Prix
Essai

Traitement des incidents

Pour traiter les incidents, votre organisation doit établir des procédures claires, et pour soutenir le traitement des incidents, votre organisation doit également mettre en œuvre l'enregistrement et la surveillance des irrégularités dans le réseau et les systèmes d'information afin que les incidents puissent être détectés en premier lieu.

Traitement des incidents

Pour traiter les incidents, votre organisation doit établir des procédures claires, et pour soutenir le traitement des incidents, votre organisation doit également mettre en œuvre la journalisation et la surveillance des irrégularités dans le réseau et les systèmes d’information afin que les incidents puissent être détectés en premier lieu. Les données d’enregistrement doivent également être protégées contre la manipulation et l’accès non autorisé afin de garantir l’intégrité de ces données.

Traitement des incidents

Votre organisation doit s’assurer qu’elle peut gérer les incidents afin de pouvoir réagir de manière appropriée lorsque des incidents se produisent. L’objectif de cette mesure de sécurité est de réduire les dommages causés aux réseaux et aux systèmes d’information, ainsi qu’aux services critiques, afin que l’impact de l’incident soit le plus faible possible. Après un incident, votre organisation doit être en mesure de reprendre ses activités normales.

Exigences

Pour gérer correctement les incidents, votre organisation doit préparer et mettre en œuvre des procédures d’urgence qui permettent d’identifier, de détecter et d’analyser les incidents et d’y répondre. Ces procédures doivent également permettre la reprise d’opérations sûres et stables, et garantir que votre organisation puisse remplir ses obligations de notification à l’équipe nationale de réponse aux incidents de sécurité informatique (CSIRT) en cas d’incidents majeurs.

Votre organisation doit disposer des compétences nécessaires, soit en interne, soit par le biais d’accords avec des tiers, pour s’assurer que les incidents peuvent être traités correctement.

Pour soutenir cette capacité, votre organisation doit également :

  • définir les rôles, les responsabilités et les procédures de prévention, de détection, d’analyse, de confinement, de réaction, de rétablissement, de documentation et de notification des incidents majeurs dans les plus brefs délais. Il peut également s’agir de plans de communication interne et externe et de systèmes de communication d’urgence.
  • disposer d’une procédure permettant aux employés, aux fournisseurs et aux clients de signaler des incidents suspects en interne de manière simple et accessible, afin qu’il n’y ait pas d’obstacles à son utilisation.
  • réagir aux incidents en temps utile et conformément aux procédures de traitement des incidents de l’organisation.
  • procéder à un examen après un incident majeur afin d’en identifier la cause profonde et d’en tirer des enseignements susceptibles de réduire le risque et l’impact d’incidents similaires à l’avenir.

Votre organisation doit également tester ses procédures de réponse aux incidents à intervalles réguliers pour s’assurer qu’elles fonctionnent comme prévu.

Documentation

Le respect des exigences en matière de traitement des incidents peut être documenté par l’existence d’une procédure, qui doit être mise à jour à intervalles planifiés et à chaque fois que des changements importants interviennent dans les objectifs commerciaux de l’organisation ou dans le paysage des menaces. Les procédures doivent être documentées et approuvées par la direction concernée.

Journalisation et surveillance

L’objectif de la journalisation et de la surveillance est de permettre à votre organisation de détecter les incidents susceptibles de mettre en danger les données et de réagir de manière appropriée, afin de réduire autant que possible les effets négatifs de l’incident. Les journaux sont également utilisés pour enquêter sur les incidents a posteriori.

Exigences

Votre organisation doit disposer de processus et utiliser des outils pour surveiller, enregistrer et répondre aux activités de vos réseaux et systèmes d’information. Sans cela, vous ne seriez pas en mesure de détecter les incidents potentiels et d’y répondre.

Dans l’idéal, le contrôle devrait être automatisé et, selon les capacités de votre organisation, il devrait être effectué en temps réel ou à intervalles réguliers.

Votre organisation doit maintenir, documenter et examiner les fichiers journaux, mais votre approche spécifique peut dépendre du niveau technologique de votre organisation et d’une approche basée sur les risques. Vos journaux peuvent comprendre les éléments suivants

  • le trafic réseau entrant et sortant,
  • la création, la modification ou la suppression d’utilisateurs et la modification des autorisations,
  • l’accès aux systèmes et aux applications,
  • l’accès privilégié aux systèmes et aux applications,
  • les activités effectuées par les comptes privilégiés,
  • l’accès aux fichiers de configuration et de sauvegarde critiques et les modifications qui y sont apportées,
  • les journaux d’événements et les journaux des outils de sécurité tels que les antivirus, les systèmes de détection d’intrusion ou les pare-feu,
  • l’utilisation et la performance des ressources du système,
  • l’accès et l’utilisation des équipements et composants du réseau de l’organisation,
  • l’accès physique aux installations de l’organisation, comme les systèmes de contrôle d’accès,
  • les événements environnementaux susceptibles d’avoir un impact négatif sur les réseaux et les systèmes d’information de l’organisation, tels que les alertes d’inondation.

Les fichiers journaux peuvent être examinés manuellement ou automatiquement afin de détecter des schémas inhabituels ou indésirables. Pour cette raison, l’organisation doit définir des seuils à partir desquels une action doit être entreprise et, si ces seuils sont dépassés, le système peut déclencher automatiquement une alerte. Le personnel responsable doit veiller à ce qu’une réponse appropriée soit apportée.

Votre organisation doit stocker et sauvegarder les fichiers journaux pendant une période prédéfinie en fonction de votre profil de risque, et ces données doivent être protégées contre la manipulation et l’accès non autorisé.

Vos mesures doivent permettre de détecter les attaques basées sur le réseau, telles que les schémas de trafic anormaux ou les attaques par déni de service distribué.

Vos systèmes doivent être synchronisés pour utiliser les mêmes sources de temps afin que les journaux des différents systèmes puissent être comparés lors des enquêtes sur les incidents.

Enfin, vous devez conserver une liste de tous les actifs qui sont enregistrés. Les systèmes utilisés pour la surveillance et l’enregistrement peuvent être dupliqués afin de garantir la sécurité et la continuité des services fournis. La cybersécurité des systèmes de surveillance et d’enregistrement doit également être contrôlée, et ce indépendamment des systèmes qu’ils surveillent.

Documentation

Vous devez revoir les procédures d’enregistrement et de surveillance à des intervalles planifiés et lorsque des changements surviennent. Il en va de même pour votre liste d’actifs ou d’événements à enregistrer. Toutes les procédures doivent être révisées à intervalles réguliers et en cas de changement, et la documentation doit être conservée pour montrer que ces révisions ont eu lieu aux dates prévues.

Test RGPD

Voyez si vous connaissez bien le RGPD.

  • Vous répondrez à 13 questions sur le RGPD.
  • Cela ne prend que 1 à 2 minutes.
  • Les experts répondent généralement correctement aux 13 questions.
Début du test

Essai gratuit

Nous vous répondrons par e-mail dans les plus brefs délais.