guide de gestion des incidents de sécurité

8/9/2019 guide de gestion des incidents de scurit

1/31

Gestion des

incidents de scurit

GuideTrousse doutils

Document adopt par :

Le Comit national sur la protection des renseignements personnels et la scurit (CNPRPS) le23 septembre 2003

La Table des coordonnateurs rgionaux de scurit le 14 novembre 2003

Novembre 2003

Version 1.3


2/31

I

Guide dlaboration dun processus de gestion desincidents de scurit

Ce guide a t labor par le cabinet KPMG sous la supervision de la Direction du Technocentre

national et de SOGIQUE :

M. Robert BrochuConseiller senior en scurit et technologieSocit de gestion informatique inc. (SOGIQUE)

Francis BeaudoinDirecteur principal Groupe scurit de linformationKPMG s.r.l./S.E.N.C.R.L.

Personnes consultes :

Jean LaterrireDirecteur du Technocentre nationalSocit de gestion informatique inc.(SOGIQUE)

ric DallaireCoordonnateur de la scurit du rseauDirection des ressources informationnelles MSSS

Richard HalleyConseiller en scuritDirection des ressources informationnellesMSSS

Yves ViauCoordonnateur des ressources informationnellesRgie rgionale de Sant et Services sociaux desLaurentides

Gilles PotvinCoordonnateur des technologies delinformationRgie rgionale de Sant et Services sociaux deLanaudire

Nathalie MaloAnalyste-conseil en technologie de linformationRgie rgionale de Sant et Services sociaux deLanaudire

Yvan FournierResponsable du secteur serveur et scuritCentre hospitalier universitaire de Qubec

Lucie BeauregardCoordonnatrice scurit et confidentialit / serviceinformatiqueCentre universitaire de sant McGill

Denis LebeufOfficier de scuritCentre hospitalier de l'Universit de Montral

Jean AsselinCoordonnateur, secteur ressources matrielles,financires et informationnellesAssociation des Centres jeunesses du Qubec

Normand BakerDirecteur gnralCLSC Frontenac et Centre hospitalier rgionamiante


3/31

II

Membres du comit de lecture et de validation :

Jean LaterrireDirecteur du Technocentre nationalSocit de gestion informatique inc.(SOGIQUE)

ric DallaireCoordonnateur de la scurit du rseauDirection des ressources informationnellesMSSS

Robert BrochuConseiller senior en scurit et technologieSocit de gestion informatique inc.(SOGIQUE)

Francis BeaudoinDirecteur principal Groupe scurit delinformationKPMG s.r.l./S.E.N.C.R.L.

Hance Brire

Coordonnateur rgional de la scurit des actifs

informationnelsTechnocentre rgional de lEstrie

Jocelyne LegrasAnalyste en informatique / responsable du

dossier de la scurit de linformation rgionaleRgie rgionale de Sant et Services sociaux deQubec

Gilles PotvinCoordonnateur des technologies delinformationRgie rgionale de Sant et Services sociaux deLanaudire

Guy MathieuCoordonnateurDirection de linformation et de la planificationSecteur des technologies et des systmesdinformationRgie rgionale de Sant et Services sociaux deMontral-centre

Dans ce document, le gnrique masculin est utilis pour simplifier la lecture du texte, mais

s'applique autant pour le fminin que pour le masculin.

Pour toute question ou commentaire, veuillez communiquer avec votre coordonnateur rgional de

la scurit de l'information.

Remerciements

Lquipe de ralisation tient remercier toutes les personnes ayant collabores avec elle.


4/31

i

Table des matires

1 CONTEXTE...................................................................................................................1

2 OBJECTIFS DU GUIDE................................................................................................2

2.1 OBJECTIFS..................................................................................................................2

2.2 AUDIENCE ..................................................................................................................3

2.3 LIMITATIONS ..............................................................................................................4

2.4 SOUTIEN .....................................................................................................................4

3 GNRALITS SUR LE PROCESSUS DE GESTION DES INCIDENTS DE

SCURIT.....................................................................................................................53.1 POSITIONNEMENT DE LA GESTION DES INCIDENTS DE SCURIT......................................5

3.2 POURQUOI UN PROCESSUS DE GESTION DES INCIDENTS? ................................................6

4 LMENTS DUN PROCESSUS DE GESTION DES INCIDENTS DESCURIT.....................................................................................................................7

4.1 PRSENTATION GLOBALE DU PROCESSUS......................................................................7

4.2 TAPES DU PROCESSUS DE GESTION DES INCIDENTS.......................................................8

5 MTHODOLOGIE DLABORATION DUN PROCESSUS DE GESTIONDES INCIDENTS.........................................................................................................17

5.1 LES FACTEURS CLS DE RUSSITE...............................................................................17

5.2 COMPOSITION DE LQUIPE DE PROJET ........................................................................ 17

5.3 LES TAPES DE PRPARATION .................................................................................... 18

ANNEXE A EXEMPLE DE PROCDURE DESCALADE............................................21

ANNEXE B FORMULAIRE DE RAPPORT DINCIDENT............................................26


5/31

1

1 Contexte

La scurit des actifs informationnels 1 est devenue une proccupation majeure des intervenants

oeuvrant dans le domaine de la sant. tant donn limportance stratgique des systmes

dinformation utiliss par les tablissements et les organismes2 de mme que la nature sensible

des informations quils traitent, la scurisation des actifs informationnels devient un enjeu

stratgique pour le rseau sociosanitaire.

En ce sens, le Ministre de la Sant et des Services sociaux a rcemment adopt le Cadre globalde gestion des actifs informationnels appartenant aux tablissements du rseau de la sant et des

services sociaux Volet sur la scurit (appel Cadre global ci-aprs) Le Cadre global vise

communiquer les attentes, les obligations et les rles de chacun des intervenants en matire de

scurit des actifs informationnels. ce titre, les tablissements ont notamment l'obligation de se

doter d'une politique de scurit tel que stipul l'article 3.3 du Cadre global.

Afin de les appuyer dans leurs efforts, le Ministre a cr en octobre 2001 la table des

coordonnateurs rgionaux en scurit afin dchanger et de partager quant aux enjeux relis audploiement du Cadre global en gnral. Or, la responsabilit de scuriser les actifs

informationnels revient aux propritaires des actifs afin de supporter les tablissements. Sogique

a t mandate afin de dvelopper une trousse destine accompagner et supporter les

tablissements dans limplantation du Cadre global.

Cest donc dans ce contexte que le prsent guide dlaboration dun processus de gestion des

incidents de scurit a t dvelopp. Il est important de mentionner que chaque organisme a la

responsabilit de grer ses incidents.

1 La notion dactif informationnel est dfinie au lexique. De plus, le domaine dapplication de la scurit

de linformation est dfini au Cadre global larticle 2, page 7.2 Dans un souci d'allgement du texte, nous utiliserons uniquement le terme tablissements pour

dsigner l'ensemble des organisations du secteur sociosanitaire assujetti l'application du Cadre global

art. 2


6/31

2

2 Objectifs du guide

2.1 Objectifs

Lobjectif du prsent guide est de supporter les tablissements dans llaboration et la mise en

uvre dun processus de gestion des incidents de scurit de linformation.

Un tel processus permet de sassurer que, si un incident de scurit survient, les actions adquates

seront poses, les intervenants appropris seront contacts et, le cas chant, les informationsncessaires la tenue dune enqute seront enregistres.

Il est noter quil existe deux types dincidents en regard aux incidents de scurit des actifs

informationnels : les incidents de nature technique et les incidents de nature thique.

Dans le prsent guide, les incidents de nature technique sont dfinis comme des vnements

mettant en pril la disponibilit, lintgrit, la confidentialit, lauthentification et lirrvocabilit

dun actif informationnel et de ses drivs (impression) Par exemple, une attaque de dni deservice, linstallation dun cheval de Troie sur un serveur critique ou une intrusion dans le but

daccder des donnes nominatives sont trois exemples dincidents de scurit affectant,

respectivement, la disponibilit, lintgrit et la confidentialit des actifs informationnels qui en

sont les victimes. Nanmoins les vnements ncessitant la mise en uvre du plan de secours, tel

quun incendie majeur, une inondation ou une coupure lectrique ne serons pas trait par le

prsent guide, car elle relve plutt du domaine des pans de mesures durgence.

Les incidents de nature thique, quant eux, seront dfinis comme tant relis au comportementdes individus. Par exemple, le non-respect dune loi, lutilisation dquipements informatiques

des fins, de pdophilie, de participation des groupes de discussion racistes, de piratage de

logiciel et tout autre incident de nature similaire pouvant nuire limage corporative des

tablissements envers la population seront de plus trait dans le prsent guide.


7/31

3

Ces deux types dincidents, bien que tous deux relis aux actifs informationnels,

ncessite une approche de gestion diffrente. Par exemple, la composition de

lquipe de gestion de lincident pourra diffrer en fonction de la nature technique

ou tique de lincident. Lorsque appropri, nous ferons ressortir les distinctions tout au long du

guide. Cependant, il est noter que ce guide ne porte pas sur la gestion des aspects thiques dun

incident car ces lments relvent gnralement du domaine des relations de travail.

Ce guide est construit autour de deux sections principales, soit :

n La section 4 lments dun processus de gestion des incidents;

n La section 5 Mthodologie dlaboration dun processus de gestion des incidents.

La section 4 expose les diffrents lments qui constituent un processus de gestion des incidents.

Pour chaque lment, la raison dtre de cet lment, sont les meilleures pratiques le concernant,

ainsi quune liste de suggestions et dexemples.

La section 5, quant elle, propose une mthodologie permettant dlaborer un processus de

gestion des incidents. Comme toute mthode de travail, cette dernire devra tre adapte aux

particularits de chaque tablissement.

2.2 Audience

Ce guide sadresse principalement aux personnes suivantes :

n Responsable auquel la tche dlaborer un processus de gestion des incidents de scurit

a t assigne qui, dans la majorit des cas, devrait tre le responsable de la scurit desactifs informationnels de ltablissement.

n Le responsable de la scurit des actifs informationnels (RSAI) de ltablissement;

n Les dtenteurs dactifs informationnels;

n Le directeur de la gestion des ressources informationnelles.


8/31

4

2.3 Limitations

La disparit entre les tablissements et leurs stades variables d'avancement quant aux activits de

gestion de la scurit de l'information fait en sorte que le guide devra tre adapt. Il ne ce

substitut en aucun cas au jugement professionnel des intervenants des tablissements, et son

utilisation demeure une prrogative de ceux-ci.

2.4 Soutien

Les Rgies rgionales de la Sant et des Services sociaux ont le mandat de supporter les

tablissements dans leur dmarche dlaboration dun processus de gestion des escalades des

incidents de scurit. Pour toutes questions concernant ce guide, vous pouvez vous adresser au

coordonnateur de votre rgion.


9/31

5

3 Gnralits sur le processus de gestion des

incidents de scurit

3.1 Positionnement de la gestion des incidents de scurit

La gestion des incidents de scurit est un lment essentiel du cycle de vie de la scurit

informatique, tel quillustr la figure 1 ci-dessous :

Les mesures prventives sont gnralement choisies et dployes des suites dune analyse de

risques, et en accord avec les meilleures pratiques nonces dans le domaine. Elles contribuent

lattnuation des menaces la scurit des actifs informationnels et latteinte limagecorporative de ltablissement.

La dtection des incidents permet de dterminer si la scurit dun ou de plusieurs des actifs

informationnels de ltablissement a t compromise, et, en consquence, de jauger lefficacit

des mesures prventives.

Mesuresprventives

Gestion desincidents

Dtection

Figure 1 Cycle de vie de la scurit informatique


10/31

6

La gestion des incidents suit logiquement ltape de dtection, et les activits qui la caractrisentpeuvent susciter le dploiement de nouvelles mesures prventives. Ces activits seront couvertes

en dtail dans la section 4, lments dun processus de gestion des incidents .

3.2 Pourquoi un processus de gestion des incidents?

Comme nous lavons vu prcdemment, la gestion des incidents contribue de faon notable au

cycle de vie de la scurit informatique, puisquelle permet non seulement de rpondre aux

vnements nfastes affectant les actifs informationnels, mais aussi de signaler les failles

ventuelles des mesures prventives en vigueur.

Malgr la prsence dune infrastructure technologique de scurit sophistique et de personnel

technique hautement technique il est important de mettre en place un processus de gestion des

incidents pour les raisons suivantes :

n Meilleure comprhension des rles et responsabilits des intervenants;

n Rapidit dexcution lors dun incident;

n Gestion optimale des ressources;

n Meilleures communications entre lensemble des parties prenantes.

Il est donc clair quaucun tablissement ne peut se passer dun processus formel de gestion des

incidents, tel quil est dcrit dans la section suivante.


11/31

7

4 lments dun processus de gestion des incidents

de scurit

4.1 Prsentation globale du processus

Le processus global propos est prsent dans le diagramme ci-bas :

Prparation du processus de gestion des incidents (4.2.1)

Incidents techniques Incidents thiques

Personnelinformatique

R.S.I.

R.S.A.I.

Personnelinformatique

Suprieur

immdiat

Utilisateur

Police

Suprieurimmdiat

Confinementdes domages

(4.2.3)

radication

(4.2.4

)

Retour lanormale (4.2.5)

Dtection

Suivi(4.2.6

)

quipe degestion del'incident

Dtection et escalade

Figure 2 Mthodologie de gestion des incidents


12/31

8

Il est noter que la dure et limportance de chacune des ces tapes varieront dun incident

lautre, selon sa svrit, sa complexit, et ltendue des dommages.

Nous abordons chacune de ces tapes dans la sous-section suivante.

4.2 tapes du processus de gestion des incidents

4.2.1 Prparation

Ltape de prparation est sans aucun doute la plus importante puisque cest durant celle-ci que

slabore linfrastructure de gestion des incidents, en particulier :

n Lquipe de gestion des incidents;

n Lidentification et la classification des incidents;

n Les procdures descalade;

n Les procdures dradication;

n Les procdures de retour la normale;

n Toute documentation connexe ncessaire (listes tlphoniques, etc.)

Examinons de plus prs chacune de ces composantes.

quipe de gestion des incidents

Une quipe de gestion des incidents doit tre mise en place avant toute autre chose. Cette quipesera, non seulement responsable de lexcution des procdures dcrites plus bas, mais jouera un

rle consultatif important lors de leur laboration. La nature de lincident, soit technique ou

thique influencera la composition de lquipe. La figure de la page suivante prsente certaines

suggestions quant aux de membres qui pourraient composer lquipe de gestion des incidents en

fonction de la nature de lincident.

Validation, rtroaction et mise jour


13/31

9

quipe de gestion des incidents

Comme la figure le dmontre, la composition de lquipe de gestion des incidents sera influence

par la nature de lincident. Par exemple, dans le cas dun incident de nature strictement

technique, il est peu probable que les services juridiques soient impliqus. linverse, dans lecas dun incident de nature purement thique, ladministrateur rseau pourrait ne pas avoir de rle

jouer. Certains intervenant toutefois risquent dtre sollicit dans pratiquement toutes les

situations. Cest le cas par exemple du Responsable de la Scurit des Actifs Informationnels

(RSAI), du responsable de linformation et des autres intervenants figurant lintersection des

deux cercles.

Incident de nature technique Incident de nature thique

- RSAI

- Responsable de l'informatique

- Responsable scurit physique

- Suprieur immdiat

- Dtenteur de l'actifinformationnel

- Professionnel de la scuritinformatique (PSI)

- Direction des ressourcesfinancires

Responsable des mesuresd'urgence

Administrateur rseau

- Services juridiques

- Services descommunications

- Direction des ressourceshumaines

- Directeur gnral


14/31

10

Le degr et la nature de limplication de chacun des membres de lquipe de gestion des incidents

seront bien videmment variables, mais tous les intervenants devront tre prpars rpondre,selon leur rle, aux exigences de la situation, quelle quelle soit.

Le responsable de la scurit des actifs informationnels de ltablissement (RSAI) sera le

coordonnateur de lquipe de gestion des incidents. Celui-ci aura pour rle principal la direction

de lquipe de gestion des incidents, mais sera galement en charge de la communication avec la

haute direction, et de la formation de lensemble des membres de lquipe sur les types

dincidents, les actions prendre, et limportance de leur participation.

Identification et classification des incidents

Avant de rdiger des procdures descalade et de retour la normale, il est ncessaire de se

familiariser avec les incidents pouvant affecter les actifs informationnels de ltablissement, puis

dattribuer chacun de ces incidents une cote de svrit, de 1 3 (1 lev, 2 Moyen,

3 Bas). Cette cote permettra de dterminer rapidement les niveaux descalade pour un incident

donn.

Les incidents identifis et les cotes associes pourront tre consignes dans une grille de

classification de ce type :

Incident de nature technique (D,I,C) Incident de nature thique

Attaque de dni de service du portail de

ltablissement

Vol dun ordinateur portatif contenant des donnes

sensibles

Programme malveillant, virus Utilisation des quipements informatiques des fins

de pdophilies

Intrusion dun utilisateur non autoris

Tableau 1 Exemple de grille de classification des incidents


15/31

11

Pour obtenir des informations jour concernant les incidents de scurit informatique et

les nouvelles vulnrabilits, il est recommand de sabonner une liste postale telleque celle du CERT/CC3.

Procdures descalade

Des procdures descalade doivent tre rdiges pour chacun des incidents ou groupes dincidents

identifis. En fonction de la nature de lincident (technique ou thique), la procdure approprie

devra tre invoque (voir figure 2) Les procdures descalade seront utilises durant les tapes 2,

Dtection , et 3, Confinement des dommages du processus. Ces procdures doiventcontenir, au minimum, les informations suivantes :

n Qui contacter, dans quelles circonstances;

n Les actions spcifiques poser, dans quelles circonstances, et selon quel ordre depriorit;

n Les rles assigns chacun des individus participant leffort de gestion dincident.

Ces procdures doivent tre simples, claires et concises il ne faut pas perdre de vue lors de leur

laboration quelles seront utilises en situation de crise et durgence. De plus, il est crucial de

sassurer quelles sont rgulirement maintenues jour, une attention particulire devant tre

accorde aux informations concernant les individus contacter.

Le schma oprationnel est un format parfaitement adapt aux procdures descalades

car il permet une visualisation rapide du cheminement et des priorits daction.

Un exemple de procdure descalade est prsent dans lannexe A.

3

http://www.cert.org/contact_cert/certmaillist.html


16/31

12

Procdures dradication

La documentation des procdures dradication permet de sassurer quaucun dtail nest omis

lors de cette tape importante du processus de gestion des incidents. La complexit de ces

procdures variera selon la nature et la gravit de lincident : Ainsi, autant une procdure

dradication de virus sera simple, spcifiant, au mieux, lexcution dun logiciel antivirus, au

pire le formatage du disque dur du systme affect, autant une procdure dradication suite une

intrusion ou une compromission de systme pourra tre complexe.

Dans tous les cas, les procdures dradication sadressent au personnel technique du

Service informatique, elles doivent donc respecter le format habituel des procdures de

ce service.

Un exemple de procdure dradication est prsent dans lannexe B.

Procdures de retour la normale

Des procdures de retour la normale, qui seront utilises durant ltape 5 Retour la

normale du processus, doivent galement tre labores. Celles-ci doivent tre spcifiquement

rdiges pour le personnel technique du Service informatique, et prciser les tapes suivre pour

rtablir un niveau de service satisfaisant des systmes affects, une fois les mesures immdiates

de confinement des dommages et dradication applique.

Elles doivent traiter, par exemple, des aspects suivants :

n

Rappel des supports magntiques

n Restauration des donnes

n Validation des configurations

Ces procdures, puisquelles sadressent une audience technique, doivent tre

dtailles et prcises, et respecter le format en vigueur pour les autres procdures du

Service informatique.


17/31

13

Un exemple de procdure de retour la normale est prsent dans lannexe C.

Documentation connexe

Finalement, il est important de ne pas ngliger certains dtails qui pourraient faire toute une

diffrence en cas dincident :

n Les listes tlphoniques consignant les numros de tlphone, au bureau et la maison,les numros de tl-avertisseur et de tlphone cellulaire des intervenants de lquipe degestion des incidents doivent tre facilement accessibles et maintenues rigoureusement

jour.n La documentation approprie concernant les principauxfournisseurs dquipement et de

support incluant les numros de contrat, numros de srie et autres doit galementtre disponible.

n Unformulaire de rapport dincident pourrait tre mis la disposition du personnelresponsable du support de premire ligne, afin de les assister dans le processusdescalade. Il leur permettra de consigner les informations de base concernant lincident,telles que le type dincident, le systme affect, la date et lheure de dbut de lincident,

et le statut. Un exemple de formulaire est prsent dans lannexe D.

4.2.2 Dtection

Des moyens de dtection des incidents doivent tre mis en place afin de contenir limpact de

ceux-ci et de faciliter un enclenchement rapide du processus descalade. Ces moyens doivent

galement permettre une surveillance proactive, dans le but de prvenir la matrialisation dun

incident donn et une analyse ractive, qui servira dintrant, lors de la dfinition de mesures

curatives pour viter la r-occurrence dun incident donn.

Les outils de dtection les plus courants sont numrs ci-dessous :

n Systmes de dtection dintrusion (IDS);

n Antivirus;

n Vrificateurs dintgrit des fichiers;

n Journaux de scurit.


18/31

14

Toute anomalie rvle par ces outils doit tre analyse au plus vite, par le personnel comptent,

et si cette anomalie se convertit en un incident de scurit, les mesures suivantes doivent tre, sipossible, mises en place :

n Activation dune journalisation accrue;

n Prise de copie de sauvegarde du systme affect des fins dexamen et denqute;

n Documentation des vnements;

n Notification des individus appropris.

Chacune de ces mesures doit figurer dans les procdures descalade mentionnes plus

haut.

4.2.3 Confinement des dommages

Les activits de confinement des dommages se caractrisent par leur rapidit dexcution, et leur

impact sur la continuit dopration des systmes. Elles ne doivent donc tre entreprises que dans

le contexte dune procdure descalade.

Voici quelques exemples dactivits de confinement des dommages :

n teindre le systme affect;

n Le dconnecter du rseau;

n Modifier les rgles de filtrage dun pare-feu ou dun routeur;

n Dsactiver un code dutilisateur;

n Dsactiver un service.

La dcision de recourir ou non lune de ces activits, cause de ses consquences srieuses sur

la disponibilit des systmes, ne peut tre improvise. Elle doit faire lobjet dune tude froid, et

sinscrire dans la mise en uvre dun processus pr-dfini.


19/31

15

4.2.4 radication

Ltape dradication, dans le processus de gestion des incidents, vise liminer la cause dun

incident donn. Elle suit logiquement ltape de confinement des dommages, et doit tre excute

par le personnel technique du Service informatique, selon les instructions prsentes dans les

procdures dradication dfinies prcdemment.

4.2.5 Retour la normale

Une fois les dommages contenus et la cause de lincident limine, il convient de recourir des

procdures de retour la normale afin de rtablir un niveau dopration acceptable, de la faon la

plus efficace possible.

Cest galement durant cette phase du processus que lon liminera les mesures temporaires

mises en uvre lors de ltape de confinement des dommages, aprs avoir confirm quelles

ntaient plus requises.

4.2.6 Suivi

Le but principal de cette tape est de tirer les leons de lincident qui est survenu, afin damliorer

le processus de gestion des incidents, et, en gnral, les mesures prventives en place dans

ltablissement.

Une analyse post-mortem doit tre effectue pour chaque incident, et les questions suivantes

doivent, entre autres, tre poses :

n Que sest-il pass, exactement?

n Cet incident aurait-il pu tre vit? Comment?

n Le personnel impliqu dans le processus a-t-il agit de faon adquate?

n La documentation ncessaire au personnel tait-elle immdiatement disponible? tait-ellepertinente?

n Comment pourrait-on amliorer le processus, dans son ensemble?


20/31

16

Il est noter que cette tape sapplique tous types dincident et quil est suggr derdiger un rapport rsumant les conclusions de ces analyses, et de conserver celui-ci

des fins de formation et de rfrence.


21/31

17

5 Mthodologie dlaboration dun processus de

gestion des incidents

5.1 Les facteurs cls de russite

Le succs dun processus de gestion des incidents de scurit de linformation repose sur une

srie de facteurs, tous aussi importants les uns que les autres. En voici une liste sommaire :

n Engagement ferme de la direction de ltablissement, se traduisant par lattribution desressources financires et humaines ncessaires.

n Collaboration du service informatique et transparence

n Sensibilisation du personnel impliqu dans leffort de dlaboration du processus degestion des incidents limportance de lexactitude et la pertinence des procduresdveloppes. Ces procdures seront suivies scrupuleusement durant leffort de gestiondes crises et ne peuvent laisser de champ limprovisation de leurs excutants.

n Responsable de la Scurit des Actifs Informationnels (RSAI) possdant des qualits

reconnues de leadership et de sang-froid, et dont la lgitimit ne sera nullement contesteen cas dincident.

n Mise jour et r-valuation constante des lments du processus et de la documentation

supportant le processus.

n Formation adquate de tous les intervenants sur son contenu et sa teneur.

5.2 Composition de lquipe de projet

Nous recommandons de constituer un comit de scurit provisoire qui supportera le charg de

projet dans son mandat d'laboration dun processus de gestion des incidents. Le groupe devrait

tre compos des intervenants suivants :

n Le responsable de la scurit des actifs informationnels de ltablissement (RSAI);

n Quelques utilisateurs en mesure de reprsenter les dtenteurs et les utilisateurs de systme

(pilotes ou utilisateurs-experts);


22/31

18

n Le responsable du service informatique;

n Le responsable de la continuit des services TI;

n Un membre du service des Relations publiques.

5.3 Les tapes de prparation

La prparation dun processus de gestion des incidents doit suivre le cheminement illustr ci-

dessous.tape 1

voirSection 5.2

tape 2voir

Section 4.2.1

tape 3voir

Section 4.2.1

tape 4

tape 5voir

Section 4.2.1

Mise en place dune quipe de projet : Rencontre initiale des participants,et laboration dun plan de projet, assorti dun chancier des livrables.

Dsignation des membres de lquipe de gestion des incidents :Assignation des rles et responsabilits, cration dun organigramme, etprsentation du plan de projet.

Identification et classification des incidents : Consulter les membresappropris du Service informatique afin de peupler la grille declassification des incidents.

Identification des procdures descalade documenter : Identificationdes niveaux de priorit dlaboration, correspondant troitement au niveau

de svrit ou la criticit des dlais, de mme qu la probabilit dematrialisation des incidents.

Rdaction des procdures descalade : Consulter les membres approprisdu Service informatique et de la Continuit des affaires afin dobtenir lesdtails techniques ncessaires.


23/31

19

tape 6voirSection 4.2.1

tape 7voir

Section 4.2.1

tape 8voir

Section 4.2.1

tape 9

tape 10

tape 11

tape 12

Compilation des informations connexes : Listes tlphoniques despersonnes ressources et des fournisseurs, consolidation des numros decontrat de service, numros de srie dquipement etc.

Rdaction des procdures dradication et de retour la normale :Consultation avec les membres appropris du Service informatique.Certaines de ces procdures, dj existantes, devront tre valides.

Cration du formulaire de rapport dincident : Consultation avec lepersonnel qui sera appel utiliser ce formulaire.

Validation et approbation des procdures et documents connexes : Lesmembres de lquipe de gestion des incidents devront formellementapprouver chacun des documents crs prcdemment.

Diffusion des procdures et documents connexes au personnelconcern : Les participants potentiels un effort de gestion des incidentsdevront avoir un accs immdiat la dernire version de ces documents.

Entreposage dune copie des procdures et documents connexes hors-site : Une copie jour des ces documents devra tre entrepose dans un sitescuritaire, externe ltablissement.

Formation du personnel concern : Les participants potentiels un effortde gestion des incidents devront recevoir une formation rigoureuse sur lecontenu des procdures et documents, et le processus en gnral.


24/31

20

Certaines de ces tapes devront tre rptes, rgulirement ou des suites dun incident rvlant

une lacune dans le processus, car celui-ci nest pas ponctuel, mais continu. Lexactitude et lapertinence de ses lments sont les garants de son succs.


25/31

21

ANNEXE A EXEMPLE DE PROCDURE DESCALADE

Fourni titre dexemple seulement


26/31

Dni de service

22

Coordonnateur,quipe de gestion

des incidents

Administrateur dusystme affect

Administrateurrseau

Lgende:Activit DcisionActivit externe

Dtectiondun incident

Analyser etidentifier leproblme

Dni de service Aviser le coordonnateurde lquipe de gestion

Lien

Rponse dansles 15 minutes?

Non

valuer lasituation

Aviser ladministrateurdu systme et des

quipements affectsRponse dansles 15 minutes?

Non

OuiInformer le fournisseur

de services Internet

Consulterjournaux du

systme

Aviser le TCRconcerne

NonRponse dansles 15 minutes?

Consulterjournaux du

routeur externe

Identifier ladresse IPdu/des systme(s)

hostile(s)

Bloquer ladresse IPdu/des systme(s)

hostile(s) au niveau durouteur externe

Aviser le coordonnateurde lquipe de gestion

Suivi

Listedescalade

Listedescalade

Listedescalade

Oui

Oui

Redmarrer lesystme, au besoin. Suivi

Conserver informationspertinentes la

reconstitution de lapreuve


27/31

23

Exemple de liste descalade

Gestion des incidents

1 - Coordonnateur (111) 123-4567 ext. 1234

(111) 987-6543 (cellulaire)

(111) 567-5543 (tlavertisseur)

(111) 432-6554 (maison)

2 Coordonnateur, supplant (111) 123-4567 ext. 1235

(111) 987-5466 (cellulaire)


(111) 321-6654 (maison)

quipements rseau

1 - Administrateur (111) 123-4567 ext. 1134

(111) 555-6543 (cellulaire)(111) 634-5543 (tlavertisseur)

(111) 333-6554 (maison)

2 Administrateur, supplant (111) 123-4567 ext. 1135

(111) 786-5466 (cellulaire)


(111) 321-7895 (maison)


28/31

24

Serveurs WEB

1 - Administrateur (111) 123-4567 ext. 1334(111) 555-5005 (cellulaire)


(111) 333-4400 (maison)

2 Administrateur, supplant (111) 123-4567 ext. 1335

(111) 786-5000 (cellulaire)


(111) 321-2000 (maison)

TCR

(111) 123-4567 ext. 1336

(111) 786-5001 (cellulaire)


(111) 321-2001 (maison)

Coordonnateur de scurit rgionale

(111) 123-4567 ext. 1337

(111) 786-5002 (cellulaire)


(111) 321-2002 (maison)

Directeur gnral de ltablissement

(111) 123-4567 ext. 1338

(111) 786-5003 (cellulaire)


(111) 321-2003 (maison)


29/31

25

Responsable du TCN

(111) 123-4567 ext. 1339(111) 786-5004 (cellulaire)


(111) 321-2004 (maison)

MSSS Directeur des ressources informationnelles

(111) 123-4567 ext. 1340

(111) 786-5005 (cellulaire)


(111) 321-2005 (maison)


30/31


31/31

RAPPORT DE DCLARATION DINCIDENT

Date : Date de lincident :

Soulign par :

Nom et prnom : Tlphone :

Description :

Consquences :

Cause :

Solution :

Responsable de la mise en uvre de la solution :

Nom et prnom : Tlphone :

chancier Date de ralisation

Signature du cadre

Suivi :

Date du suivi:

Description :

Signature du responsable de lapplication de la politique :

Doit tre remis au :

Suprieur immdiat

Responsable de lapplication de la politique

guide de gestion des incidents de sécurité

Documents