Académique Documents
Professionnel Documents
Culture Documents
Guide de référence
Service à la clientèle
1. INTRODUCTION........................................................................................................................................3
6. Processus d’enquête..............................................................................................................................16
1. INTRODUCTION
1
Voir en annexe I le « Guide de déclaration des incidents de sécurité numérique », dédié aux utilisateurs
afin de les inciter à déclarer certains types d’incidents.
Catégorie Sécurité
DIGD-SAC-
2
Voir section 3 de ce document.
3
Voir section 4 de ce document.
4
Voir section 5 de ce document.
Rebrancher le fil réseau lorsque le poste est devenu sécuritaire et s’assurer que
le poste fonctionne bien avant de quitter.
De retour à son poste de travail, le technicien doit saisir l’information
recueillie à l’analyse du poste dans la requête C².
Rechercher sur le site web du fournisseur d’antivirus, des informations
relatives aux dangers et aux risques potentiels du virus trouvé. Si le virus
présente un danger potentiel pour la sécurité du ministère ou si un risque élevé
de propagation est possible, aviser immédiatement le responsable de la
sécurité au Service à la Clientèle. Au besoin, suivre les instructions qu’il vous
aura fournies.
Documenter la requête C².
Fermer la requête.
Note :Si les virus ne peuvent être supprimés, il est préférable de réinstaller le poste au
complet. Si plusieurs appels sont logés à propos d’un même virus, aviser immédiatement le
responsable de la sécurité du Service à la Clientèle.
Catégorie Sécurité
Sous-catégorie INTRUSION (ORDINATEUR, APPLICATION, FICHIER)
Aviser le client de ne plus utiliser son poste de travail et qu’un technicien se
déplacera immédiatement.
Transférer la requête au groupe de support niveau 2.
Procéder à la cueillette d’informations préliminaire à une enquête.
DIGD-SAC-
Dans ce cas, avant que la situation ne s’aggrave et que la sécurité des informations
personnelles et des données de l’usager et/ou du ministère soient compromises, il
faut prendre les mesures nécessaires pour remettre le poste en bon état de marche en
détruisant toute présence de ce type de logiciel.
Catégorie Sécurité
Sous-catégorie LOGICIEL ESPION
Aviser le client de ne plus utiliser son poste de travail et l’aviser qu’un
technicien le contactera ou se déplacera sur place.
Transférer la requête au groupe de support niveau 2.
En contrôle à distance ou sur place chez le client, fermer les logiciels ouverts.
Dans le panneau de configuration, supprimer tous les logiciels inutiles et
potentiellement dangereux (ex. : les barres d’outils, les programmes de météo,
etc.). Si le technicien doute de la pertinence d’un logiciel, vérifier auprès du
client et/ou du responsable de la sécurité au Service à la Clientèle.
DIGD-SAC-MOBILE
Note : Si les logiciels espions ne peuvent être supprimés, il est préférable de réinstaller le poste
au complet.
Par contre, si l’individu a déjà quitté les lieux, l’employé doit contacter
immédiatement le Service à la Clientèle pour entreprendre une enquête.
Catégorie Sécurité
Sous-catégorie UTILISATION NON AUTORISÉE D'UN ORDINATEUR
Aviser le client de ne plus utiliser son poste de travail et qu’un technicien se
déplacera immédiatement.
Transférer la requête au groupe de support niveau 2.
Procéder à la cueillette d’informations préliminaire à une enquête.
DIGD-SAC-
MOBILE
Vous devez :
Effectuer toutes les interventions des incidents « Présence d’un virus, d’un
ver, d’un cheval de Troie ou d’une bombe logique », « Installation d’un
logiciel à votre insu (spyware) » et « Réception de pourriels (courriels
indésirables/hameçonnage) ».
Modifier la requête selon les informations recueillies et enclencher le
processus d’enquête.
Fermer la requête.
De plus, le Service des technologies informatiques (STI) s’est doté d’un système
empêchant la réception de courriels selon des règles précises définies par le
Ministère. En effet, ce système envoie à l’usager une notification de courrier
indésirable reçu et ce dernier peut décider de bloquer tel ou tel courriel et d’en
accepter d’autres.
Par contre, dans les cas où l’usager et le technicien ont des doutes, la procédure à
suivre est la suivante :
3.1.Étapes générales.
Note : Ces étapes sont décrites plus bas dans ce document.
Noter la ou les dates suspectées par le client.
Noter les autres observations faites par le client.
Si une session utilisateur est ouverte sur le poste, procéder dans cet ordre :
o Recueillir les informations propres à la session en cours.
o Recueillir les informations contenant des indices comme pièces à
conviction (ADM).
o Prendre une copie de sécurité intégrale du poste de travail.
Si aucune session n’est ouverte sur le poste :
o Prendre une copie de sécurité intégrale du poste de travail.
o Recueillir les informations contenant des indices comme pièces à
conviction (ADM).
Lancer une recherche sur le disque afin de lister tous les fichiers présents sur
le disque (date de dernière modification).
o Aller en invite de commande (CMD) et lancer la commande
suivante :
DIR C:\ /S /Q /TW /OD > "<CHEMIN VOTRE CLÉ USB>:\C-<NOM DE
L’ORDINATEUR>-MODIF.TXT"
Lancer une dernière recherche sur le disque afin de lister tous les fichiers
présents sur le disque (date du dernier accès).
o Aller en invite de commande (CMD) et lancer la commande
suivante :
DIR C:\ /S /Q /TA /OD > "<CHEMIN VOTRE CLÉ USB>:\C-<NOM DE
L’ORDINATEUR>-ACCES.TXT"
Note : Toutes les données recueillies seront emmagasinées dans un dossier identifié au numéro
de la requête C² dans le répertoire « U:\Sécurité\domaine\9_incidents\enquêtes\ » et retirées de
la requête C² par le responsable de la sécurité au Service à la Clientèle .