MetaBlog

Restez informé des sujets de formation à la cyber-sensibilisation et atténuez les risques dans votre organisation.

Comment rédiger un plan de réponse aux incidents

Plan de réponse aux incidents

sur l auteur

partager c'est prendre soin

Un plan de réponse aux incidents réussi s'appuie sur les capacités des personnes. Si le personnel est pleinement conscient et formé pour signaler et gérer un incident, cet événement sera traité efficacement.

Subir un incident de sécurité de l'information n'est pas quelque chose que l'on souhaite vivre, mais malheureusement, faire face à un incident de sécurité est une question de quand et non de si. Les organisations qui subissent un incident de cybersécurité ne sont certainement pas les seules. Selon le Forum économique mondial (WEF), la cybersécurité est l'un des risques les plus urgents pour l'économie mondiale. Le rapport souligne toutefois que les efforts multilatéraux permettent d'atténuer l'impact d'une cyberattaque.

"Lesefforts de collaboration en matière de réponse aux incidents et de partage des informations tentent de centraliser les capacités de cybersécurité afin de réduire l'impact des cyberattaques."

Un plan de réponse aux incidents est l'un de ces efforts. Voici un aperçu de la raison pour laquelle vous en avez besoin et de ce qu'implique la création d'un plan de réponse aux incidents.

Pourquoi avons-nous besoin d'un plan de réponse aux incidents ?

L'enquêtedu gouvernement britannique intitulée "Cyber Security Breaches Survey 2021" a révélé que 27 % des entreprises britanniques ont subi une violation de données et sont attaquées au moins une fois par semaine, 39 % perdant de l'argent et/ou des actifs. La gestion de ce déluge d'attaques nécessite la mise en place d'un plan de réponse aux incidents. Ce plan fournit un modèle de réponse efficace lorsqu'un incident de sécurité se produit.

Les violations de données sont rarement réalisées de manière soudaine : le rapport IBM "Cost of a Data Breach 2020" souligne qu'en 2019, il a fallu, en moyenne, 207 jours pour identifier une violation de données, puis 73 jours pour la contenir ; soit un "cycle de vie" moyen de 280 jours pour atténuer l'impact d'une violation de données sur les activités d'une entreprise.

Disposer d'un plan de réponse aux incidents peut aider à minimiser le temps nécessaire pour contenir une violation de données et à gérer les conséquences rapidement et efficacement. Le temps est un facteur essentiel en termes de règles de notification des violations, car diverses réglementations, dont la loi DPA2018 et le GDPR, prévoient une notification dans les 72 heures suivant la survenue d'une violation. Un plan de réponse aux incidents informera les responsables de la sécurité et de la conformité sur la manière de répondre à l'incident et fournira les détails nécessaires à la notification de la violation.

Qu'est-ce qui est inclus dans un plan de réponse aux incidents ?

La création d'un plan de réponse aux incidents est un processus qui implique une approche logique comprenant la manière de se préparer, de détecter, de répondre et de se remettre d'un incident. Avoir une vision claire et sans ambiguïté de ce qu'il faut faire lorsque le pire scénario se produit peut faire la différence entre des conséquences désastreuses et une progression sans heurts.

Les éléments de base d'un plan de réponse aux incidents sont les suivants :

Préparer

Comme tout bon bricoleur le sait, la préparation est la partie la plus importante d'un travail. Il en va de même pour la création d'un plan de réponse aux incidents. La préparation du plan commence par les personnes.

Rôles et responsabilités : Qui est responsable de quelle action lorsqu'un incident se produit ? Identifiez les membres clés de l'équipe de réponse aux incidents. Cela doit également correspondre aux clauses pertinentes de la politique de sécurité mise en place par votre entreprise. La formation du personnel est un élément essentiel de la préparation et de la mise en œuvre du plan de réponse aux incidents.

Inventaire des ressources : Créez une liste des ressources dans tous les départements.

Évaluation des risques: Identifier les zones à risque ainsi que l'emplacement et la classification des actifs. Déterminez les niveaux de risque de chacun d'entre eux en fonction de la probabilité d'une attaque et de la gravité d'un incident. Déterminer la capacité à gérer une attaque contre ces actifs.

Types d'incidents : Quels types d'incidents sont probables et qu'est-ce qui constitue un incident ? Si un incident se produit, qui est chargé de lancer le processus de gestion des incidents ?

Cartographie des règlements : Documentez les réglementations pertinentes et les exigences à respecter lorsqu'un incident se produit. Créez des lignes directrices pour l'interaction avec les autorités externes', après l'incident.

Journal des incidents : Incluez un journal pour gérer le processus de réponse aux incidents. Cela peut également être utile pour les exigences de conformité réglementaire.

Détecter

Cette deuxième étape du processus de planification de la réponse aux incidents concerne la surveillance, la détection et l'alerte lorsqu'un incident se produit.

Stratégie de détection : Quels outils et mesures sont utilisés pour détecter un incident ? Cela doit inclure les menaces connues, inconnues et suspectées. Par exemple, déployez-vous des outils d'analyse du réseau, des outils de détection et de réponse aux points d'extrémité (EDR), etc.

Alertes: Quels systèmes sont utilisés pour alerter d'une éventuelle violation ?

Évaluation des brèches: Comment votre organisation va-t-elle repérer les vulnérabilités de type "zero-day" ou les menaces persistantes avancées (APT) ? Une "évaluation de la compromission" peut être utilisée pour localiser les failles de sécurité inconnues et les accès non autorisés aux comptes.

Répondez à

La façon dont une organisation réagit à une violation est la clé pour s'assurer que l'exposition des données est minimisée et les dommages limités. La réponse aux incidents couvre plusieurs domaines tels que le triage des alertes, un aspect important pour éviter les tentatives erronées de réponse aux incidents. Le principal aspect couvert dans la partie réponse d'un processus de réponse aux incidents est de contenir et de supprimer la menace. Le plan de réponse aux incidents doit couvrir les domaines suivants :

Évaluation des brèches: Comment quantifier l'étendue de la menace et si la menace est réelle. Cela inclut la manière de trier les alertes.

Exercices de confinement: Une fois la menace identifiée, comment va-t-on la contenir ? Il peut s'agir d'isoler les systèmes pour les protéger contre toute nouvelle infection ou fuite de données.

Évaluation des paramètres de la violation: Quelle est la classification des données violées ? Les données étaient-elles sensibles ? La violation a-t-elle eu un impact sur les exigences réglementaires ?

Faire face à toute infection/vulnérabilité : Quelle est la procédure générale pour supprimer les fichiers infectés et traiter les conséquences d'une infection ?

Préserver les artefacts de la brèche : Comment produire un journal de l'incident et de toute preuve médico-légale. Indiquez le qui, le quoi, le pourquoi et le où de l'événement.

Préparez-vous à la notification de la violation: Si nécessaire, comment se préparer à toute notification de violation requise. Cela doit inclure les avis publics et peut fournir des modèles.

Assurer la liaison avec les services juridiques et de conformité (et éventuellement les services chargés de l'application de la loi) : Précisez qui est chargé de traiter avec les services juridiques et de conformité et comment cela est géré.

Récupérer

La récupération est la dernière partie du processus de réponse aux incidents. Le plan de réponse aux incidents doit montrer comment l'entreprise se remet d'un incident et quels types d'exercices de récupération doivent être effectués :

Exercices post-incident: Comment combler les lacunes découvertes lors de la réponse à l'incident.

Supprimer le risque: Supprimer le risque et rétablir les systèmes dans un état antérieur à l'incident.

Rapport: Des conseils sur la création d'un rapport de réponse aux incidents pour aider à prévenir de futurs incidents. Mais aussi, des directives sur la collecte et la surveillance continues des données médico-légales pour assurer une sécurité continue.

Cadres et normes pour la rédaction d'un plan de réponse aux incidents

Lors de la rédaction d'un plan de réponse aux incidents, il peut être utile de s'appuyer sur les conseils d'autorités reconnues.

ISO 27001 - L' annexe A.16: est une annexe de la norme internationale ISO 27001 qui donne des conseils utiles sur la manière d'établir un protocole pour traiter la gestion du cycle de vie d'un incident de sécurité.

Processus de réponse aux incidents du NIST: Le NIST (National Institute of Standards and Technology) est une agence gouvernementale américaine. Le processus de réponse aux incidents du NIST détaille les quatre étapes mentionnées dans cet article.

Mise en œuvre d'un plan de réponse aux incidents

Une gestion efficace des événements, même dévastateurs, atténuera tout impact présent et futur d'un incident. La formation du personnel est toutefois un défi permanent, propre au plan de réponse aux incidents d'une organisation donnée. Chaque approche de l'incident sera différente ; chaque organisation a son propre ensemble de menaces et de structures organisationnelles internes.

Un contenu de formation personnalisé peut être utilisé pour refléter le caractère unique de chaque organisation et son approche de la gestion des incidents. En créant un plan de réponse aux incidents personnalisé qui reflète la structure unique de votre organisation, vous pouvez vous assurer que vous atténuez les diverses menaces auxquelles une entreprise moderne est confrontée.

La sensibilisation à la cybersécurité pour les nuls

vous pourriez apprécier de lire ces

Demander une démo

Les informations personnelles que vous nous fournissez dans ce formulaire ne seront jamais utilisées par MetaCompliance (en tant que contrôleur des données) qu'aux fins spécifiquement définies ci-dessous :

  • vous envoyer par courrier électronique le contenu que vous nous avez demandé
  • avec votre consentement, vous envoyer occasionnellement par courrier électronique des informations ciblées sur nos offres de services.
  • honorer en permanence toute demande de retrait que vous soumettez à l'avenir
  • se conformer à l'une de nos obligations légales et/ou réglementaires