CISM PPT

Télécharger au format pdf ou txt
Télécharger au format pdf ou txt
Vous êtes sur la page 1sur 174

F O R M AT I O N C I S M ( C E R T I F I E D

I N F O R M AT I O N S E C U R I T Y
MANAGER)
• Objectifs pédagogiques

Ce cours permet de préparer l'examen CISM®, Certified Information Security Manager, couvrant

la totalité du cursus CBK (Common Body of Knowledge), tronc commun de connaissances en

sécurité défini par l'ISACA®, Information Systems Audit and Control Association. La certification

CISM est reconnue dans le monde entier.


Certification

• Outre la réussite à l'examen, il faut justifier d'au moins 5 années d'expérience avec un minimum

de trois ans dans le management de la sécurité de l'information dans trois domaines concernés

par la certification. Pour le passage de l'examen, vous devez vous inscrire sur le site de l'ISACA.
DOMAINE 1 : G O U V E R N A N C E D E L A SÉ C U R I T É D E L' I N F O R M AT I O N

Concepts à saisir:

1. Développer la stratégie de sécurité de l’information à l’appui de la stratégie et de l’orientation


de l’entreprise.

2. Obtenir l'engagement et le soutien de la haute direction pour la sécurité de l'information dans


l'ensemble de l'organisation.

3. Définir les rôles et les responsabilités dans l'ensemble de l'organisation, y compris la


gouvernance de la sécurité de l'information.

4. Etablir des canaux de reporting et de communication qui prennent en charge les activités de
gouvernance de la sécurité de l'information.
DO M A I N E 1 : G O U VER NA NCE DE L A SÉ C UR I T É D E L ' I N FO R M AT I ON

Concepts à saisir:

5. Identifier les problèmes légaux et réglementaires actuels et potentiels affectant la sécurité de


l'information et évaluer leur impact sur l'organisation.

6. Établir et maintenir des stratégies de sécurité des informations qui soutiennent les buts et
objectifs de l'entreprise.

7. Assurer le développement de procédures et de directives qui supportent la politique de


sécurité de l'information.

8. Développer une analyse de rentabilisation fournissant une analyse de la valeur de l'entreprise


prenant en charge les investissements en sécurité de l'information.
D OM A I N E 2 : GE S TI ON D E S R I S Q U E S D E L ' I N FO R M ATI ON

• Développement d'une approche systématique et analytique, ainsi que du processus continu de


gestion des risques.
• Identification, analyse et évaluation des risques.
• Définition des stratégies de traitement des risques.
• Communication de la gestion des risques.
• Travaux pratiques
Questions issues des précédentes sessions du CISM (ou d'examens comparables).
D O M A I N E 3 : I M P L É M E N TAT I O N , G E S T I O N D E P R O G R A M M E S É C U R I T É D E L ' I N F O R M AT I O N

• L'architecture en sécurité de l'information.


• Méthodes pour définir les mesures de sécurité requises.
• Gestion des contrats et des prérequis de sécurité de l'information.
• Métriques et évaluation de la performance en sécurité de l'information.
• Travaux pratiques
Questions issues des précédentes sessions du CISM (ou d'examens comparables).
D OM A I N E 4 : GE S TI ON D E S I N CI D E N TS DE S É CU R I TÉ D E L ' I N F OR M AT I ON

• Composantes d'un plan de gestion des incidents de sécurité.


• Concepts et pratiques en gestion des incidents de sécurité.
• Méthode de classification.
• Processus de notification et d'escalade.
• Techniques de détection et d'analyse des incidents.
D OM A I N E 4 : GE S TI ON D E S I N CI D E N TS DE S É CU R I TÉ D E L ' I N F OR M AT I ON

• Composantes d'un plan de gestion des incidents de sécurité.


• Concepts et pratiques en gestion des incidents de sécurité.
• Méthode de classification.
• Processus de notification et d'escalade.
• Techniques de détection et d'analyse des incidents.
Domaine I

Gouvernance de la Sécurité de
l’information
GOUVERNANCE DE LA SÉCURITÉ DE
L’INFORMATION

La gouvernance d’entreprise implique un ensemble de relations


entre la direction, le conseil d’administration, les actionnaires et
autres parties prenantes. La gouvernance d'entreprise fournit
également la structure à travers laquelle les objectifs de l'organisation
sont définis et les moyens de les atteindre, ainsi que la capacité de
contrôler les niveaux de performance.
GOUVERNANCE DE LA SÉCURITÉ DE
L’INFORMATION

• La réussite d’un programme de sécurité de l’information repose sur


un solide soutien de la part de la direction. Sans une base solide
l’efficacité du programme de sécurité peut échouer sous la pression
de la politique et de contraintes budgétaires.
• Tout programme de sécurité de l’information doit être dirigé par la
direction
GOUVERNANCE DE LA SÉCURITÉ DE
L’INFORMATION
GOUVERNANCE DE LA SÉCURITÉ DE
L’INFORMATION

• Concept 1: Développer la stratégie de sécurité de l’information à l’appui


de la stratégie et de l’orientation de l’entreprise.

Lors de l'élaboration d'une stratégie de sécurité de l’information efficace,


le professionnel de la sécurité des informations doit créer le programme
dans son intégralité tout en travaillant avec les autres composants de
l'organisation. En d'autres termes, le programme doit répondre aux
besoins de l'organisation et ne pas être simplement une implémentation
de contrôles développés en commun.
Governance Membres Responsibilités
Information CEO, CFO, COO, CTO Établit et soutient le programme
Security Steering Business Units de sécurité de l’information
Committee
Senior Management Directeurs Fournit des contrôles de gestion,
opérationnels et techniques pour
satisfaire les exigences de la
sécurité

Chief Information CISO , Staff Dirige et coordonne la mise en


Security Officer œuvre du programme
(CISO) de sécurité de l'information

Business Unit Managers Chefs départements et responsables Classifie et établit les exigences
hiérarchiques pour la sauvegarde des actifs
informationnels

Tableau : Rôles et responsabilités au sein de la gouvernance


Maturity Level Description
Level 1 Les objectifs de contrôle ont été documentés dans la politique
Level 2 Les processus de contrôle de sécurité ont été documentés dans des procédures
Level 3 Des procédures d'accompagnement ont été mises en place (les parties prenantes
ont été sensibilisées et formées)

Level 4 Les politiques, les procédures et les contrôles sont testés et examinés pour
assurer leur pertinence continue

Level 5 Les procédures et les contrôles sont pleinement intégrés à la culture de


l'organisation

Tableau: Security Program Infrastructure

Toutes les décisions de sécurité doivent être liées aux objectifs commerciaux ou à la déclaration de
mission de l'organisation. Comme pour les autres stratégies à l'échelle de l'organisation, le
programme de sécurité de l'information doit être établi par la mise en œuvre d'une stratégie
globale
GOUVERNANCE DE LA SÉCURITÉ DE
L’INFORMATION

Pour réussir, les politiques et procédures de sécurité et de confidentialité doivent répondre à


trois critères importants. Ils doivent être:

• Documentés
• Communiqués
• Courants
GOUVERNANCE DE LA SÉCURITÉ DE
L’INFORMATION
Lors de l'établissement d'une stratégie de sécurité de l'information, l'objectif de
ce qui doit être accompli doit être présent dans tout ce que nous créons et
mettons en œuvre. L'objectif de la sécurité de l'information n'est pas d'empêcher
tout accès à toutes les informations, mais de fournir un processus sûr et sécurisé
à tous les membres du personnel autorisés. La stratégie d'information doit donc
aborder trois concepts clés:

• Identification
• Authentification
• Autorisation
GOUVERNANCE DE LA SÉCURITÉ DE
L’INFORMATION
*IDENTIFICATION
Pour avoir accès aux informations et aux systèmes de traitement, un code d'accès
unique et individuel doit être attribué à toutes les personnes nécessitant un
accès.
En règle générale, ce code d'accès est appelé un ID utilisateur ou un compte. Des
procédures doivent être en place pour fournir les informations nécessaires et les
approbations requises pour attribuer un ID utilisateur unique à une personne.
GOUVERNANCE DE LA SÉCURITÉ DE
L’INFORMATION
*AUTHENTIFICATION
Une fois que l'ID utilisateur a été établi, il sera nécessaire d'authentifier la
personne auprès du système ou de l'application dont elle a besoin pour accéder
aux informations. Ce processus est appelé authentification et est le processus
d'identification d'un individu, généralement basé sur un nom d'utilisateur et un
mot de passe. Un ID utilisateur et un mot de passe sont appelés authentification à
un facteur. L'ID utilisateur peut être associé à une carte à jeton (telle qu'une carte
SecureID qui modifie le mot de passe toutes les 60 secondes) ou à une clé
biométrique (empreinte digitale ou vocale). De nombreux systèmes sécurisés
nécessitent une authentification à deux facteurs. Cela signifie associer l'ID
utilisateur à un mot de passe et à une ou plusieurs des autres méthodes.
GOUVERNANCE DE LA SÉCURITÉ DE
L’INFORMATION
*AUTORISATION
Une fois que j’ai identifié qui je suis et authentifié qui je suis, alors je suis
autorisé. Je serai autorisé à accéder à ce dont j'ai besoin pour effectuer mon
travail. Il y a deux éléments clés concernant l'autorisation et ceux-ci sont le
besoin de savoir et le moindre privilège. Dans l'authentification, il est nécessaire
d'établir les paramètres permettant de vérifier que les individus sont bien ceux
qu'ils se présentent. Une fois que le besoin professionnel a été établi, la personne
ne dispose que du niveau d'accès nécessaire pour exécuter cette fonction
spécifique. Ce processus est appelé le moindre privilège.
GOUVERNANCE DE LA SÉCURITÉ DE
L’INFORMATION

• L'accès peut être accordé soit à un individu, soit en fonction de la fonction qu'il
exerce pour l'entreprise. Vous pouvez avoir une autorisation individuelle ou une
autorisation de groupe. Lorsque quelqu'un entre dans un groupe, cela signale les
autorisations du groupe et lorsqu'il quitte, il est déchargé du groupe et ces
autorisations lui sont retirées. C'est un concept connu sous le nom de moindre
privilège. Avec le besoin de savoir, vous devez avoir un besoin commercial d'avoir
accès à tout ce que vous regardez.

• Une stratégie de sécurité efficace requiert au minimum cinq éléments clés: des stratégies, des
procédures, une authentification, une autorisation et un plan de récupération, car les
utilisateurs ont tendance à effacer des éléments par inadvertance. Soixante-cinq pour cent des
pertes d’information proviennent toujours d’erreurs et d’omissions
GOUVERNANCE DE LA SÉCURITÉ DE
L’INFORMATION

• Une stratégie de sécurité efficace requiert au minimum cinq éléments


clés: des stratégies, des procédures, une authentification, une
autorisation et un plan de récupération, car les utilisateurs ont
tendance à effacer des éléments par inadvertance.
Soixante-cinq pour cent des pertes d’information proviennent
toujours d’erreurs et d’omissions
GOUVERNANCE DE LA SÉCURITÉ DE
L’INFORMATION
• Vous devez donc avoir un plan de reprise pour pouvoir récupérer les
informations tout au long du processus. Une fonction de sécurité efficace
requiert une politique de sécurité et de confidentialité bien gérée, ce qui
signifie que non seulement nous avons le mot écrit, mais que vous le vérifiez de
temps à autre pour vous assurer qu'il continue de répondre aux objectifs de
votre organisation et qu'il le peut. être marqué à travers ce cycle de vie post-
développement.
GOUVERNANCE DE LA SÉCURITÉ DE
L’INFORMATION
• La planification de la continuité des activités, PCA, est une exigence
de l’entreprise. Il s’agit d’une des 12 politiques de l’entreprise. Ce
n'est pas une fonction informatique et elle n'est pas gérée par
l'informatique; il est généralement géré par la gestion des
installations, la gestion des risques ou la sécurité physique. Le PCA
de l'unité business doit être intégré au plan de reprise après sinistre
informatique (DRP) et au PCA global.
GOUVERNANCE DE LA SÉCURITÉ DE
L’INFORMATION
Concept 2 : Obtenir l'engagement et le soutien de la haute direction

Pour réussir, le programme de sécurité de l'information doit impliquer la gestion de l'entreprise


dans le programme.

- Pourquoi est-il important d'atteindre un niveau élevé de gouvernance d'entreprise?


- Pourquoi est-il important de traiter la sécurité des informations comme un problème critique et
de créer un environnement sécurisé?
- Pourquoi est-il important de démontrer à des tiers que l'organisation répond de manière
professionnelle aux exigences de sécurité des informations?
- Pourquoi est-il important d'appliquer des principes fondamentaux tels que la responsabilité
ultime en matière de sécurité de l'information, la mise en place de contrôles proactifs et la
responsabilisation individuelle?
GOUVERNANCE DE LA SÉCURITÉ DE
L’INFORMATION
Concept 3: Définitions des rôles et des responsabilités
L'importance de la gouvernance de la sécurité doit être renforcée dans la description de
travail de chaque employé. Lors de l'examen annuel des performances des employés, leur
conformité aux réglementations, politiques et attitudes en matière de sécurité devrait être
un facteur déterminant dans le processus d'évaluation. Les compétences liées à la sécurité
pour différents postes doivent être définies et documentées pour pouvoir être incluses
dans les descriptions de poste. Il est important que la sécurité de l’information travaille
avec les ressources humaines pour que cela soit effectif.

La sécurité de l'information est une responsabilité de gestion à l'échelle de


l'entreprise. Chaque groupe a un rôle différent et ces rôles soutiennent les activités des
autres rôles et responsabilités.
GOUVERNANCE DE LA SÉCURITÉ DE
L’INFORMATION
• Senior Management
• Chief Information Security Officer (CISO):
• Information Owner
• Business Managers:
• Information Security Officer:
GOUVERNANCE DE LA SÉCURITÉ DE
L’INFORMATION
• Concept 4 : Obtenir l'engagement de la haute direction

Atteindre un niveau élevé de normes et de gouvernance d'entreprise


Traiter la sécurité de l'information comme un problème critique et créer une culture de travail
propice à la sécurité
Démontrer à des tiers que l'organisation gère la sécurité de l'information de manière professionnelle
Appliquer les principes fondamentaux tels que assumer la responsabilité ultime de la sécurité de
l'information, mettre en place des contrôles proportionnels aux risques et assurer la responsabilité
individuelle
GOUVERNANCE DE LA SÉCURITÉ DE
L’INFORMATION
La direction a deux responsabilités principales: l’obligation
de fiduciaire et la diligence raisonnable. Un
programme efficace de sécurité de l’information doit
permettre aux gestionnaires de démontrer qu’ils respectent
ces exigences clés.
GOUVERNANCE DE LA SÉCURITÉ DE
L’INFORMATION
Bien que les lignes directrices prévoient un système de notation obligatoire pour les sanctions, elles
ont également un intérêt pour la prévention proactive de la criminalité. La Direction doit faire preuve
de « diligence raisonnable » dans l’établissement d’un programme efficace. Sept éléments capturent les
fonctions de base inhérentes à la plupart des programmes de conformité:

• 1. Établir des politiques, des normes et des procédures pour guider le personnel.
• 2. Nommer un responsable de haut niveau pour superviser le respect de la politique, des normes et
des procédures.
• 3. Faire preuve de la plus grande prudence lorsqu’on accorde un pouvoir discrétionnaire aux
employés.
• 4. S’assurer que les politiques de conformité sont appliquées.
• 5. Communiquer les normes et procédures à tous les employés et autres (Prestataires..etc).
• 6.Appliquer systématiquement les politiques, normes et procédures au moyen de mesures
disciplinaires appropriées.
• 7. Disposer de procédures pour les corrections et les modifications en cas de violations.
GOUVERNANCE DE LA SÉCURITÉ DE
L’INFORMATION
Concept 5 : Établir des communications de reporting qui prennent en charge les
activités de gouvernance de la sécurité de l'information

Un rapport annuel sur l’état de la sécurité de l’information devrait être présenté au Comité
directeur sur la sécurité de l’information. Cette obligation de déclaration a été établie dans la
législation en vigueur et dans les normes internationales relatives à la sécurité de l'information. Ce
rapport ne doit pas être confondu avec un audit de fonctionnalité standard effectué par le
personnel d'audit, ni ne fait partie d'un processus de certification par tierce partie.
En règle générale, le RSSI prépare un rapport sur les niveaux de conformité actuellement observés
dans toutes les unités fonctionnelles. Le processus de développement de rapports comporte
normalement deux composants clés: la conformité aux exigences essentielles en matière de
sécurité de l’information et le niveau de mise en œuvre
GOUVERNANCE DE LA SÉCURITÉ DE
L’INFORMATION
• Concept 6 : Établir et maintenir des politiques de sécurité de l'information
La pierre angulaire d’une architecture de sécurité de l’information efficace est une déclaration de
stratégie bien écrite. C’est la source de toutes les autres directives, normes, procédures, directives
et autres documents justificatifs. Comme pour toute fondation, il est important d’établir une base
solide. Comme indiqué ci-après, une stratégie remplit deux rôles, l'un interne et l'autre
externe.

La partie interne indique aux employés ce qu'on attend d'eux et comment leurs actions seront
jugées. La partie externe indique au monde comment l'entreprise est gérée. Chaque organisation
doit avoir des politiques en place qui soutiennent les pratiques commerciales saines et elles
démontreront au monde entier qu'elle comprend que la protection des actifs est essentielle à la
réussite de sa mission
GOUVERNANCE DE LA SÉCURITÉ DE
L’INFORMATION
Il existe trois types de stratégies, et vous utiliserez chaque type à des moments différents dans
votre programme de sécurité des informations et dans l'ensemble de l'organisation pour prendre
en charge le processus métier ou la mission. Les trois types de politiques sont:

• 1. Global (niveau 1): ils servent à créer la vision et la direction générales de l'organisation.
• 2. Sujets spécifiques (niveau 2): ils traitent de sujets de préoccupation particuliers.
• 3. Politiques spécifiques aux applications: elles concernent les décisions prises par la direction
pour contrôler des applications particulières (rapports financiers, états de paie, etc.) ou des
systèmes (système de budgétisation).
GOUVERNANCE DE LA SÉCURITÉ DE
L’INFORMATION
• Concept 7: Assurer le développement de procédures et de directives
qui soutiennent la politique de sécurité de l'information

La rédaction de procédures est différente de la rédaction de politiques en ce


qu'il n'est pas utile de demander aux équipes de développer les procédures. Les
procédures ne devront pas être approuvées par une équipe de gestion. Le
processus est plus rapide, tout en nécessitant un peu de travail.
GOUVERNANCE DE LA SÉCURITÉ DE
L’INFORMATION
• Concept 8: Développer l'analyse de rentabilisation et le support d'analyse de valeur
d'entreprise
Développer une analyse de rentabilisation et d'analyse de la valeur d'entreprise qui prend
en charge les investissements dans les programmes de sécurité de l'information est une
tâche vitale du responsable de la sécurité de l'information. Les organisations justifient
souvent les dépenses en fonction de la valeur d'un projet.

Les deux méthodes couramment utilisées sont le retour sur investissement (ROI) ou le
coût total des possession (TCO). Le programme de sécurité de l'information a
également besoin d'une solide analyse de rentabilisation pour justifier le financement et
doit être élaboré par le responsable de la sécurité de l'information.
GOUVERNANCE DE LA SÉCURITÉ DE
L’INFORMATION
• Récemment, les avancées en matière de technologies et de
procédures de mise en service d’accès unique et d’accès utilisateur
ont permis d’économiser du temps et de l’argent par rapport aux
techniques d’administration manuelle traditionnelles. Un certain
nombre d'exemples comparent les coûts des processus
traditionnels par rapport aux procédures les plus récentes. Ils
peuvent être utilisés dans l'analyse de rentabilisation que la plupart
des gestionnaires de la sécurité des informations doivent
developper.
Domaine II

Gestion des risques de


l'information
GESTION DES RISQUES DE L'INFORMATION
Examinons les questions qui se posent normalement lorsque nous
discutons ou enseignons des techniques de gestion des risques.
• Existe-t-il une différence entre l'analyse de risque et l'évaluation de
risque?
• Pourquoi une évaluation des risques devrait-elle être effectuée?
• Quand faut-il effectuer une analyse des risques?
• Qui au sein de l'organisation devrait effectuer l'analyse ou l'évaluation
des risques?
• Combien de temps une analyse ou une évaluation des risques devrait-
elle prendre?
• Que peut analyser une analyse de risque ou une évaluation de risque?
GESTION DES RISQUES DE L'INFORMATION

• Que peuvent dire les résultats d'une gestion des risques à une organisation?
• Qui devrait examiner les résultats d'une analyse de risque?
• Comment le succès de l'analyse de risque est-il mesuré?
GESTION DES RISQUES DE L'INFORMATION

Concept I: Développer un processus systématique et continu de


gestion des risques

La gestion des risques est le processus qui permet d'équilibrer les coûts
opérationnels et économiques des mesures de protection et de réaliser des
gains tout en protégeant les processus métier qui soutiennent les objectifs
commerciaux ou la mission de l’entreprise . Cependant, la gestion des risques ne
se limite pas à la sécurité de l’information. Il s’agit d’un processus qui aide la
direction à s’acquitter de son obligation de protéger les actifs de l’organisation.
GESTION DES RISQUES DE L'INFORMATION

• Menaces , risques et vulnérabilités


On appelle menace, tout élément ( humain, substance, objet…) capable de nuire
aux actifs informationnels et qui occasionnerait par voie de conséquence des
dommages.
Le risque est la combinaison de la probabilité et de la conséquence relatives à un
événement donné (ISO/IEC73).
Une vulnérabilité est une faiblesse dans le design, l’implémentation, les
opérations, ou dans le contrôle interne d’un processus qui pourrait exposer le
système aux menaces.
Termes Définition

L'objectif est d'identifier, de contrôler et de


Gestion des risques minimiser l'impact d'événements incertains.
L'objectif de la gestion des risques est de réduire
les risques à un niveau acceptable.
Il s’agit d'identifier et d'évaluer des facteurs
susceptibles de compromettre la réussite d'un
projet ou la réalisation d'un objectif. Elle permet
également de définir des mesures préventives
Analyse de risques visant à réduire la probabilité de survenue de ces
facteurs et à identifier des contre-mesures pour
faire face avec succès à ces contraintes lors de
leur développement.
C'est le calcul du risque. Le risque est une
L'évaluation des risques menace qui exploite une vulnérabilité qui
pourrait nuire à un actif. L'algorithme de risque
calcule le risque en fonction des actifs, des
menaces et des vulnérabilités pour en évaluer
la gravité
Est-ce le processus dans lequel une
organisation met en œuvre des contrôles et
des sauvegardes pour éviter que des risques
Atténuation des risques identifiés ne se produisent, tout en mettant en
œuvre un moyen de recouvrement si le risque
devenait une réalité, malgré tous les efforts
déployés?
Examen systématique d’une
infrastructure critique, des systèmes
interconnectés sur lesquels elle
s’appuie, de ses informations ou de son
Analyse des vulnérabilités produit pour déterminer l’adéquation
Et évaluation des contrôles des mesures de sécurité, identifier les
défaillances en matière de sécurité,
évaluer les alternatives de sécurité et
vérifier l’adéquation de ces mesures
après leur mise en œuvre.
GESTION DES RISQUES DE L'INFORMATION

Concept II: Veiller à ce que les activités d'identification,


d'analyse et d'atténuation des risques soient intégrées au
processus du cycle de vie
Une gestion efficace des risques doit être totalement intégrée au cycle de vie du
développement du système de l'organisation. Le SDLC typique comporte cinq
phases
1. l’analyse
2.La conception
3. Le développment
4. Les tests
5. L’entretien ou la Maintenance
La gestion des risques est une responsabilité de la direction. Pour
réussir, le processus de gestion des risques doit être appuyé par la
direction et le concept de propriété des actifs doit être établi. Ce
concept est généralement présenté à l'organisation via la stratégie de
classification des actifs ou des informations. Les employés ont des
rôles différents et ces rôles soutiennent les activités des autres rôles
et responsabilités.
Rôles Responsabilité dans la gestion des risques

En vertu de la norme de diligence raisonnable, la


haute direction assume la responsabilité ultime
de la réalisation des objectifs commerciaux ou
Senior Management des exigences de la mission. La haute direction
doit veiller à ce que les ressources nécessaires
soient effectivement utilisées pour développer les
capacités nécessaires pour répondre aux besoins
de la mission. Ils doivent intégrer les résultats du
processus d'analyse des risques dans le processus
de prise de décision.
Le RSSI est responsible de l’organization de la
sécurité de l'information. Les décisions prises
Chief Information Security officer(CISO) dans ce domaine devraient reposer sur un
programme de gestion des risques efficace.

Il s’agit des responsables des unités d’affaires


affectés en tant que propriétaires fonctionnels
des actifs de l’organisation. Il leur incombe de
Propriétaires de ressources(Data Owners) veiller à ce que des contrôles appropriés soient
en place pour garantir l’intégrité, la
confidentialité et la disponibilité des ressources
d’information dont ils sont propriétaires. Le
terme «propriétaire» doit être défini dans la
politique de classification des actifs.
GESTION DES RISQUES DE L'INFORMATION

Concept III: Appliquer les méthodes d'identification et


d'analyse des risques
L'analyse des risques est une technique utilisée pour identifier et évaluer les
facteurs susceptibles de compromettre la réussite d'un projet ou la réalisation
d'un objectif. Un autre terme pour ce processus est une analyse d'impact de
projet. Ce processus nécessitera une analyse coûts-avantages. Le processus
coûts-avantages doit intégrer les caractéristiques et les avantages de l'actif ou
du processus en cours d'examen.
Une partie de l'examen examinera les coûts du projet. Ces coûts comprennent
les coûts d'approvisionnement ou de développement, d'exploitation et de
maintenance, qui comprennent: le développement de la documentation, la
formation, la gestion de l’infrastructure, et les mises à niveau possibles. Les
autres coûts à prendre en compte dans l'analyse sont les coûts de conversion
ou de migration.
Un autre facteur important à prendre en compte dans ce processus est l'impact
des problèmes de conformité à la réglementation. Le nouveau projet devrait,
chaque fois que possible, renforcer les exigences réglementaires. Parfois, une
nouvelle idée ou un nouveau concept est élaboré par un service, tel que le
marketing, et accepté par la direction avant que le personnel de l'infrastructure,
du budget et de la sécurité ait la possibilité d'effectuer une analyse d'impact du
projet.
GESTION DES RISQUES DE L'INFORMATION

Etape 1: Définition de l'actif


Au cours de la première étape, le responsable de l'équipe d'évaluation des
risques et le propriétaire doivent définir le processus, l'application, le système ou
l'actif en cours de révision. La clé ici est d’établir les limites de ce qui doit être
examiné. Si vous envisagez de gérer l'évaluation des risques en tant que projet, la
définition de l'actif doit être considérée comme un énoncé de la portée.
GESTION DES RISQUES DE L'INFORMATION

Étape 2: Identification de la menace

1. Menaces naturelles: inondations, tremblements de terre, tornades, glissements de terrain,


avalanches, tempêtes électriques et autres événements de ce type.

2. Menaces humaines: événements provoqués ou causés par des êtres humains, tels que des actes
non intentionnels (erreurs et omissions) ou des actes délibérés (fraude, logiciels malveillants,
accès non autorisé). Statistiquement, la menace qui cause le plus de pertes en ressources
d’information reste l’erreur humaine et les omissions.

3. Menaces environnementales: coupures de courant à long terme, pollution, déversements de


produits chimiques, fuites de liquides.
GESTION DES RISQUES DE L'INFORMATION

Étape 3: Déterminer la probabilité d'occurrence


Une fois que la liste des menaces aura été finalisée et que l’équipe aura convenu des définitions
de chaque menace, il sera alors nécessaire de déterminer la probabilité de survenue de cette
menace

Forte probabilité: très probable que la menace se concrétise au cours de la prochaine année

Probabilité moyenne: possible que la menace se produise au cours de la prochaine année

Faible probabilité: très peu probable que la menace se concrétise au cours de la prochaine
année.
GESTION DES RISQUES DE L'INFORMATION

Étape 4: Déterminer l’impact de la menace


Une fois que nous avons déterminé la probabilité qu'une menace se produise, il
sera alors nécessaire d’en déterminer l'impact. Avant de déterminer la valeur de
l'impact, il est nécessaire de s'assurer que la portée de l'analyse des risques a été
correctement définie. Il sera nécessaire de veiller à ce que l'équipe de gestion
des risques comprenne les objectifs ou la mission de l'actif examiné et son
incidence sur la mission ou les objectifs généraux de l'organisation.
GESTION DES RISQUES DE L'INFORMATION

Le processus de niveau de risque nécessitera l'utilisation d'une définition de l'impact ainsi que
d'un tableau matriciel qui permettra à l'équipe d'établir un niveau de risque.
Impact: mesure de l'ampleur de la perte ou du préjudice causé à la valeur d'un actif

Impact élevé: fermeture d'une unité fonctionnelle essentielle entraînant une perte importante
d'activités, d'image ou de profit
Impact moyen: brève interruption d'un processus critique ou du système entraînant une perte
financière limitée pour une seule unité opérationnelle.
Impact faible: interruption sans perte financière.
GESTION DES RISQUES DE L'INFORMATION

Étape 5: Contrôles recommandés


Une fois le niveau de risque attribué, l’équipe identifiera des contrôles ou des
mesures de protection susceptibles de le réduire à un niveau acceptable.
N'oubliez pas que l'un des objectifs de l'évaluation des risques est de
documenter la diligence raisonnable de l'organisation lors de la prise de
décisions. Par conséquent, il sera important d'identifier tous les contrôles et
sauvegardes qui, selon l'équipe, pourraient réduire le risque à un niveau
acceptable. Ce faisant, l’équipe sera en mesure de documenter toutes les options
envisagées.
GESTION DES RISQUES DE L'INFORMATION

Étape 6: documentation
Une fois l'analyse des risques terminée, les résultats doivent être documentés dans un format
standard et un rapport doit être envoyé au propriétaire de l'actif. Ce rapport aidera la direction,
le propriétaire de l'entreprise, à prendre des décisions en matière de politique, de procédures, de
budget, de systèmes et de gestion. Le rapport d'analyse des risques doit être présenté de
manière systématique et analytique, ce qui permet d'évaluer les risques de manière à ce que la
direction comprenne les risques et affecte les ressources nécessaires à la réduction des risques à
un niveau acceptable.
GESTION DES RISQUES DE L'INFORMATION

Concept IV: Communication de la gestion des


risques
GESTION DES RISQUES DE L'INFORMATION

L'un des rôles principaux du responsable de la sécurité de l'information est de signaler les
changements de risque significatifs aux niveaux appropriés de la direction, à la fois de manière
périodique et en fonction des événements. Au fur et à mesure que des changements se
produisent au sein de l'organisation, l'évaluation des risques doit être mise à jour pour s'assurer
qu'elle reste conforme à la situation réelle. Le responsable de la sécurité de l'information doit
organiser des réunions de mise à jour périodiques avec la direction afin de présenter l'état du
programme de sécurité global de l'organisation. Cette mise à jour devrait inclure tout
changement significatif du profil de risque de l'organisation.
GESTION DES RISQUES DE L'INFORMATION

L'information est un atout et la propriété de l'organisation. Tous les employés


doivent protéger les informations contre tout accès, modification, divulgation ou
destruction non autorisés. Avant de pouvoir s’attendre à ce que les employés
protègent les informations, ils doivent d’abord comprendre le bien fondé de la
démarche. Une politique et une méthodologie de classification des informations
leur fourniront l'aide dont ils ont besoin.
Domaine III

Gestion du programme de sécurité


de l'information
GESTION DU PROGRAMME DE SÉCURITÉ DE
L'INFORMATION

Développer et maintenir un programme de sécurité de


l’information, qui identifie, gère et protège les actifs
informationnels de l’organisation tout en étant sur la
stratégie de sécurité définie et les objectifs d’affaires
declarés
GESTION DU PROGRAMME DE SÉCURITÉ DE
L'INFORMATION

Vue d'ensemble de la gestion de la sécurité de l'information

Le programme de sécurité de l’information englobe tous les processus de l’organisation et toutes


les activités permettant d’assurer la sécurité des actifs informationnels.
Il revient au Responsable de la Sécurité du Système d’Information d’initier un programme de
gestion de la sécurité de l’information.
Dans beaucoup de cas, il doit revoir l’adéquation et gérer un programme existant.
La gestion d’un programme de sécurité de l’information est similaire toutes proportions gardées
à celle des autres activités de l’organisation
GESTION DU PROGRAMME DE SÉCURITÉ DE
L'INFORMATION

Les éléments essentiels du programme de sécurité de


l’information
Nous pouvons lister trois éléments essentiels relatifs au programme de sécurité de l’information,
notamment sur sa conception , son implémentation et sa gestion courante:
1. Le programme doit être l’exécution d’une stratégie de sécurité de l’information bien
élaborée pour l’atteinte des objectifs organisationnels
2. Le programme doit être bien élaboré avec le support effectif du management
3. Des indicateurs efficaces doivent être définis pour les différentes phases d’implémentation,
afin de permettre le feedback sur l’atteinte des objectifs fixés,
GESTION DU PROGRAMME DE SÉCURITÉ DE
L'INFORMATION

Importance du programme de sécurité de l’information


L’atteinte d’un niveau raisonnable en matière de gestion de la sécurité de l’information, et surtout
à des coûts acceptables requièrent une bonne planification, une stratégie efficace et surtout un
management performant.
Le programme de sécurité de l’information assure un support de qualité pour les processus
critiques de l’entreprise, la gestion des risques étant un élement très important au sein de
l’organisation
GESTION DU PROGRAMME DE SÉCURITÉ DE
L'INFORMATION

Les éléments de base pour définir les objectifs visés par la


mise en œuvre du programme
1. L’alignement stratégique
2. La gestion du risque
3. La livraison de valeur
4. La gestion des ressources
5. La mesure de la performance
6. L’intégration du processus d’assurance
GESTION DU PROGRAMME DE SÉCURITÉ DE
L'INFORMATION

L’alignement stratégique
L’alignement stratégique aves les objectifs de l’organisation, nécessite une interaction régulière
avec les pilotes de processus pour comprendre leurs plans stratégiques et résultats souhaités,
Ceci peut être accompli à travers un comité de pilotage s’ils en sont membres ou à défaut leurs
représentants,
Tous les points d’attention doivent être traités, et une communication adaptée doit être mise en
place
GESTION DU PROGRAMME DE SÉCURITÉ DE
L'INFORMATION

La gestion des risques


Gérer les risques liés aux actifs informationnels est principalement de la responsabilité du RSSI.
Le risque doit être géré pour être maintenu à un niveau acceptable pour l’organisation. Plusieurs
facteurs peuvent contribue à l’émergence de nouveaux risques, il convient donc que le processus
de gestion des risques soit maintenu durant toute la période de développement du programme.
GESTION DU PROGRAMME DE SÉCURITÉ DE
L'INFORMATION

La livraison de valeur
La livraison de valeur requiert que la sécurité de l’information délivre le niveau de sécurité requis
de façon efficace/efficiente.
L’exécution d’un programme de sécurité de l’information peut avoir un effet considérable sur
l’atteinte de ce objectif.
Les investissements en matière de sécurité doivent être gérés afin d’optimiser leur support aux
objectifs d’affaire de l’organisation
GESTION DU PROGRAMME DE SÉCURITÉ DE
L'INFORMATION

La gestion des ressources


Développer et gérer un programme de sécurité requiert du personnel, de la technologie et la
mise en place de processus bien définis.
L’on doit également s’assurer que les expériences doivent être documentés afin de servir dans
ces cas futurs.
GESTION DU PROGRAMME DE SÉCURITÉ DE
L'INFORMATION

La mesure de la performance
Si l’on développe une stratégie de sécurité de l’information, il convient de définir des indicateurs
pertinents afin d’en assurer la mesure
Le RSSI doit définir les différents processus avec les indicateurs appropriés, Le but est de faire le
reporting sur les différents processus de sécurité et les contrôles mis en place.
Les indicateurs doivent être définis à différents niveaux: sur le plan stratégique, tactique et
opérationnel.
Le management doit valider lesdits indicateurs et l’on doit s ’assurer de leur alignement
stratégique sur les objectifs de l’organisation.
GESTION DU PROGRAMME DE SÉCURITÉ DE
L'INFORMATION

L’intégration du processus assurance:


Il est important que le RSSI comprenne les activités exécutées par les autres unités
opérationnelles/ de contrôle parce qu’elles doivent forcément être prises en compte par la
gestion de la sécurité de l’information,
Ceci peut inclure sans être limitatif, les RHS, le commercial, l’audit, les assurances, la sécurité
physique…..etc.
Domaine IV

Gestion des incidents de sécurité


de l'information
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION

La gestion des incidents informatiques est définie comme la capacité à gérer efficacement les
événements inattendus pouvant perturber le bon fonctionnement du système d’information, avec
l’objectif d’en minimiser leur impact et restaurer les opérations dans un délai défini.

Dans beaucoup d’organisations, la responsabilité relative à la gestion des incidents liés à la sécurité
de l’information revient de facto au RSSI.
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION

Les différentes phases du cycle de vie de la gestion des


incidents :
Elles sont au nombre de cinq (05):
1. La planification et la préparation
2. La détection et l’investigation
3. Le confinement, l’analyse et la restauration
4. La revue post-incident
5. La clôture de l’incident
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION

La planification et la préparation:
Les activités y liées :
Créer les politiques
Avoir le support du management
Etablir une checklist et acquérir les outils nécessaires
Développer un plan de communication et de sensibilisation des utilisateurs
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION

La détection et l’investigation :
Les activités y liées :
Définir les événements et les incidents
Définir le processus de notification
Détecter et valider les incidents
Prioriser et évaluer les incidents
Implémenter des SIEM, des IPS, des IDS…..
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION

Le confinement, l’analyse et la restauration:


Les activités y liées :
Examiner les différentes stratégies de confinement des incidents
Faire les analyses forensics
Exécuter les procédures de restauration en ligne avec le PCA de l’organisation
Déterminer la source de l’incident
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION

La revue post-incident :
Les activités y liées :
Examiner ce qui est arrivé et à quel moment
Examiner comment l’incident a été géré
En déduire les actions correctives pouvant prévenir des incidents de même nature
Documenter les leçons apprises
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION

La clôture de l’incident :
Essentiellement il s’agir de :
Soumettre les rapports au management et aux parties prenantes
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION

Les différentes équipes de réponse aux incidents :


Central IRT: Convient aux petites organisations
Distributed IRT: Chaque équipe est responsable d’un segment logique ou physique. Ce mode
convient aux organisations dispersées géographiquement.
Coordinating IRT: L’équipe centrale donne les directives nécessaires aux Distributed IRTs. Il
forme les équipes concernées, leur donne les éléments nécessaires pour la bonne gestion des
incidents.
Outsourced IRT: L’ équipe peut être constitué uniquement des employés de l’organisation, ou
peut être partiellement ou totalement externalisée.
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION

La composition des équipes :


La composition des équipes varie et dépend de plusieurs facteurs comme:
- Le type et les objectifs de l’organisation
- La mission et les objectifs de l’organisation
- La nature des services offerts
- La complexité et la sévérité des événements reportés
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION

La gestion des incidents et le PCA

Les deux processus sont complémentaires.


GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION

La clôture de l’incident :
Essentiellement il s’agir de :
Soumettre les rapports au management et aux parties prenantes
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION

La clôture de l’incident :
Essentiellement il s’agir de :
Soumettre les rapports au management et aux parties prenantes
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
• Informations sur la source de la menace

Dans chaque organisation, il y aura un moment où un contrôle échouera ou une nouvelle


menace émergera sans contrôle correspondant. Le résultat de cette défaillance de contrôle
entraînera un incident ou un sinistre. Un désastre tel que défini par le journal de reprise après
sinistre est «un événement catastrophique soudain et non planifié qui provoque de grands dégâts
ou des pertes considérables.Tout événement qui empêche l’organisation d’assumer des fonctions
critiques pour une période indéterminée. »Un incident est défini par le DRJ comme« une
interruption de service de moins de 24 heures ». C’est important pour l’information. responsable
de la sécurité pour rester au courant des dernières menaces pouvant mener à un sinistre ou à
un incident.
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
• Étant donné que le nombre de menaces augmente chaque année et que les budgets de
sécurité de l'information n'augmentent pas nécessairement avec le nombre de menaces, il est
nécessaire de hiérarchiser les menaces qui risquent le plus de nuire à votre organisation.Tout
d'abord, vous devez hiérarchiser les menaces en fonction des menaces les plus susceptibles
d'affecter l'organisation en termes de fréquence et de probabilité. Une fois que vous avez
déterminé la probabilité, la deuxième phase consiste à déterminer l'impact sur votre
organisation si cette menace devait frapper votre organisation. Un certain nombre de sources
différentes peuvent être utilisées pour déterminer la probabilité que votre organisation soit
touchée. Ces sources d'informations peuvent inclure des organisations de recherche sur la
sécurité, des fournisseurs et des sites gouvernementaux.Voici quelques exemples d’organismes
de recherche sur la sécurité:
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
• BugTraq de http://www.securityfocus.com. Ce service inclut à la fois une fonctionnalité
d'archivage et une liste de diffusion permettant de fournir des mises à jour fréquentes au
gestionnaire de sécurité des informations.
• Internet Storm Center est disponible à l'adresse http://isc.sans.org. C'est l'une des sources
d'informations d'attaque les plus complètes sur Internet. Les informations sur les attaques sont
mises à jour très fréquemment et peuvent être utilisées comme système d'alerte avancé. La
page de couverture d'Internet Storm Center est visible à la figure 5.1.
Voici quelques exemples d'informations d'attaque fournies par le fournisseur:
• Le Security Response Center de Symantec est disponible à l’adresse
http://securityresponse.symantec.com. Ce site ressemble beaucoup au Internet Storm Center
mentionné ci-dessus.
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
• Le centre de bulletins de sécurité de Microsoft est disponible à l’adresse
http: // www. microsoft.com/technet/security/default.mspx. Ce site fournit des informations de sécurité
spécifiques à Microsoft.
Voici quelques exemples d'informations d'attaque fournies par le gouvernement:
• La base de données nationale sur les vulnérabilités est disponible à l’adresse http: //nvd.nist. gov
• Bien que cela ne fournisse pas de statistiques sur les niveaux d'attaque actuels comme le font les
organisations de recherche en sécurité, cela fournit une base de données définitive sur les
vulnérabilités actuelles.
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
+++ Le rôle des systèmes de détection d'intrusion et antivirus

Nous avons abordé le contrôle des systèmes de détection et de prévention des intrusions, ainsi
que des systèmes anti-virus. Ces systèmes fourniront des informations réelles sur le nombre et
les types d'attaques tentées contre votre organisation. Ces systèmes fournissent certaines des
données les plus difficiles en termes d'attaques réelles que votre organisation verra. Cependant, il
y a un léger inconvénient: en tant que responsable de la sécurité de l'information, vous ne pouvez
pas planifier d'attaques qui ont déjà commencé. C'est pourquoi la combinaison des sites
énumérés ci-dessus avec les données en temps réel des systèmes de détection d'intrusion et des
systèmes anti-virus peut fournir une bien meilleure vue d'ensemble des problèmes de sécurité
actuels.
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
• En tant que responsable de la sécurité des informations, vous devez être familiarisé avec les
stratégies de détection d'intrusion (comment créer et modifier les stratégies IDS) ainsi que les
propriétés de votre système IDS.
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
++ Propriétés IDS
Un IDS doit être un système tolérant aux pannes, ce qui signifie qu'en cas de panne de votre système,
il devrait disposer d'un moyen de poursuivre le traitement et de consigner les informations d'attaque.
• Le système IDS lui-même doit être sécurisé et ne doit pas créer de point d'exposition qu'un
attaquant pourrait utiliser pour obtenir un accès non autorisé à votre réseau.
• Les systèmes IDS tels que les systèmes anti-virus doivent fonctionner en permanence. Cela signifie
qu’il n’ya aucun moyen de contourner le traitement spécifique de la sécurité.
Dès que le périphérique IDS est démarré, le logiciel IDS devrait être en cours d'exécution. De plus, un
composant clé d’un système IDS est qu’il peut être modifié pour s’adapter à de nouveaux exploits.
• De plus, un IDS ne devrait pas imposer de surcharge d’accès.
En outre, un IDS doit pouvoir détecter toute anomalie à partir de la base de l'environnement de
traitement normal de votre organisation.
• Un IDS doit disposer de journaux d’audit pouvant être sauvegardés ou spoulés sur un autre
périphérique qui stockera les informations de journal en cas de défaillance de l’IDS.
• Enfin, un IDS devrait pouvoir identifier la motivation d'attaque et le niveau de compétence
correspondant d'un attaquant.
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
• Planification de la continuité des activités et planification de la reprise après
sinister

C'est une véritable urgence et souvent, dans ce type de situation, des erreurs catastrophiques
peuvent être commises. Ce qui est nécessaire ici est un processus de réponse aux incidents
(IR). Bien sûr, le meilleur plan d’action aurait été de prévoir et de planifier cela des mois à
l’avance. Dans de nombreux cas, vous avez peut-être effectué la «planification», mais la
budgétisation a été laissée à quelqu'un d'autre et n'a jamais été réellement intégrée au manuel de
procédures.
Anecdote : J'avais souvent une situation où le plan était élaboré, mais mon équipe de direction ne
s'intéressait pas à mon plan. Si nous avions effectué une planification préalable, nous aurions affaire à la
gestion des incidents et non à la réponse aux incidents. Parce que tout ou partie des raisons de ne pas
avoir un plan existant en place peuvent être vraies, arrêtons d'apposer le blâme et commençons à
résoudre le problème.
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
• +++ La planification

Planification de la continuité des activités et planification de la reprise après sinistre


La planification de la continuité des activités (BCP) et la planification de la reprise après sinistre
(DRP) sont deux termes souvent utilisés ensemble. Bien que ces termes soient liés, ils ne sont
pas identiques (voir Figure a). La planification de la continuité des opérations est le processus
permettant de planifier la continuité des opérations de l'entreprise pour l'ensemble de
l'entreprise en cas de sinistre ou d'incident similaire. Une petite portion du PCA global est le
plan de reprise après sinistre. En fait, le PCA est souvent composé de plusieurs régimes
individuels que nous examinerons dans la section suivante. La partie du PCA qui couvre la
reprise de l'infrastructure informatique s'appelle le plan de reprise après sinistre.
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
++ Ressources BCP
Il existe également de nombreuses ressources pour aider à la planification de la continuité des
activités, notamment diverses normes nationales, organisations et publications telles que
le journal de reprise après sinistre et des fournisseurs tels que SunGuard. À notre avis, la
meilleure ressource disponible gratuitement est la publication spéciale NIST 800-34 disponible
à l’adresse http://csrc.nist.gov/publications. Les définitions et les termes des sections suivantes
proviennent de cette ressource.

++ Les étapes du BCP


En raison de la fluidité et de l'évolution des environnements dans la plupart des organisations, il
est important d'intégrer la planification de la continuité des activités dans le cycle de vie du
développement des systèmes (SDLC). Créer des plans de continuité des activités n’est pas
aussi simple que de s’asseoir et d’écrire un plan du début à la fin. Plusieurs étapes sont
nécessaires dans la plupart des organisations. La figure 5.4 illustre un processus courant pour le
PCA. Chacune de ces étapes est décrite en détail plus loin dans ce chapitre.
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION

++ Raisons du PCA
BCP permet à une entreprise de maintenir ses activités, de gagner du temps, de limiter les
erreurs, de réduire le stress et de fournir des informations de coût en cas de sinistre. La
principale raison de la planification d'urgence est de conserver les revenus de votre
organisation en cas de sinistre, de respecter les obligations contractuelles ou de satisfaire le
client. Le principal objectif de BCP est de minimiser les pertes d’affaires à court et à long
terme en vous permettant de disposer des ressources nécessaires pour récupérer vos
processus d’entreprise. Une des raisons secondaires du PCA est le sous-produit du
processus de PCA: vous aurez identifié vos ressources critiques, vos actifs et vos systèmes
dépendants. La PCA peut ne pas avoir lieu du jour au lendemain, dans la quasi-totalité des
cas, et peut durer plusieurs années. Bien que la PCA soit souvent un processus nécessaire,
cette dernière peut avoir échoué dans votre organisation par le passé. Cela signifie que la
création du PCA a échoué et non que l’entreprise n’a pas pu continuer.
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
La plupart du temps, la raison pour laquelle BCP échoue est que BCP ne bénéficie pas du
soutien complet de la direction. En raison du temps nécessaire au développement d'un PCA,
les coûts peuvent être assez élevés. En raison des coûts, le PCA est souvent utilisé en
réponse à une force extérieure (telle qu'une catastrophe de grande envergure telle qu'un
ouragan, un tsunami ou un attentat à la bombe). Pour que le processus de PCA puisse obtenir
l’appui de la direction, vous devez, en tant que responsable de la sécurité de l’information,
effectuer une analyse ou une évaluation des risques. Le processus d’analyse ou d’évaluation
des risques fournira les paramètres permettant d’aider la haute direction à comprendre les
avantages de la création d'un plan de continuité du point de vue de l'entreprise. Le processus
d'évaluation des risques est véritablement un processus commercial, non seulement parce
que vous pouvez avoir des exigences légales ou autres, mais également parce qu'un PCA peut
prouver à vos clients et à vos clients que vous avez un plan en place pour continuer à
respecter vos obligations contractuelles.
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
Identify Critical
Functions

Identify
Supporting
Resources

Anticipate
Potential
Contingencies

Select
Contingency
Planning
Strategies

Implement
Contingency
Strategies

Document
Continuity Plans

Exercise the
Strategy

Revise the
Strategy

Figure : BCP processes.


GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION

Busines Continuity
Planning

Disaster
Recovery
Planning

Figure : Relationship of BCP to DRP.


GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
++ Responsabilités BCP

Pour qu'un processus de PCA réussisse, la direction (la haute direction) doit remplir deux fonctions. La
première fonction, selon NIST 800-34, consiste à créer une politique concernant le BCP. La deuxième fonction
est directement liée à cette première fonction et consiste à fournir un soutien cohérent au processus de
planification. Ces fonctions peuvent inclure le comité directeur sur la sécurité de l'information. Ce groupe
(ISSC) est chargé d’examiner et d’approuver le plan et de veiller à ce qu’il soit testé au moins une fois par an. Il
s’agit d’un élément courant d’un processus de diligence raisonnable dans le cadre d’un plan d’urgence. Le CISS
peut examiner les résultats de l'analyse des risques et déterminer que la création d'un PCA sera trop
coûteuse. La haute direction n'est pas le seul groupe à assumer des responsabilités en matière de PCA. Les
responsables fonctionnels (chefs de département ou propriétaires de données) sont chargés de classer la
criticité des systèmes, de hiérarchiser l'ordre de récupération des systèmes et d'intégrer le processus de PCA
au cycle de développement du système (SDLC). Les auditeurs font souvent partie du processus de PCA. Les
auditeurs remplissent généralement deux fonctions dans le processus BCP. La première consiste à veiller à la
diligence requise dans les tâches confiées à la direction et aux responsables des fonctions, ainsi qu’à désigner
une partie neutre ou un arbitre lors de la mise à l’essai du plan de PCA. Pour comprendre pourquoi le
processus de PCA sera dans la plupart des cas long et coûteux, examinons en détail les composants d'un PCA.
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
+++ Types de plans
Comme nous l'avons mentionné précédemment, le PCA n'est pas une entité discrète monobloc. Le
PCA est généralement composé de nombreux régimes plus petits qui, pris dans leur ensemble, créent
le PCA.

+++ Plan de continuité des activités (PCA)


Le PCA met l'accent sur le maintien des fonctions commerciales d' une organisation pendant et après
une interruption. Un exemple de fonction commerciale peut être le processus de paie d'un organisme
ou le processus d'information du consommateur. Un PCA peut être écrit pour un processus métier
spécifique ou peut concerner tous les processus métiers clés. Les systèmes informatiques sont pris en
compte dans le PCA en termes de prise en charge des processus métier. Dans certains cas, le PCA
peut ne pas recuperer à long terme des processus et retour à la normale, ne couvrant que les
exigences de continuité des opérations. Un plan de reprise après sinistre, un plan de reprise des
activités et un plan d'urgence pour les occupants peuvent être annexés au PCA. Les responsabilités et
les priorités définies dans le PCA doivent être coordonnées avec celles du plan de continuité des
opérations afin d'éliminer les conflits éventuels.
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION

Continuity of Operations
Plan (COOP)

Business Recovery Plan


(BRP)

Continuity of Support
Plan

Occupant Emergency Plan


(OEP)

Crisis Communications Plan

Disaster Recovery
Plan (DRP)
Cyber Incident
Response Plan

Business Continuity Plan

Figure : BCP components.


GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
++ Plan de continuité des opérations (COOP)
Le COOP se concentre sur la restauration des fonctions essentielles
d’ une organisation (généralement un siège) sur un site alternatif et sur l’exécution de ces
fonctions jusqu’à 30 jours avant de revenir à un fonctionnement normal. Dans la mesure où un
COOP traite des problèmes au niveau du siège, il est développé et exécuté indépendamment du
PCA. Comme le COOP met l'accent sur le rétablissement de la capacité opérationnelle d'une
organisation sur un autre site, le plan n'inclut pas nécessairement les opérations
informatiques. De plus, les interruptions mineures qui n'exigent pas de déplacement sur un autre
site ne sont généralement pas résolues. Cependant, COOP peut inclure les plans PCA, BRP et le
plan de reprise après sinistre sous forme d'annexes.
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION

++ Plan de continuité du soutien / plan d'urgence informatique / plan d'urgence du réseau


La continuité de la planification de l'assistance peut être synonyme de planification d'urgence
informatique. Dans la mesure où un plan d'urgence informatique doit être élaboré pour chaque
application principale et chaque système de support général, plusieurs plans d'urgence peuvent
être gérés dans le PCA de l'organisation. Ce plan comprend le développement et la maintenance
de la continuité des plans de support pour les systèmes de support généraux et des plans de
secours pour les applications majeures.
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
++ Plan de communication de crise
Les organisations doivent préparer leurs procédures de communication internes et externes
avant un sinistre. Un plan de communication de crise est souvent élaboré par l'organisation
responsable de la sensibilisation du public. Les procédures des plans de communication de crise
doivent être coordonnées avec tous les autres plans afin que seules les déclarations approuvées
soient rendues publiques. Les procédures du plan doivent être incluses en annexe du PCA. Le
plan de communication désigne généralement des personnes spécifiques comme seule autorité
pour répondre aux questions du public concernant les interventions en cas de catastrophe. Il
peut également inclure des procédures de diffusion des rapports de situation au personnel et au
public. Les modèles de communiqués de presse sont inclus dans le plan.
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
++ Plan de réponse aux incidents cybernétiques
Le plan de réponse aux incidents informatiques définit des procédures permettant de traiter les
cyberattaques contre le ou les systèmes informatiques d'une entreprise. Ces procédures sont
conçues pour permettre au personnel de sécurité d'identifier, d'atténuer et de récupérer des
incidents informatiques malveillants, tels qu'un accès non autorisé à un système ou à des
données, un déni de service ou des modifications non autorisées du matériel, des logiciels ou des
données du système (par exemple, une logique malveillante). comme un virus, un ver ou un
cheval de Troie). Ce plan peut être inclus dans les annexes du PCA.
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
++ Plan de reprise après sinistre (DRP)
Comme son nom l'indique, le DRP s'applique aux événements majeurs, généralement
catastrophiques, qui empêchent l'accès à l'installation normale pendant une période prolongée. Le
DRP fait souvent référence à un plan informatique conçu pour rétablir le fonctionnement du
système, de l'application ou des installations informatiques cibles sur un autre site après une
urgence. La portée du DRP peut chevaucher celle d’un plan d’urgence informatique; Cependant,
le PDR a une portée plus étroite et ne traite pas des perturbations mineures qui ne nécessitent
pas de déménagement. Selon les besoins de l'organisation, plusieurs plans de reprise peuvent être
ajoutés au PCA.
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
++ Plan d'urgence pour occupant (OEP)
L'OEP fournit les procédures d'intervention pour les occupants d'une installation dans le cas où
une situation constituerait une menace potentielle pour la santé et la sécurité du personnel, de
l'environnement ou des biens. Ces événements comprennent un incendie, un ouragan, une
attaque criminelle ou une urgence médicale. Les OEP sont développés au niveau de l'installation,
en fonction de l'emplacement géographique et de la conception structurelle du
bâtiment. L'installation OEP peut être ajoutée au PCA, mais est exécutée séparément.Voir la
figure 5.6 pour un résumé du plan.
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
• Analyse d'impact sur les entreprises - Business Impact Analysis (BIA)
Un PCA ne peut pas lire «Amenez tous les systèmes simultanément». Il serait impossible de le
faire. En tant que tel, il est essentiel d’élever les systèmes par ordre de criticité.Afin de
déterminer les systèmes les plus critiques, une analyse d’impact sur l’entreprise est
effectuée. Une BIA est souvent la première étape du PCA une fois que la haute direction a défini
la politique en matière de soutien du PCA.
Il pourrait sembler que l'évaluation de la criticité des systèmes devrait être une tâche simple,
mais souvent, le processus peut être assez difficile. Les raisons pour lesquelles il est difficile
d’effectuer une BIA commencent avec aucune personne ou unité commerciale ne voulant
admettrele manque de systèmes critiques. Dans de nombreux cas, les responsables fonctionnels
ou des personnes peuvent penser que, si aucun de leurs systèmes n’est classé au plus haut degré
de criticité, ils peuvent devenir consommables. La politique de bureau peut jouer un rôle très
réel dans l’atteinte des résultats d’un BIA. C’est pourquoi la responsabilité finale de la
détermination de la criticité des systèmes devrait incomber au CSI ou à la haute direction.
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
Pour récapituler, voici quelques-uns des problèmes les plus courants lors d’une analyse d’impact
sur les activités:
• Politique des systèmes critiques
• La complexité du système
• Systèmes dépendants Dépendances temporelles
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
• Effectuer un BIA
Comme vous l'avez peut-être deviné dans la section précédente, il est souvent nécessaire de
commencer par un inventaire des périphériques, des systèmes, des logiciels et des applications
avant de commencer l'analyse des incidences sur l'entreprise. Le processus d'inventaire en soi peut
souvent prendre beaucoup de temps et d'argent, mais nous avons rencontré quelques utilitaires qui
nous ont permis de gagner du temps lors de la réalisation de l'inventaire. Les utilitaires payants tels
que Network Asset Tracker de MIS Utilities et DesignXpert Visio Edition de NetFormX sont
parfaits pour rechercher des périphériques réseau qui pourraient être oubliés ou inconnus par le
personnel de support informatique actuel. Il existe également des utilitaires open source tels
qu'AutoScan à partir de http://autoscan.free.fr/.Vous pouvez obtenir des utilitaires d’inventaire des
logiciels installés sur les systèmes auprès de Business Software Alliance à l’adresse
http://www.bsa.org/usa/antipiracy/Free-Software-Audit-Tools.cfm.
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION

Figure: BCP plans summary.


GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
• Résultats de l'analyse d'impact sur les entreprises
Les résultats de la BIA doivent correspondre à la criticité globale du système, ainsi qu'à l'objectif
d'indisponibilité maximale tolérable (MTO) ou à la durée de récupération (RTO). Le concept de
MTO ou de RTO est essentiel pour l'ensemble du processus de PCA. Le MTO est défini comme
la durée maximale pendant laquelle un système ou un processus peut être déconnecté avant que
l'entreprise ne puisse plus récupérer. Un RTO est identique, sauf qu'il est exprimé en tant que
délai de récupération d'un système. L'utilisation de MTO est en grande partie remplacée par la
norme d'objectif RTO.
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
• Ces deux termes peuvent être expliqués dans le scénario suivant:

Si le système de paie de Acme Bank est affecté par une catastrophe, la plupart des employés
continueront à venir travailler si les chèques de paie ont quelques jours de retard. Une fois que les
chèques de paie ont plus de dix jours de retard, la plupart des employés cessent de venir au travail. Dans
la plupart des cas, cela signifie que l'entreprise échouera même si l'infrastructure informatique est
restaurée. Cette période de dix jours à partir de laquelle les chèques de paie sont censés être envoyés
constituerait la panne maximale tolérable: MTO. Exprimer cela en tant que point de reprise aurait pour
objectif de dire que le système de traitement de la paie devrait être récupéré dans les dix jours suivant le
délai de paiement normal en cas de sinistre.
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
Bien que le MTO et le RTO soient presque toujours calculés en jours, l’échelle de criticité d’un
système ou d’un processus peut utiliser de nombreuses étiquettes différentes. Certaines
organisations classeront la note BIA selon une échelle basse, moyenne ou élevée. D'autres
organisations utilisent une cote de A à F, et la plus courante semble être une échelle de notation
de 1 à 5. Nous utilisons l'échelle de notation 1 à 5 dans les exemples futurs du chapitre. En
utilisant l’échelle 1 à 5, les applications classées 1 ou 2 auront la priorité la plus élevée pour
revenir au traitement. Une application dont la criticité est évaluée à 3 sera renvoyée au
traitement dès que possible. Les applications dont l'état de criticité est 4 ou 5 ne seront pas
renvoyées au traitement dans le cadre du plan de reprise après sinistre, mais le seront à nouveau
dans le cadre du plan de reprise des activités. Les applications de niveaux 4 et 5 ne reprendront
le traitement que lorsque les opérations commerciales seront déplacées vers le site de
traitement permanent et non sur le site de récupération après sinistre.
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
• Raisons pour BIA
Comme indiqué ci-dessus, l'analyse de l'impact sur les activités est la première étape du PCA
après que la haute direction a défini une politique de PCA. La réalisation d'une BIA présente de
nombreux avantages pour le reste du processus de PCA. La BIA veillera à ce que le traitement
de la demande reprendra en fonction du plan d'affaires de votre organisation. Cela signifie qu'une
BIA établira un lien entre les objectifs de sécurité et la mission de l'organisation. En outre, une
AIB quantifie le montant des dépenses en mesures de sécurité visant à atténuer les risques avant
le sinistre ou l'incident, ainsi que des contrôles permettant la récupération du traitement de
l'application dans les délais impartis. Parce que la BIA vous permet de comprendre ce qui est
essentiel et de disposer d'un délai pour restaurer le traitement, la BIA fournit une planification et
des conseils à long terme pour le reste du processus de PCA. Pour résumer, les objectifs d'un
AIB sont de comprendre les impacts économiques et opérationnels, de déterminer les délais de
reprise, d'identifier la stratégie la plus appropriée justifiée par les coûts d'un plan de
redressement et d'inclure le PCA dans les processus décisionnels normaux.
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION

Criticality Recovery Stages

Tier 1 Application

Immediately

Tier 2 Application

Tier 3 Application As Time Permits

Tier 4 Application

During Resumption Only

Tier 5 Application

Figure : Criticality recovery locations


GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
• Recherche de ressources et de dépendances
La BIA se concentre sur la restauration des processus métier. Ces processus
s'exécutent sur les systèmes informatiques. À ce stade, il est nécessaire de
trouver toutes ces ressources et d’attribuer aux dispositifs de support le même
niveau de criticité que le niveau de processus qui s’applique au sommet de
l’infrastructure. Dans certaines organisations, ce processus fait partie de la
BIA. En fait, c'est la façon dont je préfère effectuer le processus, mais je sais que
plusieurs organisations créeront deux étapes dans ce processus.
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
• Sites froids
Les sites froids sont généralement constitués d’une installation disposant de
suffisamment d’espace et d’infrastructures (alimentation électrique, connexions de
télécommunication et contrôles environnementaux) pour prendre en charge le système
informatique. L'espace peut avoir des sols surélevés et d'autres attributs adaptés aux
opérations informatiques. Le site ne contient pas de matériel informatique et ne
contient généralement pas de matériel de bureautique, tel que des téléphones, des
télécopieurs ou des copieurs. L'organisation utilisant le site froid est responsable de la
fourniture et de l'installation du matériel nécessaire et des capacités de
télécommunication. Un site froid est essentiellement une coquille avec un plancher
surélevé et de la puissance.
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
• Sites Warm
Les sites Warm sont des espaces de bureau partiellement équipés qui
contiennent tout ou partie du matériel, des logiciels, des télécommunications et
des sources d'alimentation du système. Le site chaud est maintenu dans un état
opérationnel prêt à recevoir le système déplacé. Il peut être nécessaire de
préparer le site avant de recevoir le système et le personnel de
récupération. Dans de nombreux cas, un site chaud peut servir d’installation
opérationnelle normale pour un autre système ou une autre fonction et, en cas
d’activation du plan d’urgence, les activités normales sont temporairement
déplacées pour tenir compte du système perturbé.
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
• Sites chauds
Les sites actifs sont des espaces de bureau de taille appropriée pour prendre en
charge la configuration système requise et configurés avec le matériel système
nécessaire, l'infrastructure de support et le personnel de support. Les sites
favoris sont généralement ouverts 24 heures sur 24, sept jours sur sept. Le
personnel du site actif commence à préparer l'arrivée du système dès qu'il est
informé de l'activation du plan de secours.
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
• Sites mobiles
Les sites mobiles sont des coques autonomes et transportables, dotées d'un
équipement informatique et de télécommunications spécifique nécessaire pour
répondre aux exigences du système. Ceux-ci sont disponibles à la location par le biais
de vendeurs commerciaux. L'installation est souvent contenue dans un semi-remorque
et peut être conduite et installée à l'emplacement de remplacement souhaité. Dans la
plupart des cas, pour être une solution de récupération viable, les sites mobiles doivent
être conçus à l’avance avec le fournisseur et un contrat de niveau de service doit être
signé entre les deux parties. Cela est nécessaire car le temps nécessaire à la
configuration du site mobile peut être long et, sans coordination préalable, le temps
nécessaire pour livrer le site mobile peut dépasser le temps d'indisponibilité autorisé du
système.
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
• Sites en miroir
Les sites en miroir sont des installations entièrement redondantes avec une mise
en miroir complète des informations en temps réel. Les sites en miroir sont
identiques au site principal à tous égards techniques. Ces sites offrent le plus
haut degré de disponibilité, car les données sont traitées et stockées
simultanément sur le site principal et sur le site de remplacement. Ces sites sont
généralement conçus, construits, exploités et gérés par l’organisation.
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
• Accords réciproques

Les accords de réciprocité sont très rares à voir fonctionner dans les affaires. Un accord de
réciprocité est un accord entre deux organisations qui obligent contractuellement l’organisation
ne subissant pas le sinistre à fournir des installations de traitement à l’organisation touchée par le
sinistre. Dans la plupart des cas, les accords ne fonctionnent pas en raison de la nature
perturbatrice de la co-localisation du traitement sur les applications de l'autre organisation. En
théorie, les accords réciproques sont très avantageux en raison du faible coût et de la grande
quantité d'équipements, mais en raison des perturbations susmentionnées des opérations
normales, la plupart des organisations choisiraient une autre installation hors site.
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
Hardware Tele- Setup
Equipment communications TimeLocation

Site Cost
Cold Site Low None None Long Fixed

Warm Site Medium Partial Partial/Full Medium Fixed

Hot Site Medium/ High Full Full Short Fixed

Mobile Site High Dependent Dependent Dependent Not


Fixed

Mirrored Site High Full Full None Fixed

Table : summarizes the differences among site locations.


GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
• Mise en oeuvre et écriture
Une fois l'emplacement de remplacement choisi, il est temps de mettre en œuvre le plan et de
commencer à le rédiger. La rédaction du plan doit inclure des informations sur l'emplacement de
l'équipement, son achat, les contacts des fournisseurs et les contrats de niveau de service. La
mise en œuvre du plan devrait inclure la stratégie de sauvegarde des données et toute autre
redondance nécessaire à la réussite du plan. Une fois que le plan est écrit, il devrait être présenté
au CISS pour approbation. Une fois le plan approuvé, un suivi strict des versions devrait avoir
lieu. Le suivi des versions empêchera deux groupes d’adopter différentes versions du PCA en cas
de sinistre. Une fois qu'une version du plan est acceptée par le CISS, il est temps de passer à la
phase suivante: la formation.
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
• Exercer et tester le BCP / DRP
Il existe de nombreux types de tests du PCA, allant des tests d’interruption complets, qui ne
doivent pas être effectués pendant les heures de pointe, aux procédures pas à pas, qui peuvent
être effectuées à tout moment.Avant de commencer tout type de test, le responsable de la
sécurité de l'information doit compiler une liste d'objectifs de test. Cette liste vous fournira un
mécanisme pour voir si votre plan fonctionne bien. Les tests sont essentiels pour garantir que
tous les membres de l'équipe disposent de la formation nécessaire pour effectuer leurs
tâches. En outre, des tests fréquents fourniront de l'expérience au processus de PCA, de sorte
que les tâches ne seront pas complètement nouvelles pour les membres de l'équipe en cas de
sinistre.
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
Voici quelques types courants de tests BCP:
• Test sur table: une lecture du plan avec tous les membres de l'équipe
• Simulation: scénario de catastrophe simulée pouvant être très détaillé ou de haut niveau en
fonction des objectifs du test
• Test de récupération technique: tentative de récupération de copies de sauvegarde des données
• Test de récupération de site alternatif: Test du déplacement vers le site alternatif
• Test des installations et services du fournisseur: Vérification de la conformité aux accords de
niveau de service contractuels
• Test d'interruption complète : Cessation complète du traitement de la production vers d'autres
sites ou périphériques
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
• Améliorer le plan
Le résultat de l’évaluation devrait être une liste de choses à corriger et il est très rare qu’il n’y ait
aucun domaine à améliorer. En fait, en tant que responsable de la sécurité de l’information, si vous
appliquez le plan et que vous n’avez rien à améliorer, vous n’avez pas testé le plan assez
durement. S'il n'y a pas d'amélioration possible après le test, il est recommandé de tester à
nouveau le plan dans un scénario plus difficile. Une fois les domaines à améliorer identifiés, les
tâches doivent être attribuées à quelqu'un, un calendrier d'exécution doit être établi et un
examen des tâches terminées doit avoir lieu.
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
• Mise à jour du plan
Comme nous en avons discuté plus haut, un PCA est un document évolutif. Il est nécessaire de
suivre l'évolution des besoins et de la structure de l'organisation. La mise à jour du PCA devrait
faire partie du SDLC. Lors de la mise à niveau d'un système ou de la mise en place d'un nouveau
système, il est généralement recommandé de veiller à ce que le plan de reprise après sinistre et
de continuité des activités soit modifié pour inclure les nouveaux systèmes.
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
• Trois phases du PCA
En cas de catastrophe, il y a trois phases . Ils sont la réponse, la récupération et la
restauration. La phase d'intervention nécessite la création d'un plan d'intervention d'urgence et
d'un plan de communication de crise. Les deux éléments clés de la phase d’intervention
consistent à stabiliser l’environnement et à protéger la population. Une fois ces objectifs atteints,
il est temps de commencer les premières étapes du plan de continuité des activités. Comme il
existe de nombreuses composantes dans un PCA, de nombreuses équipes sont également
impliquées dans le processus de continuité des activités.
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION

• Une fois qu'un incident s'est produit, ce n'est toujours pas une catastrophe tant qu'il n'a pas été
déclaré.Avant qu'un désastre puisse être déclaré, l'équipe de gestion de crise (CMU) doit être
réunie. La CMT est généralement composée de cadres supérieurs, du personnel des relations
publiques et du personnel des ressources humaines. Une fois que la CMT est en place, l'équipe
d'évaluation des dommages peut procéder pour déterminer si l'incident est vraiment une
catastrophe.Aucun plan de redressement n'est mis en œuvre tant que l'équipe d'évaluation n'a pas
évalué le site et en a rendu compte à l'équipe de gestion de crise.
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
• Une fois le site évalué, l’équipe de gestion de crise déclare un sinistre (si cela se justifie). Une
fois la déclaration effectuée, certains processus se dérouleront simultanément. Cela commence
par la mise en œuvre de votre stratégie de récupération. Cela commencera par le processus
de restauration du traitement sur vos applications, systèmes et processus métier de niveaux 1
et 2. N'oubliez pas que nous avons déterminé les applications de niveau 1 et 2 à partir de
l'analyse d'impact sur l'entreprise.Au moment même où l'équipe de récupération commençait
à appliquer le plan, l'équipe de stockage hors site se rendait sur le site de stockage pour
localiser les sauvegardes sur bande des données de votre organisation. En outre, l'équipe de
sauvetage se rendra sur le site de la catastrophe et récupérera l'équipement, quel qu'il soit,
pouvant être récupéré.
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
• Senior Management Official • Alternate Site Recovery Coordination Team
• Management Team • Original Site Restoration/Salvage
• Coordination Team
• Damage Assessment Team • Test Team
• Operating System Administration • Administrative Support Team Team
• Systems Software Team • Transportation and Relocation Team
• Server Recovery Team (e.g., client • Media Relations Team server, Web server)
• LAN/WAN Recovery Team • Legal Affairs Team
• Database Recovery Team • Physical/Personnel Security Team
• Network Operations Recovery • Procurement Team (equipment
• Team and supplies)
• Application Recovery Team(s)
• Telecommunications Team
• Hardware Salvage Team
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
• Réponse à un incident
Un incident est moins grave qu'un sinistre et il en résulte généralement une panne de 24 heures ou
moins. L'un des exemples les plus courants d'incident est l'attaquant qui obtient un accès non autorisé
à un système appartenant à votre organisation. Un autre exemple courant est une épidémie de code
malveillant (virus ou ver) sur le réseau de votre entreprise. La réponse à un incident est le processus
permettant de répondre à ce type d'événement. Comme pour le BCP, il est toujours préférable
d’avoir un plan d’intervention en cas d’incident et de ne pas avoir besoin d’eux.
La réaction aux incidents est un domaine en évolution rapide. Pour cette raison, il n’existe pas de
normes nationales bien établies en matière de réaction aux incidents. La publication spéciale 800-86
de l'Institut national de normalisation et de technologie (NIST) et le document de Spafford and
Carrier intitulé «Digital Investigative Framework», présenté lors du Digital Forensic Research
Workshop d’août 2004, sont les deux documents les plus souvent référencés pour la réponse à un
incident. disponible sur http://www.digital-evidence.org/papers/index.html. La figure 5.10 illustre le
processus de réponse aux incidents.
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
• Découverte
Les incidents peuvent être découverts de nombreuses façons. Plus souvent qu'autrement, vous
allez obtenir des informations sur votre incident par le biais d'une découverte accidentelle. La
découverte accidentelle se produit lorsqu'un événement anormal est détecté. Parmi les exemples
de découverte accidentelle, citons l’erreur de comptabilité de 75 centimes dans l’oeuf du coucou
et le cas du pirate informatique détecté parce qu’il utilisait le compte d’un assistant pour se
connecter au système à 2 heures du matin . Les systèmes de détection d'intrusion, les systèmes
de prévention d'intrusion et les journaux d'audit peuvent tous fournir d'autres méthodes pour
découvrir un code malveillant ou un attaquant.
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
• Notification
En tant que professionnel de la sécurité de l’information, après la découverte d’un événement, la
seule responsabilité est de le signaler à la direction. La responsabilité de savoir comment
enquêter sur l'incident appartient à la direction et non au professionnel de la sécurité de
l'information. Lorsqu'il s'agit de notifier la direction, vous souhaitez le leur faire savoir
immédiatement et le meilleur moyen consiste à utiliser la notification hors bande. Ce n’est pas
une bonne idée d’envoyer des courriers électroniques à leurs Blackberries ou à des comptes
professionnels, car ces communications peuvent être interceptées par l’attaquant ou un employé
mécontent. Le meilleur moyen d’informer la direction est lors d’une réunion face à face. Pour
toute discussion future sur l’enquête en cours, il faut utiliser des communications hors bande.
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
Discovery

Notification

Preservation/
Containment

Analysis

Presentation

Post Mortem
Review

Revise the Plan

Figure :Processus de réponse à un incident


GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
• Enquête préliminaire
L’enquête préliminaire a pour but de vérifier qu’un incident a bien eu lieu. À ce stade, vous essayez de
déterminer si le rapport est vraiment un crime informatique ou si c'est une personne qui se
trompe. Nous avons deux grands fantômes de la sécurité informatique. Nous avons le pirate
informatique et nous avons le virus.
Le meilleur endroit pour commencer l’enquête préliminaire est d’examiner la plainte ou les
informations relatives à l’incident. Une fois que vous avez examiné la plainte, vous pouvez décider que
l'événement est un incident non accidentel et qu'il ne s'agit que d'une erreur. Si vous pensez que cela
peut encore être un événement, l'étape suivante du processus consiste à interroger les témoins de
l'événement. Ce processus consiste simplement à demander aux gens de décrire ce qu'ils ont vu
lorsque l'événement s'est produit. Si les réponses aux entretiens semblent indiquer que l'événement
est un incident, l'étape suivante consiste à rechercher des enregistrements de journal d'audit sur des
périphériques autres que le périphérique principal en question. La raison de rechercher des journaux
d'audit ou des remplaçants est due à la valeur légale possible du système principal. Les autres
emplacements des journaux d'audit peuvent inclure des routeurs, des pare-feu et des serveurs. Les
enregistrements d'audit peuvent permettre de vérifier qu'un événement est réellement un incident.
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
• Objectifs de l'enquête
La haute direction devrait fournir au responsable de l'intervention en cas d'incident les objectifs
de l'enquête. Il existe plusieurs exigences différentes en matière d'enquête. Les exigences
aideraient à définir quelle ligne de conduite devrait être prise.Voici quelques objectifs et pistes
d'action communs:
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
• Ne rien faire: il s'agit de l'option la moins coûteuse et est souvent utilisée par les
organisations sans exigences réglementaires pour enquêter sur les incidents.
• Surveillance: Cette option est plus chère, mais reste relativement peu coûteuse. Dans cette
ligne de conduite, l’enquête se concentrera sur l’interview de personnes et la surveillance
d’incidents futurs.
• Éliminer les failles de sécurité: Une option rapide et parfois coûteuse consiste à boucher la
faille qui a permis à l'incident de se produire. Une fois le trou bouché, l’enquête est terminée.
• Enquête criminelle: C'est l'option la plus chère. Le but de cette enquête est que l’agresseur
soit poursuivi devant un tribunal pénal.
• Enquête civile: C'est la deuxième option la plus chère. Les preuves sont rassemblées à l'aide
de processus stricts, mais pas aussi strictes que si l'objectif principal était une enquête
criminelle. Le but ultime d’une enquête civile est de recouvrer les pertes financières de
l’agresseur fautif devant un tribunal civil.
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
• Divulgation
Certains incidents doivent être divulgués à des clients, aux forces de l'ordre, à un conseil de
surveillance ou à un organisme gouvernemental. Si votre société est concernée par des lois telles
que la SB-1386 ou la Gramm – Leech – Bliley, en Californie, il peut être nécessaire d'avertir
toutes les personnes dont les informations personnelles ont été compromises. La bonne nouvelle
à propos de la divulgation en tant que professionnel de la sécurité de l'information est que la
décision de divulguer ne vous appartient pas. En tant que responsable de la sécurité de
l'information, vous devez pouvoir conseiller la direction sur la divulgation. Dans la plupart des cas,
le service juridique peut avoir le dernier appel si la divulgation est requise en raison de
problèmes de conformité juridiques et réglementaires différents. En tant que responsable de la
sécurité de l'information, vous ne devez jamais divulguer directement aux médias un incident de
sécurité, même si la loi l'exige. En règle générale, cette divulgation devrait être effectuée par la
personne chargée des relations publiques.
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
• Surveillance
Parce que je ne pense vraiment pas que nous ayons besoin de discuter de ce que l'option "ne
rien faire" est nécessaire pour l'objectif d'une enquête, nous commençons par l'option suivante la
moins chère: effectuer une surveillance. Les méthodes de surveillance les plus courantes
consistent à effectuer une surveillance électronique ou physique. La surveillance, sous l'une ou
l'autre forme, se produit lorsque vous avez identifié un suspect et que vous recherchez des
modifications dans les schémas. La surveillance est différente de la surveillance parce que la
surveillance s’applique à tout le monde, alors que la surveillance s’applique uniquement aux
personnes soupçonnées d’être impliquées dans l’incident.
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
Surveillance électronique
La surveillance électronique peut avoir de nombreux objectifs différents. Les objectifs les plus
courants sont de détecter un changement d'utilisation d'un système ou d'autres ressources. Par
exemple, un employé mécontent peut avoir accès à des ressources dont il n'a pas besoin pour
accéder à sa fonction normale. L'autre objectif commun de la surveillance électronique est de
rassembler des preuves d'un crime informatique en cours. Un exemple de ceci serait si un
employé envoyait des secrets d’entreprise par courrier électronique à un concurrent.
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
• Surveillance physique
La surveillance physique surveille le suspect et non le système utilisé par le suspect. La
surveillance physique implique de surveiller le suspect pour détecter les changements de mode
de vie. Par exemple, un suspect peut commencer à conduire une nouvelle voiture coûteuse, à
porter des vêtements de marque et à prendre des vacances coûteuses. Si le suspect vit au-delà
de son niveau de revenu actuel, cela devrait indiquer que le suspect est peut-être l'auteur.
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION

Internal Security 1. Understanding of the systems 1. 2. May be suspect or perpetrator


Team and personnel Potential conflict of Interest

External Consultants 1. No conflict of Interest 1. High Costs


2. Difficult to find highly trained consultants
Lack of prior intimate knowledge of
3. systems

Law Enforcement 1. No conflict of Interest 1. Lack of investigative control

2. Less cost
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
• Lancer l'enquête
Trouver les bonnes personnes pour mener une enquête est un processus difficile. Les solutions
habituelles consistent à faire appel à la sécurité interne, à des consultants externes ou aux forces de
l'ordre. Chacun des choix présente des forces et des faiblesses dans le processus d'enquête. Bien
que les équipes de sécurité internes comprennent beaucoup mieux la sécurité, la structure et le
personnel impliqué dans l'enquête, elles peuvent être aussi bien le suspect que l'auteur. La
connaissance des systèmes est un avantage certain pour les équipes de sécurité internes.

Une fois qu'une équipe de consultants de qualité peut être trouvée, le prix peut être assez élevé. La
dernière option pour mener l'enquête est l'application de la loi. Différentes juridictions ont
différentes équipes de maintien de l'ordre qui enquêtent sur les crimes informatiques.
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
• Facteurs d'enquête
Le facteur numéro un lorsqu'il s'agit de mener une enquête est le coût. Le coût
est le facteur numéro un. L'argent est ce qui va se passer quand il s'agit
d'enquêtes.Vous comprenez donc quel sera le facteur le plus important? C'est un
coût, oui. Les coûts peuvent englober des problèmes juridiques et réglementaires
pouvant inclure des amendes ou des pénalités financières. Les questions
secondaires de l’enquête seront les questions de confidentialité, de recherche et
de saisie de preuves et de diffusion de l’information. Les informations relatives à
une enquête peuvent être divulguées aux médias.
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
• Suspects les plus probables - initiés, externes et collaboration
Pour ce qui est de savoir qui devrait être un suspect, gardez à l’esprit qu’il est
légèrement plus susceptible d’être un initié. Les tendances passées ont indiqué
qu'il était beaucoup plus probable qu'il s'agisse d'un initié que d'un outsider, mais
les statistiques de 2005 montrent que les chiffres sont à peu près égaux La règle
générale est que de plus en plus d'attaques sont tentées par des étrangers, mais
que les attaques les plus réussies sont générées par des utilisateurs internes. Si
tous les éléments de preuve contenus dans votre enquête sur la criminalité
informatique pointent vers un étranger, recherchez l'initié qui l'informe de la
manière de réussir l'attaque.
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
• Geler l'environnement
Lorsqu'il s'agit de saisir un système pour mener une enquête judiciaire, vous devrez
vous assurer que vous disposez de bonnes informations sur le système. Cela inclurait
des informations sur les détails de la configuration du système.Vous auriez besoin de
savoir si une modification est apportée pour ne pas écraser les données critiques.Vous
devez également savoir si le chiffrement de disque dur est en place, car si vous arrêtez
un système avec chiffrement de disque dur et que vous ne connaissez pas la clé pour
revenir dans le disque dur, vous ne pourrez pas obtenir l'information hors de ce
système. C'est pourquoi vous devez consulter des experts en sécurité du système pour
savoir quel type de mécanisme de sécurité peut être mis en place dans ce système avant
le début de la saisie.
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
• Membres de l'équipe

Qui va être impliqué? Qui sont les membres de l'équipe pour faire une enquête? En
règle générale, vous aurez un enquêteur principal. Cela va être comme le chef
d'orchestre de la symphonie. Ce sera la personne qui sera responsable de la
coordination de toutes les tâches. Certaines des personnes impliquées seront
généralement des personnes de la sécurité de l’information, du service juridique, de
l’informatique si vous avez un service informatique et de la sécurité de l’information
distinct, et des ressources humaines. L’enquêteur principal n’est pas forcément un
technicien car il a pour responsabilité principale de coordonner l’enquête et de veiller à
ce que les politiques et les procédures soient suivies.
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
• Accès post-incident
Au cours de l'enquête, il est important de décider si le suspect continuera
d'avoir accès à son système ou à la cible du système d'attaque. Si votre suspect
continue à avoir accès au dossier, vous devez être conscient qu'il est en train de
détruire des preuves sur ce système ou qu'il a peut-être mis en place un type de
bombe logique qui attend de détruire les preuves sur votre système cible. Une
fois que vous avez pris toutes ces décisions, vous pouvez le poursuivre avec un
mandat de perquisition ou un bref de mise en possession. Cette décision est
généralement prise par le CISS avec l’aide du service juridique.
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
• Saisir le système

Le jour J se produit lorsque vous allez réellement saisir le système. Il


y a deux règles cardinales dans ce processus de saisie de système. La
première règle est «Ne pas nuire». Cela signifie que tout processus
que vous utiliserez dans cette phase de l'enquête ne doit pas détruire
les données sur le système cible. La deuxième règle est «réfléchissez
et délibérez avant de déménager».
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
Cela signifie qu'avant d'effectuer une action, vous devez évaluer les alternatives
et vous préparer aux conséquences. Le premier point à l'ordre du jour de la
phase de saisie est de limiter l'accès au système cible. La raison à cela est de
s'assurer qu'il est très peu probable que les preuves soient endommagées ou
modifiées de quelque manière que ce soit.Vous voulez protéger les preuves, en
vous rappelant votre mantra de ne pas nuire. En tant que responsable de la
sécurité de l’information, vous devrez utiliser des contrôles pour sécuriser la
zone. Les contrôles courants sont une feuille de connexion / déconnexion, un
journal des preuves et peut-être des contrôles physiques pour empêcher l'accès
physique à l'espace sécurisé.
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
• Processus médico-légaux
• Il existe deux types d'investigation informatique pouvant être effectués . Les types sont la
criminalistique de système en direct et les processus de criminalistique informatique plus
courants. Dans la plupart des cas, le processus de criminalistique informatique est utilisé, mais
la criminalistique en direct sur système devient de plus en plus courante.
• L'analyse judiciaire de système en direct est le plus souvent utilisée lorsque l'enquête cible des
fichiers inappropriés. Les fichiers peuvent être des logiciels volés, des secrets d'entreprise
critiques, des images illégales ou du code source de programmes malveillants. Les analyses
légales de système en direct se produisent sur le système cible et non sur une machine légale
distincte. .
• Le processus judiciaire informatique commun a deux méthodologies L'une est une ancienne
méthodologie et l'autre, une nouvelle. Chaque méthodologie a ses avantages et ses
inconvénients.
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION

Incident

Live System Computer

Forensics Forensics

Newer Older
Methodology Methodology

Figure Live system forensics and traditional forensics


GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
• Inventaire des périphériques internes
Une fois que vous avez débranché le système, l'étape suivante consiste à documenter le contenu
interne. Cela peut être fait en prenant une photo du système et du pilote et en enregistrant
également le numéro de série du ou des disques.

• Traitement judiciaire - Imagerie


Ceci est juste un rappel rapide que ce processus est destiné à la criminalistique traditionnelle et
non à la criminalistique de système réel. Une fois que la documentation du lecteur est terminée,
il est temps d'effectuer une sauvegarde judiciaire du lecteur suspect. Cette sauvegarde est une
image bit-stream. Une image bit-stream crée une sauvegarde de plus que les fichiers du lecteur.
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
• Variation du système en direct
Les analyses judiciaires de système en direct sont utilisées lorsque le processus d'analyse
judiciaire traditionnel n'est pas nécessaire, ou que le temps de traitement est trop long ou que le
coût est trop élevé. Le coût réduit est l’un des atouts majeurs de la criminalistique systémique en
direct. Cela ne signifie pas que vous devez vous engager pour un budget énorme ou des outils
logiciels coûteux, mais cela nécessite une boîte à outils.
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
• Traitement judiciaire - Imagerie
Une fois que vous avez créé l'investigation scientifique du système suspect, il est temps de voir si
l'image contient des données ayant une valeur probante (voir la figure 5.18). Plusieurs utilitaires
peuvent être utilisés pour traiter l’image, qu’ils soient payants ou à source ouverte. Les utilitaires
de paiement sont les mêmes que ceux qui peuvent être utilisés pour créer la sauvegarde de flux
binaire. Les exemples populaires d’utilitaires de traitement forensic payants incluent EnCase ® de
Guidance Software et Forensic ToolKit ™ d’AccessData.Autopsy est l'utilitaire open source le
plus courant pour le traitement judiciaire. Le traitement judiciaire peut inclure la récupération de
fichiers supprimés; rechercher des fragments de fichier; découvrir des fichiers cachés, cryptés ou
protégés par mot de passe; rechercher des fichiers image, des courriels ou des logiciels
inappropriés; et la reconstruction des fichiers journaux.
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
• Rapports médico-légaux
La plupart des utilitaires de traitement médico-légal incluent un module de
rapport intégré. Les rapports médico-légaux sont souvent difficiles pour les
techniciens, car ils doivent être brefs, ce qui va à l'encontre de la manière dont la
plupart des techniciens écrivent. En tant que techniciens, nous incluons souvent
une grande quantité d'informations générales pour expliquer un concept. Pour
les rapports médico-légaux, aucune information de base ne doit être incluse et
seuls les résumés nécessaires de faits et de preuves doivent être découverts.
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
• Tribunaux pénaux et civils
Les tribunaux pénaux sont souvent les tribunaux les plus difficiles à faire accepter au
procès pour les preuves liées à l’informatique. La plus grande remise en question de la
validité des preuves se produira devant les tribunaux pénaux. Dans les tribunaux pénaux,
le but est de punir le contrevenant et la victime, c'est la société. Dans un procès pénal,
l'accusé est déclaré coupable ou non coupable. Les crimes peuvent être des délits ou
des crimes. Les crimes de délit sont généralement des crimes passibles d'une peine
d'emprisonnement maximale de moins d'un an. Les crimes de félonie ont généralement
des peines de prison de plus d'un an. La norme de preuve devant un tribunal pénal est le
doute raisonnable. Dans les tribunaux civils, la norme de preuve est la prépondérance
de la preuve. L'interrogatoire de preuves liées à l'informatique devant un tribunal civil
est moins important que celui d'un tribunal pénal. Dans un tribunal civil, le défendeur
est jugé responsable ou non responsable.
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
• Règle d'exclusion
• Pour qu'une preuve soit présentée devant un tribunal, elle doit être obtenue légalement. Cela
signifie que la collecte de preuves n'était pas un crime en soi. Donc, nous ne pouvons pas voler un
ordinateur portable chez quelqu'un pour traiter le disque dur de cet ordinateur portable comme
preuve d'un crime. Outre la preuve obtenue légalement, la preuve doit être pertinente et fiable. Si la
preuve est étrangère au procès, elle n’est pas pertinente. Si les preuves étaient obtenues à l'aide de
mauvaises pratiques médico-légales, elles ne seraient pas fiables.

• Cycle de vie des preuves


Il existe un cycle de vie normal de preuves dans une affaire de crime informatiqueLe cycle de vie
commence par la collecte des preuves. Une fois que les preuves ont été rassemblées, les preuves sont
soumises à un traitement médico-légal. Une fois le traitement médico-légal terminé, les éléments de
preuve doivent être conservés et traités de manière sécurisée afin d'éviter toute altération des
éléments de preuve.Après quoi, les preuves sont présentées au tribunal et le processus se termine
lorsque les preuves sont renvoyées à la victime ou au propriétaire du système.
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
• Incident post mortem
Une fois l'incident terminé, il est temps d'effectuer un examen post mortem du
processus de réponse à l'incident. Chaque incident fournit d'excellents
commentaires pouvant être utilisés pour améliorer la réponse à l'incident lors
du prochain incident. Certains des domaines de réponse aux incidents et de
sécurité qui feront généralement partie d'un examen post mortem
consisteraient à vérifier l'efficacité du plan de réponse aux incidents: vérification
de la politique de diffusion des informations pour voir si des informations ont
été divulguées dans les médias, pour voir si l'incident la politique de reporting
était suffisante, et pour voir si les gens comprenaient les processus quand ils
pensaient que leur système avait été compromis.
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
Collection and
Identification of
Evidence

Processing of
Evidence

Storage,
Preservation, and
Transportation to
Court

Evidence Life Cycle Presentation in


Court

Evidence is
Returned to the
Victim

Figure Evidence life cycle.


GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
• Formation en réponse à un incident
Tous les membres du personnel de sécurité doivent être formés pour ne pas
nuire, le mantra principal de l'informaticien légiste et de l'intervention en cas
d'incident. Une formation supplémentaire devrait être axée sur la formation des
employés sur la manière de reconnaître un incident et de le signaler. Cette
formation est particulièrement importante pour le personnel du centre
d’assistance. Elle devrait également mettre l’accent sur la façon de signaler
l’incident et sur les procédures d’escalade de niveau afin de garantir une
intervention adéquate.
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
• Installations du gouvernement pour aider à la planification en cas de
catastrophe

• Procédures d'escalade et notification


Une partie du plan de reprise après sinistre devrait indiquer à la fois comment
remonter les incidents et comment informer les personnes et dans quel ordre
spécifique. Les groupes typiques qui devront être informés en cas d’incident
incluent la haute direction, le public, les actionnaires et le service juridique.Toute
décision de divulgation d’informations doit être prise conformément à une
politique de diffusion de l’information et doit être créée en collaboration avec
les relations publiques, les conseillers juridiques et les cadres supérieurs
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
• Formation au centre d'assistance
Le personnel du centre d'assistance est souvent la première ligne de défense et
le premier groupe à pouvoir constater qu'un incident s'est produit. Il est
impératif que les équipes du centre d'assistance soient formées pour faire la
différence entre une demande d'assistance normale et des attaques d'ingénierie
sociale. Une partie de la formation des équipes du centre d’assistance devrait
inclure la vérification des informations des employés. Les équipes du centre
d'assistance doivent également être formées pour résister aux attaques de
pression qu'un ingénieur social peut tenter d'utiliser contre elles. Cela signifie
que les équipes du centre d'assistance doivent être formées au processus
d'escalade de la société et qu'elles doivent savoir quand renvoyer les demandes à
un responsable.

Vous aimerez peut-être aussi