Il est important qu'un plan de réponse aux incidents soit formulé, supporté dans toute la société et testé régulièrement. Un bon plan de réponse aux incidents peut non seulement réduire les effets d'une brèche, mais également réduire la publicité négative.
Pour une équipe de sécurité, le fait qu'une brèche se produise est peu important (vu que de telles occurrences font partie de leurs activités utilisant un réseau porteur sans confiance comme l'internet), mais il est bien plus important de savoir quand une brèche se produira. Ne pensez pas qu'un système soit faible et vulnérable ; il est important de se rendre compte que avec assez de temps et de ressources, quelqu'un arrivera à briser les protections du système ou réseau le plus sécurisé. N'allez pas plus loin que le site Web Security Focus qui se trouve à l'adresse http://www.securityfocus.com pour trouver des informations mises à jour et détaillées sur les brèches et les vulnérabilités de sécurité récentes, de la mutilation fréquente de pages Web d'entreprise aux attaques sur les serveurs root DNS en 2002[1].
Le côté positif lié à la réalisation qu'une brèche de système soit inévitable est le fait qu'il permette à l'équipe de sécurité de développer un champ d'actions qui réduise tout dégât possible. En combinant un champ d'actions avec l'expertise, l'équipe peut alors répondre aux conditions difficiles d'une manière dynamique et professionnelle.
Le plan de réponse aux incidents peut être séparé en quatre sections :
Action immédiate pour arrêter ou réduire l'incident
Recherche sur l'incident
Restauration de ressources affectées
Indication de l'incident sur les canaux corrects
Une réponse aux incidents doit être décisive et rapidement exécutée. Vu qu'il y pas peu de place pour les erreurs, il devient critique de prévoir des exercices d'urgences et de mesurer les temps de réponses. De cette manière, il est possible de développer une méthodologie qui adopte vitesse et précision. Réagir rapidement peut réduire l'impact de l'indisponibilité de ressources et le dommage potentiel causé par le compromis de systèmes.
Un plan de réponse aux incidents possède un certain nombre de spécifications, parmi lesquelles figurent :
Une équipe d'experts internes (une équipe de réponse aux urgences informatiques)
Une stratégie revue et approuvée légalement
Un support financier de la société
Un support exécutif de la direction supérieure
Un plan d'action faisable et testé
Des ressources physiques comme le stockage redondant, les systèmes en veille et les services de sauvegarde
L'équipe de réponse aux urgences informatiques (CERT, de l'anglais Computer Emergency Response Team) est un groupe d'experts internes prêts à agir rapidement dans le cas d'une catastrophe informatique. Trouver les compétences essentielles à une CERT peut être un défi. Le concept de personnel approprié s'étend au-delà de l'expertise technique et inclut des logistiques comme l'emplacement, la disponibilité et le désir de placer la société au devant de sa vie personnelle lorsqu'une urgence se produit. Une urgence n'est jamais un événement prévu ; elle peut arriver à tout moment et tous les membres de la CERT doivent être prêts à accepter la responsabilité requise de répondre à une urgence à toute heure.
Les membres typiques d'une CERT incluent des administrateurs système et réseau ainsi que des experts en sécurité de l'information. Les administrateurs système offriront la connaissance et l'expertise des ressources système, y compris des sauvegardes de données, du matériel de sauvegarde disponible à utiliser et autres. Les administrateurs réseau offrent leurs connaissances des protocoles réseau et leur capacité de router de nouveau le trafic réseau de façon dynamique. Le personnel de sécurité de l'information est utile pour localiser et suivre minutieusement les questions de sécurité ainsi qu'effectuer une analyse rétrospective (après l'attaque) de systèmes compromis.
Bien que cela ne soit pas toujours faisable, il devrait toujours exister une redondance de personnel à l'intérieur d'une CERT. Si il n'est pas possible pour une société d'approfondir certains secteurs essentiels, alors des formations pluridisciplinaires devraient être implémentées. Remarquez que si une seule personne possède la clé de la sécurité et l'intégrité des données, alors la société entière devient impuissante en l'absence de cette personne.
Certains aspects importants des réponses aux incidents à considérer concernent les questions juridiques. Les plans de sécurité devraient être développés avec les membres du personnel juridique ou une forme de conseil général. De la même manière que toute société devrait avoir sa propre politique de sécurité d'entreprise, toute société a sa propre façon de répondre aux incidents au niveau juridique. Les questions de régulation fédérale, d'état et locale s'étendent au-delà de ce document, mais sont mentionnées vu que la méthodologie pour effectuer une analyse rétrospective, du moins en partie, sera déterminée par (ou en conjonction avec) le conseil juridique. Le conseil général peut attirer l'attention du personnel technique sur les ramifications légales des brèches de sécurité ; les dangers liés à la perte d'enregistrements personnels, médicaux ou financiers d'un client ; et l'importance de restaurer le service dans des environnements à mission critique comme les hôpitaux et les banques.
| [1] |
| Précédent | Sommaire | Suivant |
| Réponse aux incidents | Niveau supérieur | Implémentation du plan de réponse aux incidents |