Que faire en cas d’incident de sécurité de l'information ?

security-4907127_1280

« Mieux vaut prévenir que guérir ».. 

Vous avez cliqué sur le lien présent dans un mail frauduleux ?
On vous a volé votre ordinateur portable professionnel ?
Un dossier comportant des données confidentielles a été perdu ?
Vous êtes victime d’une cyberattaque ?
Vous avez envoyé un mail à la mauvaise personne par erreur ?
Voici des exemples pouvant être qualifiés d’événements de sécurité
et qui méritent d’être analysés selon une procédure spécifique.
La rapidité à laquelle vous serez capable de repérer et d'analyser
l'événement, et d'y réagir, aura une influence sur le préjudice subi
et sur le coût de la reprise.
La gestion des incidents est cruciale puisqu’il n’est pas possible de
garantir 100% de sécurité de l'information et de protection de la vie
privée.
Un incident de sécurité génère du stress et de la panique.
Votre organisation n’a pas de procédure de gestion des incidents ?
Ces quelques étapes importantes à respecter pourront vous être
utiles.

1. SE PRÉPARER

Il est recommandé de décider au préalable comment gérer certaines situations plutôt que d'attendre d'y être confronté.

Identifiez vos actifs essentiels et les risques potentiels. Mettez en place des mesures pour les réduire (exemples : sauvegardes sécurisées et testées, gestion des accès et journalisations, firewall, antivirus, mises à jour de vos logiciels, etc.).

Désignez les rôles et responsabilités de chacun en amont et idéalement disposez d’une procédure documentée de gestion d’incidents qui ne se limite pas uniquement à la technologie ! Les processus, les personnes et les aspects organisationnels sont tout aussi importants.

Que votre organisation soit une PME ou une grande entreprise, compte tenu des coûts et de l'expertise, il peut être plus rentable de faire appel à des partenaires externes pour pallier le manque de compétences au sein de votre organisation. Prévoyez une liste précise de personnes à contacter et l'établissement d'un contrat ou accord de collaboration.

Préparez également une stratégie de communication (interne et externe) en amont en fonction des événements les plus redoutés (en sachant que vous n'aurez peut-être plus accès à vos mails et vos contacts).

2. DÉTECTER ET SIGNALER

Un incident de sécurité peut être défini comme tout événement indésirable ou inattendu présentant une probabilité de compromettre les activités de votre organisation et de menacer la sécurité de l'information (aspects liés à la confidentialité, l’intégrité et la disponibilité des données - à caractère personnel ou non - ).

Il est crucial d'informer et de former l'ensemble de votre personnel pour reconnaître et signaler un incident.

Disposer des outils de détection et d’alerte ainsi que des personnes disponibles pour traiter cette information est indispensable.

Il faudra donc communiquer le plus rapidement possible au responsable de la sécurité de l’information les éléments lui permettant une première analyse (description de l'incident? y a-t-il eu fuite de données ? quelles sont les données concernées? sur quel type de stockage? etc.).

Rappelons que le RGPD impose des délais courts et stricts (maximum 72h calendrier) en matière de communication des incidents impliquant des données à caractère personnel !

3. EVALUER ET RÉPONDRE

a réponse est à adapter au type d’incident et selon votre organisation. Le responsable de la sécurité de l'information doit évaluer l'impact (potentiel) de l'incident. Voici néanmoins quelques étapes en fonction des conséquences :

Préserver !

L’essentiel est de préserver ce qui est encore sain en isolant les zones compromises : serveurs, outils d’administration, postes de travail, etc. A titre d’exemple, en cas de compromission suspectée de votre ordinateur, ne l’éteignez surtout pas

avant d’en avoir reçu l’instruction par le responsable! Ceci pourrait en effet effacer les éventuelles traces utiles à une enquête. Mais nous vous conseillons de retirez immédiatement le câble réseau (câble internet).

Collectez des preuves !

Cette tâche incombe à des spécialistes en informatique. Ceux-ci vont examiner l’ordinateur touché par l’infection et tenter de trouver des indices trahissant l’auteur tels que des modifications dans le système, dans les fichiers de configuration ou dans les données de l'organisation. Ils vont également déterminer si les auteurs ont installé des logiciels malveillants.

Il est important de garder en mémoire la temporalité et la priorité des actions recommandées afin de permettre la collecte de preuves éventuelles.

Restaurez !

La seule façon d’éviter qu’un ordinateur continue à souffrir d’une porte d’entrée secrète ou d’autres logiciels malveillants de l’auteur, est de réinstaller complètement le système d’exploitation et d’appliquer tous les patchs de sécurité avant que l’ordinateur touché par l’infection soit reconnecté au réseau d’entreprise. Vous ne pouvez le faire que si vous disposez

d'une sauvegarde de vos données, car toutes les données seront perdues lors de la réinstallation.

Évitez une nouvelle attaque !

Vérifiez l'état de votre infrastructure et changez vos mots de passe.

Il est recommandé de revoir les mesures de protections en place (sauvegardes, firewall, antivirus, mise à jour,etc.).

Contact avec les autorités:

Police : en cas de vol, d’usurpation d’identité ou de cyberattaque, déposez plainte à la police locale. Votre déclaration peut empêcher que d’autres en soient victimes.

https://www.police.be/

Autorités de protection des données : s’il est probable que la violation engendre un risque pour les droits et libertés d’une personne, votre organisation doit notifier l’autorité de contrôle dans les meilleurs délais, et au plus tard 72 heures après avoir pris connaissance de la violation. De même, si la violation de données engendre un risque élevé pour les personnes affectées, ces dernières devraient alors également en être informées à moins que des mesures de protection efficaces ou d’autres mesures qui garantissent que le risque n’est plus susceptible de se matérialiser aient été prises. 

https://www.autoriteprotectiondonnees.be/

CERT si vous êtes victime d’une cyberattaque et vous pensez qu’elle est toujours en cours vous pouvez signaler l’incident ou demander de l’aide à la Federal Cyber Emergency Team (CERT.be).

https://cert.be/

Safeonweb.be : s’il s’agit simplement d’un message suspect, vous pouvez le transférez le message à suspect[at]safeonweb.be.

https://www.safeonweb.be/

4. AMÉLIORER:

Collaborez avec le responsable de la sécurité pour analyser les causes ayant permis à l’incident de se produire. Sans cette étape, le système de sécurité de votre organisation ne peut s’améliorer de manière efficace !

Capitaliser sur un incident, c’est analyser ce qui a bien fonctionné et travailler sur les axes d’amélioration sans se mentir.

La sécurité est et restera toujours l’affaire de tous. La sensibilisation de tous les membres du personnel à ces questions reste la première étape importante à une bonne gestion des incidents de sécurité.

Vous pensez avoir besoin de plus d’informations ou d'aide, n’hésitez pas à nous contacter par mail : privacy@bde-group.be ou par téléphone au : 0032 2 880 12 00

Nous nous basons sur la législation actuelle, les interprétations et la doctrine, ceci n'empêche pas que chacun  puisse les contester ou que des interprétations existantes puissent changer.

Sources:

https://syntec-numerique.fr/sites/default/files/2019_12_13_-_Incidents_securite_informatique_0.pdf

https://www.cybersecuritycoalition.be/content/uploads/cybersecurity-incident-management-guide-FR.pdf

https://cert.be/

https://www.ssi.gouv.fr

https://www.autoriteprotectiondonnees.be/