Cette article fait partie du dossier
Sécurité : L’intelligence collective à l’épreuve
Les articles du dossier
La chronique du Cesin : De l’incident... La chronique du Cesin : De l’incident de production à l’incident de sécurité
La chronique du Cesin - De l’incident de production à l’incident de sécurité
Sécurité numérique : construire le je... Sécurité numérique : construire le jeu collectif en intégrant l’IA
Sécurité numérique : construire le jeu collectif en intégrant l’IA
🎥 Cybersécurité : comment se ... 🎥 Cybersécurité : comment se préparer aux identités non-humaines ?
Comment lutter contre les nouvelles identités numériques ?
🎥 Cybersécurité et IA : au-de... 🎥 Cybersécurité et IA : au-delà du marketing, quelles réalités en sécurité ?
L’IA peut-elle tenir ses promesses ?
🎥 Identités et intelligence c... 🎥 Identités et intelligence collective. Sait-on gérer l’ouverture nécessaire des systèmes ?
Une sécurité intelligente est-elle possible face à la fluidité des nouveaux usages ?
🎥 Cybersécurité : les PME peu... 🎥 Cybersécurité : les PME peuvent-elles aider les grands à mieux innover ?
Alliancy inspiration-
Stéphane Tournadre (Servier) : « La s... Stéphane Tournadre (Servier) : « La stratégie de sécurité numérique n’est plus faite en solitaire »
Stéphane Tournadre, RSSI – Servier
Mounir Mahjoubi et l’ISSA diffusent l... Mounir Mahjoubi et l’ISSA diffusent la culture de la sécurité numérique dès le plus jeune âge
Mounir Mahjoubi et l’ISSA diffusent la culture de la sécurité numérique dès le plus jeune âge
Jean-Noël Olivier (Bordeaux Métropole... Jean-Noël Olivier (Bordeaux Métropole) : « L’intelligence collective est un pilier pour offrir de nouveaux services de confiance »
Jean-Noël Olivier, adjoint au directeur général,
Parnasse chiffre vos données en mobilité Parnasse chiffre vos données en mobilité
Parnasse chiffre vos données en mobilité
La chronique du Cesin – Dévelop... La chronique du Cesin – Développements agiles : le RSSI acrobate
Développements agiles : le RSSI acrobate
Total intègre les outils collaboratif... Total intègre les outils collaboratifs dans ses projets à haute sécurité
Grâce à la sécurisation du logiciel, Sylvain Calassou peut travailler en intelligence collective avec le monde universitaire. ©Total
Cybersécurité : Les start-up français... Cybersécurité : Les start-up françaises doivent jouer la différenciation sectorielle
Cybersécurité : Les start-up françaises doivent jouer la différentiation sectorielle
Ugosafe pour les voyages d’affaires e... Ugosafe pour les voyages d’affaires en toute sécurité
Ugosafe pour les voyages d’affaires en toute sécurité
A Monaco, l’intelligence collective a... A Monaco, l’intelligence collective au cœur de la sécurité du numérique
Guillaume Poupard, directeur général de l'Anssi, a ouvert la 18e édition des Assises de la Sécurité. ©DM
La chronique du Cesin : De l’incident... La chronique du Cesin : De l’incident de production à l’incident de sécurité
La chronique du Cesin - De l’incident de production à l’incident de sécurité
Sécurité numérique : construire le je... Sécurité numérique : construire le jeu collectif en intégrant l’IA
Sécurité numérique : construire le jeu collectif en intégrant l’IA
🎥 Cybersécurité : comment se ... 🎥 Cybersécurité : comment se préparer aux identités non-humaines ?
Comment lutter contre les nouvelles identités numériques ?
🎥 Cybersécurité et IA : au-de... 🎥 Cybersécurité et IA : au-delà du marketing, quelles réalités en sécurité ?
L’IA peut-elle tenir ses promesses ?
🎥 Identités et intelligence c... 🎥 Identités et intelligence collective. Sait-on gérer l’ouverture nécessaire des systèmes ?
Une sécurité intelligente est-elle possible face à la fluidité des nouveaux usages ?
🎥 Cybersécurité : les PME peu... 🎥 Cybersécurité : les PME peuvent-elles aider les grands à mieux innover ?
Alliancy inspiration-
Stéphane Tournadre (Servier) : « La s... Stéphane Tournadre (Servier) : « La stratégie de sécurité numérique n’est plus faite en solitaire »
Stéphane Tournadre, RSSI – Servier
Mounir Mahjoubi et l’ISSA diffusent l... Mounir Mahjoubi et l’ISSA diffusent la culture de la sécurité numérique dès le plus jeune âge
Mounir Mahjoubi et l’ISSA diffusent la culture de la sécurité numérique dès le plus jeune âge
Jean-Noël Olivier (Bordeaux Métropole... Jean-Noël Olivier (Bordeaux Métropole) : « L’intelligence collective est un pilier pour offrir de nouveaux services de confiance »
Jean-Noël Olivier, adjoint au directeur général,
Parnasse chiffre vos données en mobilité Parnasse chiffre vos données en mobilité
Parnasse chiffre vos données en mobilité
La chronique du Cesin – Dévelop... La chronique du Cesin – Développements agiles : le RSSI acrobate
Développements agiles : le RSSI acrobate
Total intègre les outils collaboratif... Total intègre les outils collaboratifs dans ses projets à haute sécurité
Grâce à la sécurisation du logiciel, Sylvain Calassou peut travailler en intelligence collective avec le monde universitaire. ©Total
Cybersécurité : Les start-up français... Cybersécurité : Les start-up françaises doivent jouer la différenciation sectorielle
Cybersécurité : Les start-up françaises doivent jouer la différentiation sectorielle
Ugosafe pour les voyages d’affaires e... Ugosafe pour les voyages d’affaires en toute sécurité
Ugosafe pour les voyages d’affaires en toute sécurité
A Monaco, l’intelligence collective a... A Monaco, l’intelligence collective au cœur de la sécurité du numérique
Guillaume Poupard, directeur général de l'Anssi, a ouvert la 18e édition des Assises de la Sécurité. ©DM

La chronique du Cesin : De l’incident de production à l’incident de sécurité

publié le par Anne-Lise Marco
La chronique du Cesin - De l’incident de production à l’incident de sécurité

La chronique du Cesin - De l’incident de production à l’incident de sécurité

– … Allo, ici Thierry Autret [le RSSI]. Dites-moi pourquoi ne m’avez-vous pas prévenu de l’arrêt du service de messagerie ? Je viens de le constater par hasard.

– [la DSI] Oui mais bon, c’est juste un incident de production, enfin c’est ce qu’on pense… le serveur est tombé… c’est vrai que c’est inhabituel. On regarde et on te dit.

Tout RSSI a connu dans sa carrière cette situation concernant la messagerie ou un autre service applicatif. A la décharge de la DSI et de la production, il y a chaque jour des centaines d’incidents de production (voire des milliers selon la taille de l’entreprise) et si tous ceux-ci devaient être remontés au RSSI, il n’y survivrait pas.

Au sens large de la sécurité, selon les besoins du DICP (disponibilité, intégrité, confidentialité, preuve), une perte de disponibilité est un incident de sécurité. Au niveau de l’entreprise cet incident est plus souvent perçu comme une perte commerciale. Une fraude au Président est une atteinte à la sécurité de l’entreprise, bien que le RSSI ne soit en rien concerné.

Comment donc classifier un réel incident de sécurité qui doit être remonté immédiatement au RSSI ? De deux choses l’une, soit l’incident se remarque immédiatement comme un défacement de site, ou un cryptolocker auquel cas la caractérisation ne fait aucun doute. Soit ce sont les conséquences constatées, souvent a posteriori, qui vont qualifier un incident d’incident de sécurité.

L’analyse d’un incident doit être systématisée selon des règles qui permettent rapidement de classifier l’incident de type « production », « sécurité » ou « indéterminé » donc potentiellement de sécurité. Une méthode bien connue comme le 8D pour identifier les causes et les conséquences permet d’atteindre ce but. La réponse aux questions du QQOQCCP (Qui, Quoi, Où, Quand, Comment, Combien et Pourquoi) si elles sont orientées sur l’atteinte aux services et aux données peut également y contribuer.

L’important est que la DSI/production systématise et procédure cette analyse, si possible avec l’utilisation d’un outil de gestion des incidents. Dans les grandes entreprises, une structure de CERT (computer emergency team) ou de CSIRT (Computer Security Incident Response Team) peut être la solution. Une chaine d’analystes et de décisionnaires sont nécessaires dans ce processus et en premier lieu l’utilisateur qui peut être le premier à identifier des événements pouvant être considérés comme des signaux faibles. Le service support ou helpdesk ne doit pas minimiser ces signalements qui peuvent être les précurseurs d’incidents de sécurité. A ce stade, une équipe pouvant inclure le RSSI doit décider comment répondre aux incidents de sécurité. Soit des solutions existent et peuvent être mises en œuvre, soit la situation nécessite le déclenchement d’une cellule de crise.

Beaucoup de documentation existe sur la gestion des incidents de sécurité en elle-même et nous n’y reviendrons pas ici. Nous pouvons néanmoins citer les travaux normatifs de l’ISO et en particulier la norme 27035 – 2016, qui décrit le processus de gestion des incidents de sécurité et le cycle de vie associé (détection, qualification, escalade, recueil des preuves, traitement, mise en œuvre des mesures de sécurité, etc.).

N’oublions pas que la notification des incidents de sécurité est rendue obligatoire par de nombreuses réglementations comme ePrivacy, eIDAS, NIS et bien sûr le RGPD si l’incident touche des données à caractère personne, sans compter d’autres réglementations sectorielles). Il est donc très important « par temps calme » c’est-à-dire lorsque tout va bien d’identifier le processus d’une éventuelle notification d’incident. Quels sont les acteurs de l’entreprise impliqués dans ce processus, au-delà des gens de l’IT comme le service juridique, le service communication et bien sûr la Direction Générale. Selon l’article 33 du RGPD l’entreprise ne dispose que de 72 heures au plus pour notifier l’incident à l’autorité de contrôle. L’article de la CNIL référencé ci-dessous est une bonne introduction à cette démarche.

Quelques conseils utiles pour le RSSI :

  • Sensibiliser les équipes de production sur l’identification des incidents de sécurité et sur le processus à suivre ;
  • Anticiper le processus et les acteurs pour une éventuelle notification à l’autorité de contrôle ;
  • Capitaliser sur des outils de sécurité tels que des SOC ou des Cert, internes ou externes ;

Liens utiles :

 

 

Suggestion de contenus

LIA alliée inattendue des RH

L’IA, un outil au service des politiques RH de diver...

Hyperconnexion en milieu professionnel quand faut-il sen inquiéter

Hyperconnexion en milieu professionnel : quand faut-...

Comment réduire la menace dune cyber-attaque

Comment réduire la menace d’une cyber-attaque ?

[Edito] Pour lier numérique et progrès en Europe, la...

De Rio 2016 à Paris 2024, une expérience fan chamboulée par le digital

De Rio 2016 à Paris 2024, une expérience fan chambou...

Hélène Brisset, Directrice du numérique

Chez Île-de-France Mobilités, une direction du numér...

Les 4 volets de linclusion numérique

Les 4 volets de l’inclusion numérique

Quelle IA pour le secteur santé

Entre enjeux éthiques et économiques : quelle IA pou...