Un Plan de Réponse à Incident pour une infrastructure sereine…

Plan de Réponse à Incident, conseils de mise en oeuvre

Aucune hésitation, il faut obéir à la logique du « pire », prévoir et savoir quoi faire quand l’entreprise se retrouvera face à un incident de sécurité majeur. Le PRI s’inscrit totalement dans cette logique… Détecter les brèches, réduire l’impact, minimiser les coûts, Sylvain Defix, Senior Solution & Alliances Manager chez NTT Com Security partage son expertise sur le sujet, avec IT Pro Magazine.

Depuis ces derniers mois, deux évolutions sont révélatrices de profonds changements dans le domaine de la sécurité, à savoir l’inéluctabilité de la brèche de sécurité, perçue par les couvertures médiatiques, l’intérêt des gouvernements et administrations, et le message porté par les innovateurs et leaders sur la Sécurité, « si vous êtes une cible et êtes présent sur le terrain de l’intelligence économique, tout est une question de temps, vous serez confronté à une brèche de sécurité » souligne Sylvain Defix. Les contrôles de sécurité constituent certes des freins mais ne bloqueront pas les attaques. De plus, l’impact de cette brèche sur l’activité est essentiel. Impacts lourds directs et indirects sur les résultats financiers de l’entreprise, chiffre d’affaires, stratégies avec remise en question de l’activité, sur les strates managériales de haut niveau qui doivent absolument s’intéresser aux problématiques de gestion d’un incident de sécurité, d’un point de vue technique et communication (interne, externe, actionnaires, autorités régulatoires…). Il en va de l’influence de l’activité elle-même et de la pérennité du rôle dans l’organisation.

Des critères de succès pour un plan cohérent

Avant tout, se mettre d’accord au sein de l’entreprise sur la description des incidents de sécurité (fuites de données, diffusion d’un virus, attaques…) et mettre en place une taxonomie (même vocabulaire, notion) pour adresser cette problématique.

Clarifier les chaînes et circuits de décision est le second point. En cas d’attaque, qui prend et valide la décision de réponse ? l’IT, les métiers ? « Par exemple, qui décide de couper un site e-commerce pour mettre fin à l’attaque, attaque qui a un impact sur le résultat de la société, la réputation, le chiffre, les relations avec les partenaires » commente Sylvain Defix.

Impliquer des ressources de l’intégralité des directions de l’entreprise (RH, marketing, juridique…). « La Direction de l’entreprise doit être impliquée dans la définition et le déroulement du plan de réponse » insiste Sylvain Defix. L’adhérence et la volonté du management garantissent en quelque sorte le succès de ce type de démarche.

Ne pas rentrer dans une démarche trop théorique, avoir rapidement une démarche pragmatique en développant des guides de réponse rapide pour couvrir les scénarii les plus probables et s’assurer de leur diffusion et compréhen- sion par ceux qui les mettent en place. Cela passe par une phase d’évangélisation, de training sur les services de support aux utilisateurs finaux, « sensibilisation, formation et mise en situation grâce au contenu « procédure » et guides pour identifier les actions et étapes à suivre ».

S’assurer au préalable d’une bonne compréhension de ses obligations en termes de communication et de cadre réglementaire. En cas de brèche de sécurité, identifier les contacts à avertir immédiatement selon l’activité (autorité des marchés financiers, CNIL, …) et les interlocuteurs qui apporteront leur aide et expertise pour la réponse d’un point de vue technique. « L’investigation sur ce type d’incidents peut requérir des compétences verticales non disponibles en interne, il faut s’appuyer sur des personnes qui savent répondre, qualifier, contenir et remettre l’IT en conditions opérationnelles, ce qui sous-entend de maintenir des relations contractuelles avec des fournisseurs de services dont c’est le métier » explique Sylvain Defix.

Homogénéiser et rationaliser les plans pour éviter le manque de cohésion et pour obtenir un traitement au niveau supérieur, d’où cette sensibilisation des Directions Générales.

S’assurer de la disponibilité, diffusion, mise à jour du plan de sécurité sur une base régulière et en continu.

Au niveau des incidents en termes de disponibilité, les plans de secours, de reprise d’activité, de continuité d’activité sont déjà présents dans les organisations. Le fait de traiter la Réponse aux incidents comme une extension de ces plans, permet de s’appuyer sur un socle connu, défini et maîtrisé dans l’entreprise, « l’existant », ce qui facilite la compréhension par les acteurs concernés des enjeux induits.

En préalable à la définition du plan, se mettre d’accord sur les objectifs est important : limiter les dommages, business, maintenir la confiance des acteurs externes, optimiser le délai de restauration des conditions de production et les coûts associés.