Élaborer un plan d’intervention en cas d’incident (ITSAP.40.003)

Mai 2021

SÉRIE SENSIBILISATION

ITSAP.40.003

Votre plan d’intervention en cas d’incident comprend les processus, les procédures et les documents liés à la réaction de votre organisme à un incident, c’est-à-dire les mesures de détection et de gestion de l’incident et de reprise des activités. Les cybermenaces, les catastrophes naturelles et les pannes imprévues sont des exemples d’incidents qui se répercuteront sur votre réseau, vos systèmes et vos dispositifs. Grâce à un plan adéquat, vous serez prêt à gérer les incidents dès qu’ils se produisent, à atténuer les menaces et les risques connexes et à vous rétablir rapidement.

Avant d’élaborer un plan

Avant d’élaborer un plan d’intervention en cas d’incident, déterminez quelle information et quels systèmes sont importants pour votre organisme. Cernez les types d’incidents dont vous pourriez être victime et les réactions adéquates pour chacun d’eux. Dressez la liste des personnes ayant les compétences nécessaires pour faire partie de l’équipe d’intervention et décidez comment vous allez informer votre organisme de votre plan et des politiques et procédures connexes.

 

Procéder à une évaluation des risques

Les résultats de l’évaluation des risques serviront au plan d’intervention. Dans le cadre d’une évaluation des risques, vous dresserez la liste de vos biens et calculerez les probabilités et les répercussions de la compromission de vos biens. Maintenant que vous avez cerné les risques et les menaces possibles, vous pouvez établir la priorité de vos mesures d’intervention. Dans le cadre de l’évaluation, répondez aux questions suivantes :

  • Quelles données sont importantes pour votre organisme?
  • Quels secteurs d’activités traitent les données sensibles?
  • Quelles sont les mesures de contrôle actuellement en place?
  • Est-ce que cette situation peut mener à une atteinte à la vie privée?

Élaborer les politiques

Vos mesures d’intervention doivent cadrer avec les politiques et les exigences de conformité de votre organisme.

Rédigez une politique sur l’intervention en cas d’incident qui établit les pouvoirs, les rôles et les responsabilités liés aux procédures et aux processus d’intervention en cas d’incident. Les membres de la haute direction et les cadres supérieurs de votre organisme doivent approuver cette politique.

 

Former une équipe d’intervention

 

L’objectif de l’équipe est d’évaluer et de documenter les incidents et d’y réagir, de rétablir les systèmes, de récupérer l’information et de prendre des mesures pour éviter qu’un incident ne se reproduise.

Elle doit être composée d’employés de différents domaines et bénéficier d’un soutien multifonctionnel d’autres secteurs d’activités.

Voici quelques suggestions de fonctions à confier aux membres de l’équipe :

  • responsable du traitement des incidents;
  • responsable technique;
  • spécialiste des ressources humaines;
  • conseiller en communications;
  • preneur de notes;
  • analyste des données.

Les incidents sont imprévisibles et nécessitent une intervention immédiate. Désignez des personnes qui remplaceront les responsables absents lors d’un incident.

 

Créer le plan de communications

Votre plan doit répondre à trois questions : Par quels moyens, dans quelles situations et à qui les communications seront-elles acheminées? Il doit inclure un point de contact central auquel les employés peuvent signaler les incidents présumés ou connus.

Les procédures de notification sont essentielles au succès de l’intervention en cas d’incident. Dressez la liste des principaux intervenants internes et externes qui seront informés d’un incident. Il faudra peut-être informer des tiers, comme des clients et des fournisseurs de services gérés. Selon le type d’incident, il faudra peut-être aussi communiquer avec un organisme d’application de la loi ou obtenir des conseils auprès d’un avocat.

 

Sensibiliser les employés

Informez les employés de la planification et de l’exécution des mesures d’intervention en cas d’incident.

Adaptez les programmes de formation aux besoins et aux exigences de votre organisme ainsi qu’aux rôles et responsabilités des employés. Un effectif bien formé contribue à la défense contre les incidents.

Un événement est un fait observable dans un système ou un réseau (p. ex. un courriel envoyé par un utilisateur).

Un incident est un événement préjudiciable dans un système d’information ou un réseau ou la menace d’un tel incident.

Un environnement est un réseau et tout ce qui y est rattaché, comme les dispositifs périphériques (p. ex., imprimantes, ordinateurs, routeurs). Votre environnement est-il ouvert à tous ou est-il protégé?

Un environnement ouvert permet à l’information d’entrer dans le réseau et d’en sortir sans restriction.

Un environnement protégé limite l’information qui peut entrer dans le réseau ou en sortir.

 

Élaborer le plan d’intervention en cas d’incident

Votre plan devrait définir les objectifs, les intervenants, les responsabilités, les méthodes de communication et les processus de recours hiérarchique liés au cycle de vie d’une intervention en cas d’incident. Il doit être simple et adaptable. Chaque année, mettez votre plan à l’épreuve, examinez-le et modifiez-le pour qu’il soit toujours efficace. La liste suivante décrit les phases du cycle de vie d’une intervention en cas d’incident; elle peut servir à structurer votre plan.

1- Préparation

Définissez les objectifs de votre stratégie d’intervention ainsi que les politiques et les procédures connexes. Précisez les buts de l’amélioration de la sécurité, de la visibilité et de la reprise.

Mettez en place un processus de sauvegarde fiable pour copier les données et les systèmes et faciliter leur récupération en cas de panne.

Établissez une stratégie détaillée pour appliquer1- Z les mises à jour et les correctifs sur les logiciels et le matériel. Appliquez cette stratégie pour trouver et corriger les vulnérabilités et atténuer l’occurrence et la gravité des incidents.

Concevez des exercices pour mettre à l’essai votre plan et votre intervention. Vous pouvez ensuite réviser et améliorer votre plan en vous fondant sur les résultats des essais.

2- Observation

Surveillez les réseaux, les systèmes et les dispositifs connectés pour repérer les menaces potentielles. Produisez régulièrement des rapports et consignez les événements et les incidents potentiels. Analysez les événements et déterminez si vous devez activer le plan d’intervention en cas d’incident. Ajustez la fréquence et l’intensité de la surveillance. Vous pouvez assurer la surveillance des réseaux en permanence ou en fonction des besoins.

3- Résolution

Familiarisez-vous avec l’enjeu de sorte à pouvoir contenir la menace et appliquer les mesures d’atténuation adéquates.

Une mesure efficace consiste à déconnecter les systèmes et les dispositifs pour empêcher l’auteur de menace de causer d’autres dommages. Il peut être nécessaire d’isoler tous les systèmes et de suspendre temporairement l’accès des employés afin de détecter et de stopper les intrusions.

Éradiquez l’intrusion en restaurant les systèmes à partir de copie de sauvegarde. Vous devriez aussi exécuter un antimaliciel et un antivirus sur tous les systèmes et dispositifs connectés. Si vous découvrez des vulnérabilités, appliquez les correctifs et les mises à jour à vos dispositifs.

Conservez les preuves et la documentation connexe pour faciliter votre analyse de l’incident.

 

4- Compréhension

Trouvez la cause fondamentale de l’incident et collaborez avec l’équipe d’intervention pour signaler les améliorations possibles. Évaluez le processus d’intervention et faites ressortir les éléments positifs et ceux qui doivent être améliorés. Rédigez un document sur les leçons apprises qui décrit en détail les ajustements et les améliorations qui seront apportés au plan.

Consignez, étape par étape, comment l’incident a été découvert et réglé. Cette mesure facilitera l’intervention lors d’incidents futurs, car elle fait la lumière sur les mesures d’atténuation possibles et les leçons apprises pour arriver à une reprise plus rapide et efficace.

 

Types d’incidents

Le rançongiciel est un type de maliciel qui vous empêche d’accéder à des fichiers ou à des systèmes jusqu’à ce qu’une rançon soit versée à l’auteur de menace. Rien ne garantit que vous récupérerez votre information même si vous payez la rançon.

Le vol de données se produit lorsque des auteurs de menace volent de l’information stockée sur des serveurs ou des dispositifs. Bien souvent, l’auteur de menace accède aux données en se servant de justificatifs volés. La menace persistante avancée (MPA) est une méthode de vol de données qui permet à l’auteur de menace de bénéficier d’un accès prolongé à un réseau sans être détecté. Lorsqu’il effectue une MPA, un auteur de menace surveille le trafic, accède à l’information sensible et vole des données sur une longue période.

L’exploitation active profite des logiciels et du matériel non corrigés et d’autres vulnérabilités pour prendre le contrôle de systèmes, de réseaux et de dispositifs. Ces attaques peuvent passer inaperçues avant que vous ayez eu l’occasion d’appliquer le correctif ou la mise à jour. Votre plan devrait comprendre des mesures d’atténuation de l’exploitation active, comme la suspension temporaire de l’accès Internet ou des activités en ligne.

Services à l’interne ou de professionnels

Lorsque vous établissez votre plan d’intervention, déterminez pour chaque action et service si vous pouvez vous en acquitter à l’interne ou si vous devez faire appel à des professionnels. Vous pouvez recourir à des services professionnels pour vous aider avec certains éléments d’une intervention, comme établir le plan, fixer les processus de sauvegarde d’urgence, surveiller les systèmes et appliquer les correctifs.

 

Pour en savoir plus

Pour obtenir des précisions sur certains points clés, consultez les publications connexes ci-dessous, qui se trouvent sur le site Web du Centre pour la cybersécurité (cyber.gc.ca).

Dernière mise à jour: