Comment rédiger un plan d'intervention efficace en cas d'incident
Publié le: 18 Mai 2021
Dernière modification le: 8 Sep 2025
Savoir comment rédiger un plan d’intervention en cas d’incident repose sur les capacités des personnes. Si le personnel est pleinement conscient et formé pour signaler et gérer un incident, cet événement sera traité efficacement.
Faire l’expérience d’un incident de sécurité de l’information n’est pas quelque chose que l’on souhaite vivre, mais malheureusement, la gestion d’un incident de sécurité est une question de quand et non de si. Les organisations qui subissent un incident de cybersécurité ne sont certainement pas les seules. Selon le Forum économique mondial (WEF), la cybersécurité est l’un des risques les plus urgents pour l’économie mondiale. Le rapport souligne toutefois que les efforts multilatéraux permettent d’atténuer l’impact d’une cyberattaque.
« Lesefforts de collaboration en matière de réponse aux incidents et de partage d’informations visent à centraliser les capacités de cybersécurité afin de réduire l’impact des cyberattaques« .
Un plan de réponse aux incidents fait partie de ces efforts. Voici un aperçu des raisons pour lesquelles vous en avez besoin et de ce qu’implique la création d’un plan de réponse aux incidents.
Pourquoi avons-nous besoin d’un plan de réponse aux incidents ?
L’enquête dugouvernement britanniquesur les atteintes à la cybersécurité (Cyber Security Breaches Survey 2021) a révélé que 27 % des entreprises britanniques ont subi une atteinte à la protection des données et sont attaquées au moins une fois par semaine, 39 % d’entre elles ayant perdu de l’argent et/ou des actifs. La gestion de cet assaut de cybermenaces nécessite un plan d’intervention en cas d’incident. Ce plan fournit un modèle de réponse efficace en cas d’incident de sécurité, tel qu’un logiciel malveillant, un ransomware ou un accès non autorisé.
Les violations de données sont rarement réalisées soudainement : le rapport IBM « Cost of a Data Breach 2020 » souligne qu’en 2019, il a fallu en moyenne 207 jours pour identifier une violation de données, puis 73 jours pour la contenir ; cela représente un « cycle de vie » moyen de 280 jours pour réduire l’impact sur les opérations d’une entreprise.
L’élaboration d’un plan d’intervention en cas d’incident peut contribuer à réduire le temps nécessaire à la maîtrise d’une violation de données et à gérer les conséquences de manière rapide et efficace. Le temps est un facteur essentiel en ce qui concerne les règles de notification des violations de données, car diverses réglementations, dont la DPA2018 et le GDPR, prévoient une notification dans les 72 heures suivant la survenance d’une violation. Un plan d’intervention en cas d’incident informera les responsables de la sécurité et de la conformité sur la manière de réagir à l’incident et fournira les détails nécessaires à la notification d’une violation.
Que comprend un plan de réponse aux incidents ?
La création d’un plan de réponse à un incident est un processus qui implique une approche logique de la préparation, de la détection, de la réponse et de la récupération d’un incident. Avoir une vision claire et sans ambiguïté de ce qu’il faut faire lorsque le pire scénario se produit peut faire la différence entre des conséquences désastreuses et une progression sans heurts.
Le cahier des charges d’un plan d’intervention en cas d’incident doit couvrir les points suivants :
Préparer
Comme le savent tous les bons bricoleurs, la préparation est la partie la plus importante d’un travail. Il en va de même lors de l’élaboration d’un plan de réponse aux incidents. La préparation du plan commence par les personnes.
Rôles et responsabilités : Qui est responsable de quelle action en cas d’incident ? Identifiez une équipe de réponse aux incidents pour le traitement des incidents. Cette équipe doit également se référer aux clauses pertinentes de la politique de sécurité mise en place par votre entreprise. La formation du personnel est un élément essentiel de la préparation et de la mise en œuvre du plan de réponse aux incidents.
Inventaire des ressources : Créez une liste des actifs dans tous les départements.
Évaluation des risques: Identifiez les zones à risque ainsi que l’emplacement et la classification des actifs. Déterminez les niveaux de risque de chacun en fonction de la probabilité d’une attaque et de la gravité d’un incident. Établissez la capacité à faire face à une attaque contre ces actifs.
Types d’incidents : Quels sont les types d’incidents probables et qu’est-ce qui constitue un incident ? En cas d’incident, qui est chargé de lancer le processus de gestion des incidents ? Les organisations doivent également définir les critères d’escalade pour les différents types d’incidents.
Cartographie des règlements : Documentez les réglementations pertinentes et les exigences à respecter en cas d’incident. Créez des lignes directrices pour l’interaction avec les autorités externes après l’incident.
Registre des incidents : Incluez un journal pour gérer le processus de réponse aux incidents. Cela peut également s’avérer utile pour répondre aux exigences de conformité réglementaire.
Détecter
Cette deuxième étape du processus de planification de la réponse aux incidents concerne la surveillance, la détection et l’alerte lorsqu’un incident se produit.
Stratégie de détection : Quels sont les outils et les mesures utilisés pour détecter un incident ? Cela doit inclure les menaces connues, inconnues et présumées. Par exemple, déployez-vous des outils de balayage du réseau, de détection et de réponse des points finaux (EDR), etc.
Alertes: Quels sont les systèmes utilisés pour alerter d’une éventuelle violation ?
Évaluation des violations: Comment votre organisation va-t-elle repérer les vulnérabilités du jour zéro ou les menaces persistantes avancées (APT) ? Une « évaluation de la compromission » peut être utilisée pour localiser les failles de sécurité inconnues et les accès non autorisés aux comptes.
Répondre
La manière dont une organisation réagit à une violation est essentielle pour minimiser l’exposition des données et limiter les dommages. La réponse à un incident couvre plusieurs domaines tels que le triage des alertes, un aspect important pour éviter les tentatives erronées de réponse à un incident. Le principal aspect couvert par la partie « réponse » d’un processus de réponse à un incident est de contenir et d’éliminer la menace. Le plan de réponse aux incidents doit couvrir les domaines suivants :
Évaluation d’une brèche: Comment quantifier l’étendue de la menace et déterminer si elle est réelle. Cela inclut la manière de trier les alertes.
Exercices de confinement: Une fois la menace identifiée, comment sera-t-elle contenue ? Il peut s’agir d’isoler les systèmes pour les protéger contre d’autres infections ou fuites de données.
Évaluation des paramètres de la violation: Quelle est la classification des données ayant fait l’objet d’une violation ? Les données étaient-elles sensibles ? La violation a-t-elle eu un impact sur les exigences réglementaires ?
Traiter toute infection/vulnérabilité : Quelle est la procédure générale pour supprimer les fichiers infectés et traiter les conséquences d’une infection.
Préserver les artefacts de l’infraction : Comment produire un journal de l’incident et de toute preuve médico-légale. Incluez le qui, le quoi, le pourquoi et le où de l’événement.
Préparez-vous à la notification d’une infraction: Le cas échéant, comment se préparer à toute notification de violation requise. Cela devrait inclure les avis publics et peut fournir des modèles.
Assurer la liaison avec les services juridiques et de conformité (et éventuellement avec les services chargés de l’application de la loi) : Précisez qui est chargé de traiter avec les services juridiques et de conformité et comment cela est géré.
Récupérer
Le rétablissement est la dernière partie du processus de réponse à un incident. Le plan de réponse aux incidents doit montrer comment l’entreprise se remet d’un incident, les leçons tirées et le type d’exercices de rétablissement à effectuer :
Exercices post-incident: Comment combler les lacunes découvertes lors de la réponse à l’incident.
Supprimer le risque: Supprimer le risque et remettre les systèmes dans l’état où ils étaient avant l’incident.
Rapport: Des conseils sur la création d’un rapport de réponse à l’incident pour aider à prévenir les incidents futurs. Mais aussi des lignes directrices sur la poursuite de la collecte et de la surveillance des données médico-légales afin de garantir une sécurité continue.
Cadres et normes pour la rédaction d’un plan de réponse aux incidents
Lors de la rédaction d’un plan d’intervention en cas d’incident, il peut être utile de s’appuyer sur les conseils d’autorités reconnues.
ISO 27001 – Annexe A.16: est une annexe à la norme internationale ISO 27001 qui donne des conseils utiles sur la manière d’établir un protocole de gestion du cycle de vie d’un incident de sécurité.
Processus de réponse aux incidents du NIST: Le NIST (National Institute of Standards and Technology) est une agence gouvernementale américaine. Le processus de réponse aux incidents du NIST détaille les quatre étapes mentionnées dans cet article.
Mise en œuvre d’un plan de réponse aux incidents
Une gestion efficace des événements, même dévastateurs, atténuera l’impact présent et futur d’un incident. La formation du personnel est toutefois un défi permanent qui est propre au plan de réponse aux incidents d’une organisation donnée. Chaque approche d’un incident sera différente ; chaque organisation a son propre ensemble de menaces et ses propres structures organisationnelles internes.
Un contenu de formation personnalisé peut être utilisé pour refléter le caractère unique de chaque organisation et son approche de la gestion des incidents. En créant un plan de réponse aux incidents personnalisé qui reflète la structure unique de votre organisation, vous pouvez vous assurer que vous atténuez les diverses menaces auxquelles une entreprise moderne est confrontée.
