Si vous vous êtes déjà demandé quelles sont les étapes pour gérer avec succès un incident de sécurité de l’information en IT, cet article vous aidera à comprendre le processus. Si vous ne vous êtes jamais posé cette question et que vous travaillez dans l’IT, vous devriez savoir comment les gérer, car malheureusement, nous ne vivons pas au pays des bisounours et ici, les choses ont tendance à mal tourner.
Pour commencer, il est important de noter qu’il existe différentes approches pour la gestion des incidents proposées par divers organismes, normes et cadres de travail. Comme nous le savons, lorsqu’il est possible de spécifier des standards ou des méthodes de travail, il y a toujours des organismes prêts à donner leur propre vision. En général, bien que ces visions puissent varier, elles partagent une base commune. Comme je le dis toujours, toutes ces normes (ISO 27001, ISO 22301, etc.), malgré leurs différences, reposent sur le bon sens.
Dans cet article, nous allons adopter une approche simplifiée en abordant six étapes. La première chose à comprendre est que pour gérer les incidents de sécurité de manière efficace, il faut investir beaucoup de temps dans la phase de préparation. Cela ne nécessite pas nécessairement un investissement financier, mais plutôt un investissement en temps. Il est recommandé de profiter des périodes de moindre activité pour concevoir, planifier, documenter et pratiquer les réponses aux incidents.
En outre, il est crucial de créer une politique de communication claire pour gérer les notifications externes de l’entreprise via les réseaux sociaux ou les notifications aux clients, tout en gérant les flux d’information internes sur l’avancement et le traitement de l’incident.
Il est également essentiel de promouvoir une culture d’apprentissage à partir des situations et des urgences passées, en adaptant de nouvelles méthodes et processus pour renforcer la posture de sécurité de l’organisation. L’objectif est d’améliorer continuellement la résilience de l’entreprise.
En suivant ces principes et en appliquant les étapes décrites ci-dessous, une entreprise IT peut atténuer l’impact d’un incident de sécurité et renforcer sa posture de sécurité à long terme.
Étapes de gestion d’un incident de sécurité
Étape 1 : Préparation
Cette phase est celle qui demande le plus de temps et d’efforts. Comme dans « 300 » de Frank Miller où Leonidas dit à son fils que « qui sue davantage à l’entraînement, saigne moins au combat », il est crucial pour les organisations d’investir du temps dans l’amélioration de leurs systèmes, de leur sécurité, de la formation de leurs employés et de leurs processus pour être mieux préparées à survivre à un incident de sécurité.
Cette étape comprend diverses activités comme la sensibilisation des employés, la formation des équipes techniques pour qu’elles sachent comment réagir dans différentes situations, etc. Elle implique également la définition de toutes les politiques de sécurité de l’organisation, y compris le développement et la documentation des politiques et procédures de réponse aux incidents, ainsi que la clarification des rôles et des responsabilités, surtout pour les personnes qui devront les assumer. Il est également crucial de définir des procédures spécifiques pour différents types d’incidents basées sur les risques identifiés.
Il faut également s’assurer d’avoir les outils et ressources nécessaires pour détecter, analyser et atténuer tout type d’incident de sécurité, tels que les logiciels de surveillance de sécurité, les gestionnaires de journaux, les pare-feu, et éventuellement des consultants en sécurité ou des experts en forensic.
Enfin, il est important d’organiser une équipe de réponse aux incidents de sécurité composée de membres possédant les compétences, les connaissances et les outils nécessaires pour faire face efficacement aux incidents de sécurité.
Étape 2 : Identification de l’incident
L’identification des incidents se divise généralement en deux sous-catégories : la détection et l’évaluation.
La détection utilise des outils de surveillance et de détection pour identifier les incidents de sécurité potentiels, incluant les systèmes de détection d’intrusions (IDS), les systèmes de prévention d’intrusions (IPS), les systèmes de gestion des informations et des événements de sécurité (SIEM), ainsi que diverses autres outils d’analyse des journaux.
L’évaluation permet, une fois l’incident potentiel identifié, d’évaluer sa nature et son étendue.
Il est crucial d’affiner continuellement les systèmes pour éliminer les faux positifs et ne retenir que les incidents réels nécessitant une réponse pour contenir l’incident.
Étape 3 : Contention de l’incident
À ce stade, il s’agit de minimiser l’impact de l’incident en prenant des mesures immédiates pour le contenir et empêcher sa propagation. Cela peut inclure le blocage des adresses IP suspectes, l’isolement des postes de travail infectés, le blocage des accès ou l’arrêt de processus sur un serveur.
Après la première vague de mesures immédiates, on passe à une contention à court terme pour atténuer l’impact de l’incident pendant qu’une solution permanente est développée par une équipe spécialisée. Cela peut inclure le blocage des comptes compromis, l’application de correctifs sur les serveurs ou la mise en place de nouvelles règles de pare-feu.
Étape 4 : Éradication de l’incident
L’éradication vise à identifier la cause profonde de l’incident afin de l’éliminer, suivie du nettoyage et de la récupération. Cela inclut la restauration des systèmes compromis, la récupération des sauvegardes, la correction des vulnérabilités des applications ou l’élimination des malwares. La phase de nettoyage consiste à s’assurer que tous les traces de l’incident ont été éliminées.
Étape 5 : Récupération de la normalité
L’objectif de cette phase est de restaurer le fonctionnement normal des services et systèmes de l’organisation pour que les opérations reprennent sans être affectées. Cela inclut la restauration des systèmes et des services affectés, la récupération des données à partir des sauvegardes, le formatage des systèmes et la réinstallation des logiciels nécessaires.
Il est recommandé de réaliser plusieurs analyses postérieures pour confirmer l’absence de menaces et la complète éradication de l’incident.
Étape 6 : Normalité post-incident
Une fois l’incident résolu, il est crucial de réaliser une rétrospective pour analyser ce qui a bien fonctionné, ce qui a échoué et ce qui peut être amélioré. Cette évaluation inclut l’examen de l’efficacité des processus, des politiques et de la performance de l’équipe de réponse aux incidents.
Des améliorations et mises à jour doivent être mises en place basées sur les leçons apprises, en mettant l’accent sur la formation du personnel selon les erreurs identifiées ou les besoins détectés. Il est également essentiel de documenter tous les aspects de l’incident, y compris les procédures de détection, de réponse et les leçons apprises.
Bonus : Communication
En plus des étapes décrites, la communication est un aspect transversal à toutes les étapes. Il est essentiel d’avoir une politique de notifications des incidents pour les parties prenantes, incluant les membres de la direction, les départements concernés, les clients et les autorités si nécessaire.
La gestion des communications doit être préparée conjointement par le département des systèmes, le département de sécurité (s’il existe), la production, etc. Cependant, les communications externes doivent être gérées par le département marketing et/ou communication, car ils sont habitués à transmettre les messages de manière efficace.
Conclusion
Comme nous l’avons vu, la gestion des incidents de sécurité de l’information en IT n’est pas unique et peut suivre différents cadres internationaux et nationaux. En suivant les étapes décrites, une entreprise peut gérer les incidents de sécurité de manière plus efficace, à condition d’avoir le soutien de la direction et d’investir du temps dans la préparation lorsqu’il n’y a pas d’incidents en cours.
Si vous souhaitez en savoir plus sur la sécurité, nous vous recommandons de consulter ces autres articles de notre blog :
- Le véritable coût de l’absence d’investissement en sécurité
- 5 problèmes typiques de sauvegardes et comment les résoudre
- Stratégie de sauvegarde 3-2-1 : comment l’appliquer dans votre organisation ?
- Les 5 principales causes de perte de données dans les PME
- Comment évaluer les risques et menaces dans les PME
- Pourquoi le Disaster Recovery est-il si éprouvant ?