guide de gestion des incidents de sécurité
TRANSCRIPT
-
8/9/2019 guide de gestion des incidents de scurit
1/31
Gestion des
incidents de scurit
GuideTrousse doutils
Document adopt par :
Le Comit national sur la protection des renseignements personnels et la scurit (CNPRPS) le23 septembre 2003
La Table des coordonnateurs rgionaux de scurit le 14 novembre 2003
Novembre 2003
Version 1.3
-
8/9/2019 guide de gestion des incidents de scurit
2/31
I
Guide dlaboration dun processus de gestion desincidents de scurit
Ce guide a t labor par le cabinet KPMG sous la supervision de la Direction du Technocentre
national et de SOGIQUE :
M. Robert BrochuConseiller senior en scurit et technologieSocit de gestion informatique inc. (SOGIQUE)
Francis BeaudoinDirecteur principal Groupe scurit de linformationKPMG s.r.l./S.E.N.C.R.L.
Personnes consultes :
Jean LaterrireDirecteur du Technocentre nationalSocit de gestion informatique inc.(SOGIQUE)
ric DallaireCoordonnateur de la scurit du rseauDirection des ressources informationnelles MSSS
Richard HalleyConseiller en scuritDirection des ressources informationnellesMSSS
Yves ViauCoordonnateur des ressources informationnellesRgie rgionale de Sant et Services sociaux desLaurentides
Gilles PotvinCoordonnateur des technologies delinformationRgie rgionale de Sant et Services sociaux deLanaudire
Nathalie MaloAnalyste-conseil en technologie de linformationRgie rgionale de Sant et Services sociaux deLanaudire
Yvan FournierResponsable du secteur serveur et scuritCentre hospitalier universitaire de Qubec
Lucie BeauregardCoordonnatrice scurit et confidentialit / serviceinformatiqueCentre universitaire de sant McGill
Denis LebeufOfficier de scuritCentre hospitalier de l'Universit de Montral
Jean AsselinCoordonnateur, secteur ressources matrielles,financires et informationnellesAssociation des Centres jeunesses du Qubec
Normand BakerDirecteur gnralCLSC Frontenac et Centre hospitalier rgionamiante
-
8/9/2019 guide de gestion des incidents de scurit
3/31
II
Membres du comit de lecture et de validation :
Jean LaterrireDirecteur du Technocentre nationalSocit de gestion informatique inc.(SOGIQUE)
ric DallaireCoordonnateur de la scurit du rseauDirection des ressources informationnellesMSSS
Robert BrochuConseiller senior en scurit et technologieSocit de gestion informatique inc.(SOGIQUE)
Francis BeaudoinDirecteur principal Groupe scurit delinformationKPMG s.r.l./S.E.N.C.R.L.
Hance Brire
Coordonnateur rgional de la scurit des actifs
informationnelsTechnocentre rgional de lEstrie
Jocelyne LegrasAnalyste en informatique / responsable du
dossier de la scurit de linformation rgionaleRgie rgionale de Sant et Services sociaux deQubec
Gilles PotvinCoordonnateur des technologies delinformationRgie rgionale de Sant et Services sociaux deLanaudire
Guy MathieuCoordonnateurDirection de linformation et de la planificationSecteur des technologies et des systmesdinformationRgie rgionale de Sant et Services sociaux deMontral-centre
Dans ce document, le gnrique masculin est utilis pour simplifier la lecture du texte, mais
s'applique autant pour le fminin que pour le masculin.
Pour toute question ou commentaire, veuillez communiquer avec votre coordonnateur rgional de
la scurit de l'information.
Remerciements
Lquipe de ralisation tient remercier toutes les personnes ayant collabores avec elle.
-
8/9/2019 guide de gestion des incidents de scurit
4/31
i
Table des matires
1 CONTEXTE...................................................................................................................1
2 OBJECTIFS DU GUIDE................................................................................................2
2.1 OBJECTIFS..................................................................................................................2
2.2 AUDIENCE ..................................................................................................................3
2.3 LIMITATIONS ..............................................................................................................4
2.4 SOUTIEN .....................................................................................................................4
3 GNRALITS SUR LE PROCESSUS DE GESTION DES INCIDENTS DE
SCURIT.....................................................................................................................53.1 POSITIONNEMENT DE LA GESTION DES INCIDENTS DE SCURIT......................................5
3.2 POURQUOI UN PROCESSUS DE GESTION DES INCIDENTS? ................................................6
4 LMENTS DUN PROCESSUS DE GESTION DES INCIDENTS DESCURIT.....................................................................................................................7
4.1 PRSENTATION GLOBALE DU PROCESSUS......................................................................7
4.2 TAPES DU PROCESSUS DE GESTION DES INCIDENTS.......................................................8
5 MTHODOLOGIE DLABORATION DUN PROCESSUS DE GESTIONDES INCIDENTS.........................................................................................................17
5.1 LES FACTEURS CLS DE RUSSITE...............................................................................17
5.2 COMPOSITION DE LQUIPE DE PROJET ........................................................................ 17
5.3 LES TAPES DE PRPARATION .................................................................................... 18
ANNEXE A EXEMPLE DE PROCDURE DESCALADE............................................21
ANNEXE B FORMULAIRE DE RAPPORT DINCIDENT............................................26
-
8/9/2019 guide de gestion des incidents de scurit
5/31
1
1 Contexte
La scurit des actifs informationnels 1 est devenue une proccupation majeure des intervenants
oeuvrant dans le domaine de la sant. tant donn limportance stratgique des systmes
dinformation utiliss par les tablissements et les organismes2 de mme que la nature sensible
des informations quils traitent, la scurisation des actifs informationnels devient un enjeu
stratgique pour le rseau sociosanitaire.
En ce sens, le Ministre de la Sant et des Services sociaux a rcemment adopt le Cadre globalde gestion des actifs informationnels appartenant aux tablissements du rseau de la sant et des
services sociaux Volet sur la scurit (appel Cadre global ci-aprs) Le Cadre global vise
communiquer les attentes, les obligations et les rles de chacun des intervenants en matire de
scurit des actifs informationnels. ce titre, les tablissements ont notamment l'obligation de se
doter d'une politique de scurit tel que stipul l'article 3.3 du Cadre global.
Afin de les appuyer dans leurs efforts, le Ministre a cr en octobre 2001 la table des
coordonnateurs rgionaux en scurit afin dchanger et de partager quant aux enjeux relis audploiement du Cadre global en gnral. Or, la responsabilit de scuriser les actifs
informationnels revient aux propritaires des actifs afin de supporter les tablissements. Sogique
a t mandate afin de dvelopper une trousse destine accompagner et supporter les
tablissements dans limplantation du Cadre global.
Cest donc dans ce contexte que le prsent guide dlaboration dun processus de gestion des
incidents de scurit a t dvelopp. Il est important de mentionner que chaque organisme a la
responsabilit de grer ses incidents.
1 La notion dactif informationnel est dfinie au lexique. De plus, le domaine dapplication de la scurit
de linformation est dfini au Cadre global larticle 2, page 7.2 Dans un souci d'allgement du texte, nous utiliserons uniquement le terme tablissements pour
dsigner l'ensemble des organisations du secteur sociosanitaire assujetti l'application du Cadre global
art. 2
-
8/9/2019 guide de gestion des incidents de scurit
6/31
2
2 Objectifs du guide
2.1 Objectifs
Lobjectif du prsent guide est de supporter les tablissements dans llaboration et la mise en
uvre dun processus de gestion des incidents de scurit de linformation.
Un tel processus permet de sassurer que, si un incident de scurit survient, les actions adquates
seront poses, les intervenants appropris seront contacts et, le cas chant, les informationsncessaires la tenue dune enqute seront enregistres.
Il est noter quil existe deux types dincidents en regard aux incidents de scurit des actifs
informationnels : les incidents de nature technique et les incidents de nature thique.
Dans le prsent guide, les incidents de nature technique sont dfinis comme des vnements
mettant en pril la disponibilit, lintgrit, la confidentialit, lauthentification et lirrvocabilit
dun actif informationnel et de ses drivs (impression) Par exemple, une attaque de dni deservice, linstallation dun cheval de Troie sur un serveur critique ou une intrusion dans le but
daccder des donnes nominatives sont trois exemples dincidents de scurit affectant,
respectivement, la disponibilit, lintgrit et la confidentialit des actifs informationnels qui en
sont les victimes. Nanmoins les vnements ncessitant la mise en uvre du plan de secours, tel
quun incendie majeur, une inondation ou une coupure lectrique ne serons pas trait par le
prsent guide, car elle relve plutt du domaine des pans de mesures durgence.
Les incidents de nature thique, quant eux, seront dfinis comme tant relis au comportementdes individus. Par exemple, le non-respect dune loi, lutilisation dquipements informatiques
des fins, de pdophilie, de participation des groupes de discussion racistes, de piratage de
logiciel et tout autre incident de nature similaire pouvant nuire limage corporative des
tablissements envers la population seront de plus trait dans le prsent guide.
-
8/9/2019 guide de gestion des incidents de scurit
7/31
3
Ces deux types dincidents, bien que tous deux relis aux actifs informationnels,
ncessite une approche de gestion diffrente. Par exemple, la composition de
lquipe de gestion de lincident pourra diffrer en fonction de la nature technique
ou tique de lincident. Lorsque appropri, nous ferons ressortir les distinctions tout au long du
guide. Cependant, il est noter que ce guide ne porte pas sur la gestion des aspects thiques dun
incident car ces lments relvent gnralement du domaine des relations de travail.
Ce guide est construit autour de deux sections principales, soit :
n La section 4 lments dun processus de gestion des incidents;
n La section 5 Mthodologie dlaboration dun processus de gestion des incidents.
La section 4 expose les diffrents lments qui constituent un processus de gestion des incidents.
Pour chaque lment, la raison dtre de cet lment, sont les meilleures pratiques le concernant,
ainsi quune liste de suggestions et dexemples.
La section 5, quant elle, propose une mthodologie permettant dlaborer un processus de
gestion des incidents. Comme toute mthode de travail, cette dernire devra tre adapte aux
particularits de chaque tablissement.
2.2 Audience
Ce guide sadresse principalement aux personnes suivantes :
n Responsable auquel la tche dlaborer un processus de gestion des incidents de scurit
a t assigne qui, dans la majorit des cas, devrait tre le responsable de la scurit desactifs informationnels de ltablissement.
n Le responsable de la scurit des actifs informationnels (RSAI) de ltablissement;
n Les dtenteurs dactifs informationnels;
n Le directeur de la gestion des ressources informationnelles.
-
8/9/2019 guide de gestion des incidents de scurit
8/31
4
2.3 Limitations
La disparit entre les tablissements et leurs stades variables d'avancement quant aux activits de
gestion de la scurit de l'information fait en sorte que le guide devra tre adapt. Il ne ce
substitut en aucun cas au jugement professionnel des intervenants des tablissements, et son
utilisation demeure une prrogative de ceux-ci.
2.4 Soutien
Les Rgies rgionales de la Sant et des Services sociaux ont le mandat de supporter les
tablissements dans leur dmarche dlaboration dun processus de gestion des escalades des
incidents de scurit. Pour toutes questions concernant ce guide, vous pouvez vous adresser au
coordonnateur de votre rgion.
-
8/9/2019 guide de gestion des incidents de scurit
9/31
5
3 Gnralits sur le processus de gestion des
incidents de scurit
3.1 Positionnement de la gestion des incidents de scurit
La gestion des incidents de scurit est un lment essentiel du cycle de vie de la scurit
informatique, tel quillustr la figure 1 ci-dessous :
Les mesures prventives sont gnralement choisies et dployes des suites dune analyse de
risques, et en accord avec les meilleures pratiques nonces dans le domaine. Elles contribuent
lattnuation des menaces la scurit des actifs informationnels et latteinte limagecorporative de ltablissement.
La dtection des incidents permet de dterminer si la scurit dun ou de plusieurs des actifs
informationnels de ltablissement a t compromise, et, en consquence, de jauger lefficacit
des mesures prventives.
Mesuresprventives
Gestion desincidents
Dtection
Figure 1 Cycle de vie de la scurit informatique
-
8/9/2019 guide de gestion des incidents de scurit
10/31
6
La gestion des incidents suit logiquement ltape de dtection, et les activits qui la caractrisentpeuvent susciter le dploiement de nouvelles mesures prventives. Ces activits seront couvertes
en dtail dans la section 4, lments dun processus de gestion des incidents .
3.2 Pourquoi un processus de gestion des incidents?
Comme nous lavons vu prcdemment, la gestion des incidents contribue de faon notable au
cycle de vie de la scurit informatique, puisquelle permet non seulement de rpondre aux
vnements nfastes affectant les actifs informationnels, mais aussi de signaler les failles
ventuelles des mesures prventives en vigueur.
Malgr la prsence dune infrastructure technologique de scurit sophistique et de personnel
technique hautement technique il est important de mettre en place un processus de gestion des
incidents pour les raisons suivantes :
n Meilleure comprhension des rles et responsabilits des intervenants;
n Rapidit dexcution lors dun incident;
n Gestion optimale des ressources;
n Meilleures communications entre lensemble des parties prenantes.
Il est donc clair quaucun tablissement ne peut se passer dun processus formel de gestion des
incidents, tel quil est dcrit dans la section suivante.
-
8/9/2019 guide de gestion des incidents de scurit
11/31
7
4 lments dun processus de gestion des incidents
de scurit
4.1 Prsentation globale du processus
Le processus global propos est prsent dans le diagramme ci-bas :
Prparation du processus de gestion des incidents (4.2.1)
Incidents techniques Incidents thiques
Personnelinformatique
R.S.I.
R.S.A.I.
Personnelinformatique
Suprieur
immdiat
Utilisateur
Police
Suprieurimmdiat
Confinementdes domages
(4.2.3)
radication
(4.2.4
)
Retour lanormale (4.2.5)
Dtection
Suivi(4.2.6
)
quipe degestion del'incident
Dtection et escalade
Figure 2 Mthodologie de gestion des incidents
-
8/9/2019 guide de gestion des incidents de scurit
12/31
8
Il est noter que la dure et limportance de chacune des ces tapes varieront dun incident
lautre, selon sa svrit, sa complexit, et ltendue des dommages.
Nous abordons chacune de ces tapes dans la sous-section suivante.
4.2 tapes du processus de gestion des incidents
4.2.1 Prparation
Ltape de prparation est sans aucun doute la plus importante puisque cest durant celle-ci que
slabore linfrastructure de gestion des incidents, en particulier :
n Lquipe de gestion des incidents;
n Lidentification et la classification des incidents;
n Les procdures descalade;
n Les procdures dradication;
n Les procdures de retour la normale;
n Toute documentation connexe ncessaire (listes tlphoniques, etc.)
Examinons de plus prs chacune de ces composantes.
quipe de gestion des incidents
Une quipe de gestion des incidents doit tre mise en place avant toute autre chose. Cette quipesera, non seulement responsable de lexcution des procdures dcrites plus bas, mais jouera un
rle consultatif important lors de leur laboration. La nature de lincident, soit technique ou
thique influencera la composition de lquipe. La figure de la page suivante prsente certaines
suggestions quant aux de membres qui pourraient composer lquipe de gestion des incidents en
fonction de la nature de lincident.
Validation, rtroaction et mise jour
-
8/9/2019 guide de gestion des incidents de scurit
13/31
9
quipe de gestion des incidents
Comme la figure le dmontre, la composition de lquipe de gestion des incidents sera influence
par la nature de lincident. Par exemple, dans le cas dun incident de nature strictement
technique, il est peu probable que les services juridiques soient impliqus. linverse, dans lecas dun incident de nature purement thique, ladministrateur rseau pourrait ne pas avoir de rle
jouer. Certains intervenant toutefois risquent dtre sollicit dans pratiquement toutes les
situations. Cest le cas par exemple du Responsable de la Scurit des Actifs Informationnels
(RSAI), du responsable de linformation et des autres intervenants figurant lintersection des
deux cercles.
Incident de nature technique Incident de nature thique
- RSAI
- Responsable de l'informatique
- Responsable scurit physique
- Suprieur immdiat
- Dtenteur de l'actifinformationnel
- Professionnel de la scuritinformatique (PSI)
- Direction des ressourcesfinancires
Responsable des mesuresd'urgence
Administrateur rseau
- Services juridiques
- Services descommunications
- Direction des ressourceshumaines
- Directeur gnral
-
8/9/2019 guide de gestion des incidents de scurit
14/31
10
Le degr et la nature de limplication de chacun des membres de lquipe de gestion des incidents
seront bien videmment variables, mais tous les intervenants devront tre prpars rpondre,selon leur rle, aux exigences de la situation, quelle quelle soit.
Le responsable de la scurit des actifs informationnels de ltablissement (RSAI) sera le
coordonnateur de lquipe de gestion des incidents. Celui-ci aura pour rle principal la direction
de lquipe de gestion des incidents, mais sera galement en charge de la communication avec la
haute direction, et de la formation de lensemble des membres de lquipe sur les types
dincidents, les actions prendre, et limportance de leur participation.
Identification et classification des incidents
Avant de rdiger des procdures descalade et de retour la normale, il est ncessaire de se
familiariser avec les incidents pouvant affecter les actifs informationnels de ltablissement, puis
dattribuer chacun de ces incidents une cote de svrit, de 1 3 (1 lev, 2 Moyen,
3 Bas). Cette cote permettra de dterminer rapidement les niveaux descalade pour un incident
donn.
Les incidents identifis et les cotes associes pourront tre consignes dans une grille de
classification de ce type :
Incident de nature technique (D,I,C) Incident de nature thique
Attaque de dni de service du portail de
ltablissement
Vol dun ordinateur portatif contenant des donnes
sensibles
Programme malveillant, virus Utilisation des quipements informatiques des fins
de pdophilies
Intrusion dun utilisateur non autoris
Tableau 1 Exemple de grille de classification des incidents
-
8/9/2019 guide de gestion des incidents de scurit
15/31
11
Pour obtenir des informations jour concernant les incidents de scurit informatique et
les nouvelles vulnrabilits, il est recommand de sabonner une liste postale telleque celle du CERT/CC3.
Procdures descalade
Des procdures descalade doivent tre rdiges pour chacun des incidents ou groupes dincidents
identifis. En fonction de la nature de lincident (technique ou thique), la procdure approprie
devra tre invoque (voir figure 2) Les procdures descalade seront utilises durant les tapes 2,
Dtection , et 3, Confinement des dommages du processus. Ces procdures doiventcontenir, au minimum, les informations suivantes :
n Qui contacter, dans quelles circonstances;
n Les actions spcifiques poser, dans quelles circonstances, et selon quel ordre depriorit;
n Les rles assigns chacun des individus participant leffort de gestion dincident.
Ces procdures doivent tre simples, claires et concises il ne faut pas perdre de vue lors de leur
laboration quelles seront utilises en situation de crise et durgence. De plus, il est crucial de
sassurer quelles sont rgulirement maintenues jour, une attention particulire devant tre
accorde aux informations concernant les individus contacter.
Le schma oprationnel est un format parfaitement adapt aux procdures descalades
car il permet une visualisation rapide du cheminement et des priorits daction.
Un exemple de procdure descalade est prsent dans lannexe A.
3
http://www.cert.org/contact_cert/certmaillist.html
-
8/9/2019 guide de gestion des incidents de scurit
16/31
12
Procdures dradication
La documentation des procdures dradication permet de sassurer quaucun dtail nest omis
lors de cette tape importante du processus de gestion des incidents. La complexit de ces
procdures variera selon la nature et la gravit de lincident : Ainsi, autant une procdure
dradication de virus sera simple, spcifiant, au mieux, lexcution dun logiciel antivirus, au
pire le formatage du disque dur du systme affect, autant une procdure dradication suite une
intrusion ou une compromission de systme pourra tre complexe.
Dans tous les cas, les procdures dradication sadressent au personnel technique du
Service informatique, elles doivent donc respecter le format habituel des procdures de
ce service.
Un exemple de procdure dradication est prsent dans lannexe B.
Procdures de retour la normale
Des procdures de retour la normale, qui seront utilises durant ltape 5 Retour la
normale du processus, doivent galement tre labores. Celles-ci doivent tre spcifiquement
rdiges pour le personnel technique du Service informatique, et prciser les tapes suivre pour
rtablir un niveau de service satisfaisant des systmes affects, une fois les mesures immdiates
de confinement des dommages et dradication applique.
Elles doivent traiter, par exemple, des aspects suivants :
n
Rappel des supports magntiques
n Restauration des donnes
n Validation des configurations
Ces procdures, puisquelles sadressent une audience technique, doivent tre
dtailles et prcises, et respecter le format en vigueur pour les autres procdures du
Service informatique.
-
8/9/2019 guide de gestion des incidents de scurit
17/31
13
Un exemple de procdure de retour la normale est prsent dans lannexe C.
Documentation connexe
Finalement, il est important de ne pas ngliger certains dtails qui pourraient faire toute une
diffrence en cas dincident :
n Les listes tlphoniques consignant les numros de tlphone, au bureau et la maison,les numros de tl-avertisseur et de tlphone cellulaire des intervenants de lquipe degestion des incidents doivent tre facilement accessibles et maintenues rigoureusement
jour.n La documentation approprie concernant les principauxfournisseurs dquipement et de
support incluant les numros de contrat, numros de srie et autres doit galementtre disponible.
n Unformulaire de rapport dincident pourrait tre mis la disposition du personnelresponsable du support de premire ligne, afin de les assister dans le processusdescalade. Il leur permettra de consigner les informations de base concernant lincident,telles que le type dincident, le systme affect, la date et lheure de dbut de lincident,
et le statut. Un exemple de formulaire est prsent dans lannexe D.
4.2.2 Dtection
Des moyens de dtection des incidents doivent tre mis en place afin de contenir limpact de
ceux-ci et de faciliter un enclenchement rapide du processus descalade. Ces moyens doivent
galement permettre une surveillance proactive, dans le but de prvenir la matrialisation dun
incident donn et une analyse ractive, qui servira dintrant, lors de la dfinition de mesures
curatives pour viter la r-occurrence dun incident donn.
Les outils de dtection les plus courants sont numrs ci-dessous :
n Systmes de dtection dintrusion (IDS);
n Antivirus;
n Vrificateurs dintgrit des fichiers;
n Journaux de scurit.
-
8/9/2019 guide de gestion des incidents de scurit
18/31
14
Toute anomalie rvle par ces outils doit tre analyse au plus vite, par le personnel comptent,
et si cette anomalie se convertit en un incident de scurit, les mesures suivantes doivent tre, sipossible, mises en place :
n Activation dune journalisation accrue;
n Prise de copie de sauvegarde du systme affect des fins dexamen et denqute;
n Documentation des vnements;
n Notification des individus appropris.
Chacune de ces mesures doit figurer dans les procdures descalade mentionnes plus
haut.
4.2.3 Confinement des dommages
Les activits de confinement des dommages se caractrisent par leur rapidit dexcution, et leur
impact sur la continuit dopration des systmes. Elles ne doivent donc tre entreprises que dans
le contexte dune procdure descalade.
Voici quelques exemples dactivits de confinement des dommages :
n teindre le systme affect;
n Le dconnecter du rseau;
n Modifier les rgles de filtrage dun pare-feu ou dun routeur;
n Dsactiver un code dutilisateur;
n Dsactiver un service.
La dcision de recourir ou non lune de ces activits, cause de ses consquences srieuses sur
la disponibilit des systmes, ne peut tre improvise. Elle doit faire lobjet dune tude froid, et
sinscrire dans la mise en uvre dun processus pr-dfini.
-
8/9/2019 guide de gestion des incidents de scurit
19/31
15
4.2.4 radication
Ltape dradication, dans le processus de gestion des incidents, vise liminer la cause dun
incident donn. Elle suit logiquement ltape de confinement des dommages, et doit tre excute
par le personnel technique du Service informatique, selon les instructions prsentes dans les
procdures dradication dfinies prcdemment.
4.2.5 Retour la normale
Une fois les dommages contenus et la cause de lincident limine, il convient de recourir des
procdures de retour la normale afin de rtablir un niveau dopration acceptable, de la faon la
plus efficace possible.
Cest galement durant cette phase du processus que lon liminera les mesures temporaires
mises en uvre lors de ltape de confinement des dommages, aprs avoir confirm quelles
ntaient plus requises.
4.2.6 Suivi
Le but principal de cette tape est de tirer les leons de lincident qui est survenu, afin damliorer
le processus de gestion des incidents, et, en gnral, les mesures prventives en place dans
ltablissement.
Une analyse post-mortem doit tre effectue pour chaque incident, et les questions suivantes
doivent, entre autres, tre poses :
n Que sest-il pass, exactement?
n Cet incident aurait-il pu tre vit? Comment?
n Le personnel impliqu dans le processus a-t-il agit de faon adquate?
n La documentation ncessaire au personnel tait-elle immdiatement disponible? tait-ellepertinente?
n Comment pourrait-on amliorer le processus, dans son ensemble?
-
8/9/2019 guide de gestion des incidents de scurit
20/31
16
Il est noter que cette tape sapplique tous types dincident et quil est suggr derdiger un rapport rsumant les conclusions de ces analyses, et de conserver celui-ci
des fins de formation et de rfrence.
-
8/9/2019 guide de gestion des incidents de scurit
21/31
17
5 Mthodologie dlaboration dun processus de
gestion des incidents
5.1 Les facteurs cls de russite
Le succs dun processus de gestion des incidents de scurit de linformation repose sur une
srie de facteurs, tous aussi importants les uns que les autres. En voici une liste sommaire :
n Engagement ferme de la direction de ltablissement, se traduisant par lattribution desressources financires et humaines ncessaires.
n Collaboration du service informatique et transparence
n Sensibilisation du personnel impliqu dans leffort de dlaboration du processus degestion des incidents limportance de lexactitude et la pertinence des procduresdveloppes. Ces procdures seront suivies scrupuleusement durant leffort de gestiondes crises et ne peuvent laisser de champ limprovisation de leurs excutants.
n Responsable de la Scurit des Actifs Informationnels (RSAI) possdant des qualits
reconnues de leadership et de sang-froid, et dont la lgitimit ne sera nullement contesteen cas dincident.
n Mise jour et r-valuation constante des lments du processus et de la documentation
supportant le processus.
n Formation adquate de tous les intervenants sur son contenu et sa teneur.
5.2 Composition de lquipe de projet
Nous recommandons de constituer un comit de scurit provisoire qui supportera le charg de
projet dans son mandat d'laboration dun processus de gestion des incidents. Le groupe devrait
tre compos des intervenants suivants :
n Le responsable de la scurit des actifs informationnels de ltablissement (RSAI);
n Quelques utilisateurs en mesure de reprsenter les dtenteurs et les utilisateurs de systme
(pilotes ou utilisateurs-experts);
-
8/9/2019 guide de gestion des incidents de scurit
22/31
18
n Le responsable du service informatique;
n Le responsable de la continuit des services TI;
n Un membre du service des Relations publiques.
5.3 Les tapes de prparation
La prparation dun processus de gestion des incidents doit suivre le cheminement illustr ci-
dessous.tape 1
voirSection 5.2
tape 2voir
Section 4.2.1
tape 3voir
Section 4.2.1
tape 4
tape 5voir
Section 4.2.1
Mise en place dune quipe de projet : Rencontre initiale des participants,et laboration dun plan de projet, assorti dun chancier des livrables.
Dsignation des membres de lquipe de gestion des incidents :Assignation des rles et responsabilits, cration dun organigramme, etprsentation du plan de projet.
Identification et classification des incidents : Consulter les membresappropris du Service informatique afin de peupler la grille declassification des incidents.
Identification des procdures descalade documenter : Identificationdes niveaux de priorit dlaboration, correspondant troitement au niveau
de svrit ou la criticit des dlais, de mme qu la probabilit dematrialisation des incidents.
Rdaction des procdures descalade : Consulter les membres approprisdu Service informatique et de la Continuit des affaires afin dobtenir lesdtails techniques ncessaires.
-
8/9/2019 guide de gestion des incidents de scurit
23/31
19
tape 6voirSection 4.2.1
tape 7voir
Section 4.2.1
tape 8voir
Section 4.2.1
tape 9
tape 10
tape 11
tape 12
Compilation des informations connexes : Listes tlphoniques despersonnes ressources et des fournisseurs, consolidation des numros decontrat de service, numros de srie dquipement etc.
Rdaction des procdures dradication et de retour la normale :Consultation avec les membres appropris du Service informatique.Certaines de ces procdures, dj existantes, devront tre valides.
Cration du formulaire de rapport dincident : Consultation avec lepersonnel qui sera appel utiliser ce formulaire.
Validation et approbation des procdures et documents connexes : Lesmembres de lquipe de gestion des incidents devront formellementapprouver chacun des documents crs prcdemment.
Diffusion des procdures et documents connexes au personnelconcern : Les participants potentiels un effort de gestion des incidentsdevront avoir un accs immdiat la dernire version de ces documents.
Entreposage dune copie des procdures et documents connexes hors-site : Une copie jour des ces documents devra tre entrepose dans un sitescuritaire, externe ltablissement.
Formation du personnel concern : Les participants potentiels un effortde gestion des incidents devront recevoir une formation rigoureuse sur lecontenu des procdures et documents, et le processus en gnral.
-
8/9/2019 guide de gestion des incidents de scurit
24/31
20
Certaines de ces tapes devront tre rptes, rgulirement ou des suites dun incident rvlant
une lacune dans le processus, car celui-ci nest pas ponctuel, mais continu. Lexactitude et lapertinence de ses lments sont les garants de son succs.
-
8/9/2019 guide de gestion des incidents de scurit
25/31
21
ANNEXE A EXEMPLE DE PROCDURE DESCALADE
Fourni titre dexemple seulement
-
8/9/2019 guide de gestion des incidents de scurit
26/31
Dni de service
22
Coordonnateur,quipe de gestion
des incidents
Administrateur dusystme affect
Administrateurrseau
Lgende:Activit DcisionActivit externe
Dtectiondun incident
Analyser etidentifier leproblme
Dni de service Aviser le coordonnateurde lquipe de gestion
Lien
Rponse dansles 15 minutes?
Non
valuer lasituation
Aviser ladministrateurdu systme et des
quipements affectsRponse dansles 15 minutes?
Non
OuiInformer le fournisseur
de services Internet
Consulterjournaux du
systme
Aviser le TCRconcerne
NonRponse dansles 15 minutes?
Consulterjournaux du
routeur externe
Identifier ladresse IPdu/des systme(s)
hostile(s)
Bloquer ladresse IPdu/des systme(s)
hostile(s) au niveau durouteur externe
Aviser le coordonnateurde lquipe de gestion
Suivi
Listedescalade
Listedescalade
Listedescalade
Oui
Oui
Redmarrer lesystme, au besoin. Suivi
Conserver informationspertinentes la
reconstitution de lapreuve
-
8/9/2019 guide de gestion des incidents de scurit
27/31
23
Exemple de liste descalade
Gestion des incidents
1 - Coordonnateur (111) 123-4567 ext. 1234
(111) 987-6543 (cellulaire)
(111) 567-5543 (tlavertisseur)
(111) 432-6554 (maison)
2 Coordonnateur, supplant (111) 123-4567 ext. 1235
(111) 987-5466 (cellulaire)
(111) 567-5453 (tlavertisseur)
(111) 321-6654 (maison)
quipements rseau
1 - Administrateur (111) 123-4567 ext. 1134
(111) 555-6543 (cellulaire)(111) 634-5543 (tlavertisseur)
(111) 333-6554 (maison)
2 Administrateur, supplant (111) 123-4567 ext. 1135
(111) 786-5466 (cellulaire)
(111) 221-5453 (tlavertisseur)
(111) 321-7895 (maison)
-
8/9/2019 guide de gestion des incidents de scurit
28/31
24
Serveurs WEB
1 - Administrateur (111) 123-4567 ext. 1334(111) 555-5005 (cellulaire)
(111) 634-4400 (tlavertisseur)
(111) 333-4400 (maison)
2 Administrateur, supplant (111) 123-4567 ext. 1335
(111) 786-5000 (cellulaire)
(111) 221-4000 (tlavertisseur)
(111) 321-2000 (maison)
TCR
(111) 123-4567 ext. 1336
(111) 786-5001 (cellulaire)
(111) 221-4001 (tlavertisseur)
(111) 321-2001 (maison)
Coordonnateur de scurit rgionale
(111) 123-4567 ext. 1337
(111) 786-5002 (cellulaire)
(111) 221-4002 (tlavertisseur)
(111) 321-2002 (maison)
Directeur gnral de ltablissement
(111) 123-4567 ext. 1338
(111) 786-5003 (cellulaire)
(111) 221-4003 (tlavertisseur)
(111) 321-2003 (maison)
-
8/9/2019 guide de gestion des incidents de scurit
29/31
25
Responsable du TCN
(111) 123-4567 ext. 1339(111) 786-5004 (cellulaire)
(111) 221-4004 (tlavertisseur)
(111) 321-2004 (maison)
MSSS Directeur des ressources informationnelles
(111) 123-4567 ext. 1340
(111) 786-5005 (cellulaire)
(111) 221-4005 (tlavertisseur)
(111) 321-2005 (maison)
-
8/9/2019 guide de gestion des incidents de scurit
30/31
-
8/9/2019 guide de gestion des incidents de scurit
31/31
RAPPORT DE DCLARATION DINCIDENT
Date : Date de lincident :
Soulign par :
Nom et prnom : Tlphone :
Description :
Consquences :
Cause :
Solution :
Responsable de la mise en uvre de la solution :
Nom et prnom : Tlphone :
chancier Date de ralisation
Signature du cadre
Suivi :
Date du suivi:
Description :
Signature du responsable de lapplication de la politique :
Doit tre remis au :
Suprieur immdiat
Responsable de lapplication de la politique