-4759
www.mce.gouv.qc.ca
 Table des matières

1. INTRODUCTION........................................................................................................................................3

2. INCIDENTS TRAITÉS DANS LE « GUIDE DE DÉCLARATION DES INCIDENTS DE SÉCURITÉ

NUMÉRIQUE ».................................................................................................................................................3

2.1. UTILISATION ILLÉGALE D’UN MOT DE PASSE OU USURPATION D’UNE IDENTITÉ............................4

2.2. PRÉSENCE D’UN VIRUS, D’UN VER, D’UN CHEVAL DE TROIE OU D’UNE BOMBE LOGIQUE.............5
2.3. INTRUSION OU TENTATIVE D’INTRUSION DANS UNE APPLICATION OU UN FICHIER........................6
2.4. INSTALLATION D’UN LOGICIEL À VOTRE INSU (SPYWARE).............................................................7
2.5. UTILISATION D’UN ORDINATEUR PAR UNE PERSONNE NON AUTORISÉE EN L’ABSENCE D’UN
EMPLOYÉ.....................................................................................................................................................8
2.6. UTILISATION INAPPROPRIÉE D’UNE RESSOURCE INFORMATIONNELLE, VOL, MÉFAIT OU SABOTAGE
9
2.7. DIVULGATION DE RENSEIGNEMENTS PERSONNELS OU CONFIDENTIELS........................................10
2.8. RÉCEPTION DE POURRIELS (COURRIELS INDÉSIRABLES/HAMEÇONNAGE).....................................11
3. CUEILLETTE D’INFORMATIONS PRÉLIMINAIRE À UNE ENQUÊTE (POSTE DE TRAVAIL)..................12
3.1. ÉTAPES GÉNÉRALES......................................................................................................................12
3.2. PRENDRE UNE COPIE DE SÉCURITÉ INTÉGRALE DU POSTE DE TRAVAIL........................................12
3.3. RECUEILLIR LES INFORMATIONS PROPRES À LA SESSION EN COURS.............................................12
3.4. RECUEILLIR LES INFORMATIONS CONTENANT DES INDICES COMME PIÈCES À CONVICTION (ADM)
13
4. MODIFICATION DE LA REQUÊTE C² ET TRANSFERT..........................................................................14

5. ANALYSE DES INFORMATIONS............................................................................................................15

6. Processus d’enquête..............................................................................................................................16

Processus de gestion des incidents de sécurité – Guide de référence Page 2 de 17

Processus de gestion des incidents de sécurité

1. INTRODUCTION

Ce document consiste à indiquer aux techniciens du Service à la clientèle la procédure

relative à la gestion des incidents reliés à la sécurité de l’information numérique1. Il fera
l’objet d’une évolution constante afin de tenir compte des nouveaux risques reliés à la
sécurité.

Chaque section de ce document précise aux techniciens, selon le type d’événements

rencontrés, les actions requises pour enrailler le problème et, si nécessaire, aviser les
autorités le cas échéant.

2. INCIDENTS TRAITÉS DANS LE « GUIDE DE DÉCLARATION DES

INCIDENTS DE SÉCURITÉ NUMÉRIQUE ».

 UTILISATION ILLÉGALE D’UN MOT DE PASSE OU USURPATION D’UNE IDENTITÉ;

 PRÉSENCE D’UN VIRUS, D’UN VER, D’UN CHEVAL DE TROIE OU D’UNE BOMBE
LOGIQUE;
 INTRUSION OU TENTATIVE D’INTRUSION DANS UNE APPLICATION OU UN
FICHIER;
 INSTALLATION D’UN LOGICIEL À VOTRE INSU (SPYWARE);
 UTILISATION D’UN ORDINATEUR PAR UNE PERSONNE NON AUTORISÉE EN
L’ABSENCE D’UN EMPLOYÉ;
 UTILISATION INAPPROPRIÉE D’UNE RESSOURCE INFORMATIONNELLE, VOL,
MÉFAIT OU SABOTAGE;
 DIVULGATION DE RENSEIGNEMENTS PERSONNELS OU CONFIDENTIELS;
 RÉCEPTION DE POURRIELS (COURRIELS INDÉSIRABLES/HAMEÇONNAGE).

1
Voir en annexe I le « Guide de déclaration des incidents de sécurité numérique », dédié aux utilisateurs
afin de les inciter à déclarer certains types d’incidents.

Processus de gestion des incidents et des problèmes Guide de référence Page 3 de 17

 2.1.Utilisation illégale d’un mot de passe ou usurpation d’une identité
Lorsqu’un client suspecte que l’usurpation de son identifiant et de son mot de passe,
il est prudent de prendre certaines précautions pour éviter que la situation ne se
reproduise.

Dans tous les cas, vous devez :

 Entrer la requête dans C² :

File de requêtes  Incident
TELROUGE

Catégorie  Sécurité
DIGD-SAC-

Sous-catégorie  USURPATION D'IDENTITÉ

 Changer le mot de passe réseau de l’usager avec un mot de passe temporaire
prédéfini par le SAC.
 Aviser le client de ne plus utiliser son poste de travail.
 Transférer la requête au groupe de support niveau 2.
 Informer qu’un technicien se déplacera immédiatement pour procéder à la
DIGD-SAC-MOBILE

cueillette d’informations préliminaire à une enquête2.

 Immédiatement après la cueillette d’informations, le technicien doit demander
à l’usager de changer son mot de passe.
 De retour à son bureau, le technicien doit procéder à la modification de la
requête et transfert3 de cette requête au responsable de la sécurité au Service à
la Clientèle pour analyse des informations4.
 Fermer la requête.

2
Voir section 3 de ce document.
3
Voir section 4 de ce document.
4
Voir section 5 de ce document.

Processus de gestion des incidents et des problèmes Guide de référence Page 4 de 17

 2.2.Présence d’un virus, d’un ver, d’un cheval de Troie ou d’une
bombe logique
Lorsqu’un client mentionne que son poste affiche un comportement bizarre, comme
des messages singuliers à l’écran, il est possible qu’il soit infecté par un ou des virus.
Dans ce cas, il est important de réagir rapidement pour éviter une propagation dans
tout le ministère et/ou pour éviter la perte de données ou même perdre l’intégralité
du poste de travail.

Dans tous les cas, vous devez :

 Entrer la requête dans C² :

File de requêtes  Incident
Catégorie  Sécurité
Sous-catégorie  ANTI-VIRUS / INFECTION (VIRUS, VER, CHEVAL DE TROIE)
DIGD-SAC-TELROUGE

 Prendre le contrôle à distance et faire un imprimé-écran de ce que le client

voit (message de virus en provenance de l’antivirus ou tout autre message).
 Insérer cette image dans une note dans la requête C².
 Noter toutes autres informations pouvant être utiles dans la requête. Vérifier,
entre autres, auprès du client, s’il connaît la source de cette infection (courrier,
page web, document, etc.).
 Demander au client de laisser le poste dans cet état et de débrancher le fil
réseau de son ordinateur pour éviter la propagation.
 Aviser le client de ne plus utiliser son poste de travail et qu’un technicien
interviendra rapidement sur son poste de travail et transférer la requête au
groupe de support niveau 2.
 Le technicien de support niveau 2 doit d’abord s’assurer que les fichiers de
définitions de virus, ainsi que le moteur d’analyse, soient à jour sur le poste du
client.
 Ensuite, faire une analyse complète du poste de travail avec les outils
appropriés fournis par le ministère. Prendre en note les virus trouvés et les
autres informations recueillies au cours de l’analyse.
DIGD-SAC-MOBILE

 Rebrancher le fil réseau lorsque le poste est devenu sécuritaire et s’assurer que
le poste fonctionne bien avant de quitter.
 De retour à son poste de travail, le technicien doit saisir l’information
recueillie à l’analyse du poste dans la requête C².
 Rechercher sur le site web du fournisseur d’antivirus, des informations
relatives aux dangers et aux risques potentiels du virus trouvé. Si le virus
présente un danger potentiel pour la sécurité du ministère ou si un risque élevé
de propagation est possible, aviser immédiatement le responsable de la
sécurité au Service à la Clientèle. Au besoin, suivre les instructions qu’il vous
aura fournies.
 Documenter la requête C².
 Fermer la requête.

Note :Si les virus ne peuvent être supprimés, il est préférable de réinstaller le poste au
complet. Si plusieurs appels sont logés à propos d’un même virus, aviser immédiatement le
responsable de la sécurité du Service à la Clientèle.

Processus de gestion des incidents et des problèmes Guide de référence Page 5 de 17

 2.3.Intrusion ou tentative d’intrusion dans une application ou un
fichier
Lorsqu’un client suspecte que quelqu’un aurait utilisé une application ou eu accès à
un ou des fichiers, il est prudent de prendre certaines précautions pour éviter que la
situation se reproduise.

Dans tous les cas, vous devez :

 Entrer la requête dans C² :

File de requêtes  Incident
TELROUGE
DIGD-SAC-

Catégorie  Sécurité
Sous-catégorie  INTRUSION (ORDINATEUR, APPLICATION, FICHIER)
 Aviser le client de ne plus utiliser son poste de travail et qu’un technicien se
déplacera immédiatement.
 Transférer la requête au groupe de support niveau 2.
 Procéder à la cueillette d’informations préliminaire à une enquête.
DIGD-SAC-

 De retour à son bureau, le technicien doit procéder à la modification de la

MOBILE

requête et transfert de cette requête au responsable de la sécurité au Service à

la Clientèle pour analyse des informations.
 Fermer la requête.

Processus de gestion des incidents et des problèmes Guide de référence Page 6 de 17

 2.4.Installation d’un logiciel à votre insu (spyware)
Lorsqu’un client mentionne que son poste est devenu lent, que de multiples fenêtres
apparaissent sans raison lors de la navigation sur Internet, que des icônes sont
apparues sur son bureau ou dans la barre des tâches ou qu’une barre d’outils s’est
installée dans son fureteur, il est fort probable que le poste soit affecté par un logiciel
espion.

Dans ce cas, avant que la situation ne s’aggrave et que la sécurité des informations
personnelles et des données de l’usager et/ou du ministère soient compromises, il
faut prendre les mesures nécessaires pour remettre le poste en bon état de marche en
détruisant toute présence de ce type de logiciel.

Dans tous les cas, vous devez :

 Entrer la requête dans C² :

File de requêtes  Incident
TELROUGE
DIGD-SAC-

Catégorie  Sécurité
Sous-catégorie  LOGICIEL ESPION
 Aviser le client de ne plus utiliser son poste de travail et l’aviser qu’un
technicien le contactera ou se déplacera sur place.
 Transférer la requête au groupe de support niveau 2.
 En contrôle à distance ou sur place chez le client, fermer les logiciels ouverts.
 Dans le panneau de configuration, supprimer tous les logiciels inutiles et
potentiellement dangereux (ex. : les barres d’outils, les programmes de météo,
etc.). Si le technicien doute de la pertinence d’un logiciel, vérifier auprès du
client et/ou du responsable de la sécurité au Service à la Clientèle.
DIGD-SAC-MOBILE

 Supprimer le contenu des dossiers temporaires (« C:\windows\temp\ » et

dossier « temp » du profil du client).
 Supprimer la cache d’Internet Explorer, les fichiers témoins (cookies) ainsi
que l’historique.
 Supprimer les entrées louches des clés de registre « Run » des ruches
« Current_User » et « Local_Machine ». Le technicien peut demander l’aide
du responsable de la sécurité au Service à la Clientèle.
 Faire ensuite une analyse complète du poste de travail avec les outils
appropriés fournis par le ministère.
 Redémarrer et s’assurer que les logiciels espions ne se sont pas réinstallés.
 Si tout est redevenu normal, fermer la requête.

Note : Si les logiciels espions ne peuvent être supprimés, il est préférable de réinstaller le poste
au complet.

Processus de gestion des incidents et des problèmes Guide de référence Page 7 de 17

 2.5.Utilisation d’un ordinateur par une personne non autorisée en
l’absence d’un employé
Lorsqu’un employé remarque qu’un individu quelconque utilisant le poste d’un
collègue absent, il est préférable d’interroger cette personne pour tenter de
l’identifier et de justifier sa présence. Après discussion, il est préférable de vérifier
auprès des autres collègues et supérieurs s’ils sont au courant de la présence de cet
individu. Au besoin, contacter la sécurité de l’édifice ou la Police et, ensuite,
contacter le Service à la Clientèle pour entreprendre une enquête.

Par contre, si l’individu a déjà quitté les lieux, l’employé doit contacter
immédiatement le Service à la Clientèle pour entreprendre une enquête.

Dans tous les cas, vous devez :

 Entrer la requête dans C² :

File de requêtes  Incident
TELROUGE
DIGD-SAC-

Catégorie  Sécurité
Sous-catégorie  UTILISATION NON AUTORISÉE D'UN ORDINATEUR
 Aviser le client de ne plus utiliser son poste de travail et qu’un technicien se
déplacera immédiatement.
 Transférer la requête au groupe de support niveau 2.
 Procéder à la cueillette d’informations préliminaire à une enquête.
DIGD-SAC-
MOBILE

 De retour à son bureau, le technicien doit procéder à la modification de la

requête et transfert de cette requête au responsable de la sécurité au Service à
la Clientèle pour analyse des informations.
 Fermer la requête.

Processus de gestion des incidents et des problèmes Guide de référence Page 8 de 17

 2.6.Utilisation inappropriée d’une ressource informationnelle, vol,
méfait ou sabotage
Lorsqu’un client mentionne qu’une personne utilise, brise ou s’empare d’un
équipement informatique de façon inappropriée, les autorités doivent être
immédiatement averties pour enclencher les démarches nécessaires pour remédier à
la situation.

Vous devez :

 Aviser le client de ne plus utiliser son poste de travail et le référer

immédiatement à son gestionnaire qui, lui, contactera le directeur des
DIGD-SAC-TELROUGE

Ressources humaines, monsieur Jocelyn Lessard (418-528-0843).

 L’entrée d’une requête dans C² sera effectuée seulement si les Ressources
humaines demandent de faire enquête. Dans ce cas, le responsable de la
sécurité au SAC doit :
 Entrer la requête dans C² :
File de requêtes  Incident
Catégorie  Sécurité
Sous-catégorie  VOL, MÉFAIT, SABOTAGE
 Procéder à la cueillette d’informations préliminaire à une enquête.
DIGD-SAC-
MOBILE

 Modifier la requête selon les informations recueillies et enclencher le

processus d’enquête.
 Fermer la requête.

Processus de gestion des incidents et des problèmes Guide de référence Page 9 de 17

 2.7.Divulgation de renseignements personnels ou confidentiels
Lorsqu’un client pense que certains renseignements personnels ou confidentiels, qui
lui sont propres ou propres au Ministère, ont été volés, ce dernier doit aviser son
gestionnaire le plus rapidement possible pour que les démarches nécessaires soient
mises en route.

La divulgation de renseignements peut se faire de plusieurs façons. En effet, cette

fuite peut être causée par l’utilisation non autorisée d’un poste de travail, de
l’infection d’un poste par un virus informatique ou par un logiciel espion installé à
l’insu de l’utilisateur ou même par des courriers indésirables reçus qui sont de type
« hameçonnage ». Dans ces cas, un technicien du Service à la Clientèle prendra les
moyens nécessaires pour éliminer la source de ces fuites de renseignements.

Dans tous les cas, vous devez :

 Aviser le client de ne plus utiliser son poste de travail et le référer

DIGD-SAC-TELROUGE

immédiatement à son gestionnaire qui, lui, contactera, au besoin, le

responsable de la sécurité de l’information numérique (RSIN).
 À la demande du RSIN, le responsable de la sécurité au SAC doit :
 Saisir la requête dans C² :
File de requêtes  Incident
Catégorie  Sécurité
Sous-catégorie  RENSEIGNEMENTS PERSONNELS OU
CONFIDENTIELS
 Procéder à la cueillette d’informations préliminaire à une enquête.
DIGD-SAC-MOBILE

 Effectuer toutes les interventions des incidents « Présence d’un virus, d’un
ver, d’un cheval de Troie ou d’une bombe logique », « Installation d’un
logiciel à votre insu (spyware) » et « Réception de pourriels (courriels
indésirables/hameçonnage) ».
 Modifier la requête selon les informations recueillies et enclencher le
processus d’enquête.
 Fermer la requête.

Processus de gestion des incidents et des problèmes Guide de référence Page 10 de 17

 2.8.Réception de pourriels (courriels indésirables/hameçonnage)
Le courrier indésirable est une réalité à laquelle l’ensemble de la collectivité est
maintenant confronté et la lutte pour enrayer ce fléau est impossible. Toutefois, si
nous ne pouvons empêcher ce type de courrier d’arriver à nos boîtes aux lettres, nous
pouvons, par certaines actions, en minimiser les effets.

Si certains courriers indésirables sont facilement identifiables et gérables, comme

ceux en provenance d’adresses inconnues, ils deviennent plus difficiles à identifier
lorsqu’ils proviennent d’une personne connue. Dans tous les cas, il faut indiquer au
client comment il peut gérer lui-même les courriers indésirables à l’aide du
collecticiel GroupWise en construisant des règles de courrier indésirable selon les
informations reçues, dont l’identification de l’expéditeur (adresse complète ou nom
de domaine) ou par le contenu du courrier (mots clés).

De plus, le Service des technologies informatiques (STI) s’est doté d’un système
empêchant la réception de courriels selon des règles précises définies par le
Ministère. En effet, ce système envoie à l’usager une notification de courrier
indésirable reçu et ce dernier peut décider de bloquer tel ou tel courriel et d’en
accepter d’autres.

Par contre, dans les cas où l’usager et le technicien ont des doutes, la procédure à
suivre est la suivante :

 Dans la requête C² :

File de requêtes  Incident
Catégorie  Sécurité
Sous-catégorie  COURRIER INDÉSIRABLE / HAMEÇONNAGE
 En contrôle à distance, enregistrer le fichier « mime.822 » à un endroit
temporaire sur le poste du client (ouvrir le courrier  Fichier  Enregistrer
sous…  Enregistrer le fichier « mime.822 ») (fonctionne seulement pour les
fichiers en provenance de l’extérieur du ministère).
 Compresser ce fichier en « mime.zip ».
DIGD-SAC-TELROUGE

 Faire suivre le courrier en question à « Téléphone-Rouge » et y joindre le

fichier « mime.zip ».
 Dans la requête, créer une nouvelle note.
 Copier le contenu du courrier dans la zone de texte de la note.
 Copier l’objet du courrier dans le sujet de la note.
 Insérer le fichier « mime.zip » en pièce jointe et sauvegarder la note.
 Assigner le responsable de la sécurité du Service à la Clientèle à cette requête
afin qu’il juge de la nécessité d’analyser cet incident et sauvegarder la requête.
 Selon de que juge le responsable de la sécurité du Service à la Clientèle :
 Si aucune intervention supplémentaire n’est nécessaire, assurez-vous
de recueillir ses commentaires, de les inscrire dans la requête, ensuite
vous pouvez fermer la requête.
 Sinon, suivre les instructions que le responsable vous fournira.
 Fermer la requête.

Processus de gestion des incidents et des problèmes Guide de référence Page 11 de 17

 Note : Si nécessaire, responsable de la sécurité au Service à la Clientèle sollicitera
l’implication du STI, du SSI ou du RSIN.

Processus de gestion des incidents et des problèmes Guide de référence Page 12 de 17

3. CUEILLETTE D’INFORMATIONS PRÉLIMINAIRE À UNE
ENQUÊTE (POSTE DE TRAVAIL)

Important : Rester discret et, surtout, ne révéler aucune information à l’utilisateur ou au

gestionnaire.

3.1.Étapes générales.
Note : Ces étapes sont décrites plus bas dans ce document.
 Noter la ou les dates suspectées par le client.
 Noter les autres observations faites par le client.
 Si une session utilisateur est ouverte sur le poste, procéder dans cet ordre :
o Recueillir les informations propres à la session en cours.
o Recueillir les informations contenant des indices comme pièces à
conviction (ADM).
o Prendre une copie de sécurité intégrale du poste de travail.
 Si aucune session n’est ouverte sur le poste :
o Prendre une copie de sécurité intégrale du poste de travail.
o Recueillir les informations contenant des indices comme pièces à
conviction (ADM).

3.2.Prendre une copie de sécurité intégrale du poste de travail.

 Faire une copie complète du poste de travail selon les normes en vigueur au
ministère et noter précisément le chemin et le nom du fichier créé pour en
faire référence dans la requête.

3.3.Recueillir les informations propres à la session en cours.

 Faire un imprimé-écran de toutes les fenêtres présentement ouvertes.
 Noter le compte actuellement connecté (noter les informations du panneau
« Sécurité Novell » (CRTL+ALT+SUPPR)).
 Faire un imprimé-écran des fichiers récemment ouverts (Menu démarrer 
Documents).
 Dans les programmes Office (Word, Excel, Powerpoint, etc.), noter les
fichiers récemment ouverts.
 Faire les imprimés-écrans nécessaires de l’historique d’Internet Explorer
(développer tous les jours et semaines).
 Fermer la session en cours et passer à l’étape suivante afin de recueillir des
informations avec votre compte « ADM ».

Processus de gestion des incidents et des problèmes Guide de référence Page 13 de 17

 3.4.Recueillir les informations contenant des indices comme pièces à
conviction (ADM)
 Si aucun compte n’est présentement connecté, se connecter avec votre
compte « ADM ».
 Lancer une recherche de fichier sur le lecteur « C:\ » pour y rechercher tous
les fichiers nommés « ntuser.dat ».
o Prendre un imprimé-écran du résultat et l’enregistrer sur votre clé
USB, en format .jpg, et noter les dates pouvant être suspectes.

 Lancer une recherche sur le disque afin de lister tous les fichiers présents sur
le disque (date de dernière modification).
o Aller en invite de commande (CMD) et lancer la commande
suivante :
 DIR C:\ /S /Q /TW /OD > "<CHEMIN VOTRE CLÉ USB>:\C-<NOM DE
L’ORDINATEUR>-MODIF.TXT"
 Lancer une dernière recherche sur le disque afin de lister tous les fichiers
présents sur le disque (date du dernier accès).
o Aller en invite de commande (CMD) et lancer la commande
suivante :
 DIR C:\ /S /Q /TA /OD > "<CHEMIN VOTRE CLÉ USB>:\C-<NOM DE
L’ORDINATEUR>-ACCES.TXT"

Processus de gestion des incidents et des problèmes Guide de référence Page 14 de 17

  Exporter les journaux d’événements Windows.

o Enregistrer, sur votre clé USB, une copie de chaque journal en

respectant cette nomenclature <Nom du journal> - <Nom du poste>
- <yyyy-mm-jj>.evt (EX : Sécurité-B9999-2008-08-27.evt)

4. MODIFICATION DE LA REQUÊTE C² ET TRANSFERT

 De retour à votre bureau, ajouter dans la requête C², dans une note, les
imprimés-écrans, les fichiers de journaux et toutes autres informations
pertinentes à l’enquête que vous avez recueillies auprès du client ou observées
dans votre collecte d’informations.
 Sauvegarder la requête et la transférer au responsable de la sécurité au Service à
la Clientèle.

Processus de gestion des incidents et des problèmes Guide de référence Page 15 de 17

5. ANALYSE DES INFORMATIONS
 Transférer les données (fichiers, images, texte, etc.) reçues dans le répertoire
prévu à cette fin pour les enquêtes.

Note : Toutes les données recueillies seront emmagasinées dans un dossier identifié au numéro
de la requête C² dans le répertoire « U:\Sécurité\domaine\9_incidents\enquêtes\ » et retirées de
la requête C² par le responsable de la sécurité au Service à la Clientèle .

 Avec les informations incluses dans le répertoire identifié au numéro de la

requête, le responsable de la sécurité au SAC doit juger s’il y a matière à des
recherches plus approfondies pour trouver d’autres preuves confirmant les
déclarations du demandeur.

 S’il y a matière à enquête, le responsable de la sécurité au SAC doit :

o Modifier le champ « Tâche principale » de la requête C² pour y
sélectionner le mot « Enquête ».
o Débuter le processus d’enquête.
o Selon la gravité des résultats de l’enquête, déterminer, avec le RSIN et/ou
toute autre autorité compétente, la manière et qui avisera le client.
o Détruire les données après réception d’une confirmation de la part du
RSIN.
o Fermer la requête.

 S’il n’y a pas matière à enquête, le responsable de la sécurité au SAC doit :

o Modifier la requête pour y inscrire ces conclusions et les raisons pourquoi
il n’y a pas matière à enquête.
o Aviser le technicien en charge de la cueillette d’informations pour qu’il
fasse part des conclusions au client.
o Détruire les données une semaine après la cueillette d’informations.
o Fermer la requête.

Processus de gestion des incidents et des problèmes Guide de référence Page 16 de 17

6. PROCESSUS D’ENQUÊTE
 Avec l’aide de l’autorité demandant l’enquête, le responsable de la sécurité au
Service à la Clientèle doit déterminer le type d’informations à rechercher.
 Selon le type d’informations à rechercher, utiliser les méthodes nécessaires pour
trouver les preuves demandées.
 Selon les informations recueillies lors de l’enquête, rédiger un rapport, avisant
l’autorité ayant demandé l’enquête, des conclusions de l’enquête et des
recommandations jugées pertinentes.

Note : Si nécessaire, responsable de la sécurité au Service à la Clientèle sollicitera l’implication

du STI, du SSI ou du RSIN.

Processus de gestion des incidents et des problèmes Guide de référence Page 17 de 17