Delinea DMI

Construire son plan de réponse aux incidents (modèle gratuit)

Vous lisez cet article car vous souhaitez mettre en place un plan de réponse aux incidents le plus tôt possible et souhaitez obtenir des conseils et outils efficaces. Nous vous donnons ici la définition ainsi que les grandes étapes de la construction d’un plan de réponse aux incidents. Vous pouvez également télécharger notre modèle, disponible gratuitement à la fin de cet article.

Définition

Un plan de réponse aux incidents est un processus de détection et de traitement des incidents de sécurité, des cyberattaques ou des fuites de données. Un plan de réponse aux incidents permet, en cas de violation de la sécurité, que le personnel et les procédures identifiés réduisent les risques et minimisent l’impact lié à l’incident.

Rappel sur les bons reflexes en cas de cyberincident

  • Désactiver les comptes administrateur de domaines existants
  • Verrouiller l’environnement du système d’exploitation et apporter des correctifs de sécurité
  • Analyser les comptes créés après la date de l’incident et obtenir un audit des activités
  • Vérifier et surveiller les comptes à privilèges, identifier les activités suspectes

Construire son plan de réponse aux incidents

Etape 1 : identifier les rôles, responsabilités et coordonnées des acteurs

Pour répondre à un cyberincident, il est important d’impliquer tous les collaborateurs de l’entreprise capables de gérer les problèmes systèmes, juridiques et de communications. Il suffit de lister les rôles requis au sein de votre organisation afin de mener une intervention complète. Cette section doit contenir les coordonnées (nom, téléphone, email) de toutes personnes citées, internes ou externes, ainsi que leur responsabilité(s).

Voici les différents pôles et fonctions (liste non exhaustive) :

  1. Informatique : Responsable de la sécurité (RSSI), Responsable de la gestion des privilèges, Responsable du Support, Responsable des partenaires techniques…
  2. Conformité : Conseiller juridique, responsable RH…
  3. Communication : Relations publiques, Webmarketing, Communication interne…

Exemple :

FonctionResponsabilitésCoordonnées
Chef de la sécurité Informatique– Responsable stratégique.
– Elabore des critères de classement des risques techniques, opérationnels et financiers utilisés pour prioriser le plan d’intervention en cas d’incident.
– Autorise quand et de quelle manière les détails de l’incident sont signalés.
– Interlocuteur principal pour l’équipe de direction et le conseil d’administration.
Nom
Email
Tel

Etape 2 : classification des menaces

Cette étape consiste à évaluer les risques d’un incident grâce à votre propre classification qui déterminera le niveau d’intervention nécessaire.

La classification d’un incident est réalisée selon 3 principes fondamentaux : la confidentialité (incidents impliquant un accès non autorisé aux systèmes, y compris la compromission des comptes à privilèges), l’intégrité (incidents impliquant un cryptolocker qui rend les données de l’entreprise inutilisables. Plus les données sont sensibles, plus l’impact est élevé) et la disponibilité (incidents qui affectent la disponibilité ou le fonctionnement des services, tel que le ransomware, y compris l’utilisation de comptes à privilèges pour effectuer des modifications non autorisées). Votre plan de réponse aux incidents doit :

  • Identifier les différents cyberincidents
  • Catégoriser (incident qui concerne la confidentialité , l’intégrité et/ou la disponibilité des données)
  • Indiquer si l’incident implique la violation d’un compte à privilèges
  • Mesurer l’impact pour l’entreprise, faible, modéré ou élevé
  • Evaluer le niveau de risque

Exemple :

Identifier l’incidentCatégoriser (CID)Compte à privilège concerné ?Impact entrepriseRisque
Un cybercriminel vole des mots de passe et accède à plusieurs bases de données et comptes COuiElevéElevé

Etape 3 : définition des actions

Cette étape consiste à mener des actions, rapides et efficaces, afin de garantir la confidentialité, l’intégrité et la disponibilité des données de votre entreprise. Ces mesures ont pour objectif de minimiser l’impact auprès des utilisateurs et d’assurer une continuité de service.

Pour compléter votre plan de réponse aux incidents, vous devez réaliser une liste de contrôles sur 5 différentes phases d’actions :

  1. Détection et analyse de l’incident
  2. Maîtrise et continuité de service
  3. Elimination de la menace
  4. Phase de récupération des données
  5. Communications et informations

Exemples :

Phase de détectionAssigné à Jour/heure de la mesure prise
Décrire comment l’équipe a été informée de l’incident (audit, alerte de sécurité, collaborateur…)Coordonnées de la personne en charge de l’action

Phase de maîtrise/continuité
Changer les mots de passe pour tous les utilisateurs, services, applications et comptes réseauCoordonnées de la personne en charge de l’action

Phase d’élimination / récupération
Appliquer les correctifs de sécuritéCoordonnées de la personne en charge de l’action

Phase d’informations / communications
Réaliser un rapport à l’équipe de directionCoordonnées de la personne en charge de l’action

Modèle gratuit de réponse aux incidents

Nous avons créé un modèle de réponse aux incidents en collaboration avec notre partenaire éditeur Thycotic. Vous pouvez télécharger gratuitement ce modèle et le personnaliser avec vos informations : cliquez ici.

N’hésitez pas à nous contacter pour obtenir des informations complémentaires et échanger avec nos experts en sécurité informatique.

Plan de réponse aux incidents

MODELE (GRATUIT)

Envoyer le modèle sur cet email pro :

J’accepte que les données ci-dessus soient transférées à nos partenaires commerciaux, qui pourront m’adresser des messages d’information ou de prospection en lien avec leurs propres produits et services, susceptibles de m’intéresser, via leur service marketing, conformément à la politique de confidentialité.

Author

Antonien SALERNO