Élaborer un plan d’intervention en cas d’incident (ITSAP.40.003)

Votre plan d'intervention en cas d'incident (PICI) comprend les processus, les procédures et la documentation associés aux moyens utilisés par votre organisation pour détecter les incidents, y répondre et rétablir ses activités par la suite. Les cybermenaces, les catastrophes naturelles et les pannes non planifiées sont quelques exemples d'incident qui peut affecter votre réseau, vos systèmes et vos dispositifs. Grâce à un plan bien adapté, vous serez préparée et préparé à faire face aux incidents qui surviendront. De plus, vous pourrez atténuer les menaces et les risques associés et assurer une reprise rapide. La présente publication a été rédigée dans le contexte des cybermenaces. Il s'agit d'un guide pour aider votre organisation à mettre au point un plan d'intervention en cas d'incident, et ce, pour différents types d'incident.

Sur cette page

• Avant la création d'un plan d'intervention en cas d'incident
• Types d'incidents
• Étapes principales de votre plan d'intervention en cas d'incident
• Services locaux ou professionnels
• En savoir plus

Avant la création d'un plan d'intervention en cas d'incident

Avant la création de votre PICI, vous devez identifier les données et les systèmes qui ont de la valeur pour votre organisation. Déterminez les types d'incidents que vous pourriez rencontrer, comme les rançongiciels ou les attaques par déni de service distribué, ainsi que les interventions appropriées. Pensez aussi aux personnes les mieux qualifiées pour faire partie de votre équipe d'intervention. Vous devriez également établir comment vous communiquerez votre plan d'intervention au sein de votre organisation, ainsi que des politiques et procédures connexes.

Évaluation des menaces et des risques

Une évaluation des menaces et des risques (EMR) est un processus qui vous aide à identifier les actifs critiques et la façon dont ceux-ci peuvent être compromis. Votre EMR évaluera le niveau de risques posé par les menaces à vos actifs dans le but d'orienter vos efforts d'intervention et de leur accorder la priorité nécessaire. Dans le cadre de l'EMR, répondez aux questions suivantes :

• Quelles sont les données les plus précieuses de votre organisation?
• Quels sont les secteurs de votre organisation qui traitent des données sensibles?
• Quels sont les contrôles que vous avez en place pour le moment?
• Est-ce qu'il existe des risques d'atteinte à la vie privée pour votre organisation?

Pour de plus amples renseignements à propos de l'EMR, consultez le document Méthodologie harmonisée de l'évaluation des menaces et des risques (TRA-1).

Création de votre équipe d'intervention

Votre équipe sera chargée d'évaluer rapidement les incidents, de les documenter et d'assurer une intervention rapide. Le but étant d'assurer le rétablissement des systèmes, la récupération de l'information et la réduction des risques de nouvelle survenue de l'incident.

L'équipe doit être composée d'employées et employés de différents domaines et bénéficier d'un soutien multifonctionnel des autres secteurs d'activités.

Voici quelques suggestions pour la composition des membres de votre équipe :

• personnel critique
• praticiennes et praticiens de la sécurité
• spécialistes des TI et de la cybersécurité
• ingénieures et ingénieurs de projet pour les technologies opérationnelles (TO)
• personnel juridique
• haute direction

Typiquement, les cyberincidents sont difficiles à prévoir et exigent une intervention immédiate. Ainsi, assurez-vous que votre équipe d'intervention dispose aussi de moyens de rechange pour communiquer, comme des numéros de téléphone cellulaire ou une deuxième adresse de courriel. Chaque membre de votre équipe doit également être associé à une personne de secours en cas de non-disponibilité ou de non-réponse aux communications.

Élaboration des politiques et procédures

Vos mesures d'intervention doivent cadrer avec les politiques et les exigences de conformité de votre organisation.

Rédigez une politique sur l'intervention en cas d'incident qui établit les pouvoirs, les rôles et les responsabilités liés aux procédures et aux processus d'intervention en cas d'incident. Les politiques doivent de plus être approuvées par la haute direction de votre organisation.

Sensibilisation du personnel

Fournissez une formation aux employées et employés qui explique votre plan d'intervention en cas d'incident, vos politiques et vos procédures. Adaptez les programmes de formation aux besoins et aux exigences d'affaires de votre organisation, ainsi qu'aux rôles et responsabilités de vos employées et employés.

Informez les employés de la planification et de l'exécution des mesures d'intervention en cas d'incident. Un effectif bien formé et informé renforcera votre défense contre les incidents.

Création d'un plan de communication

Votre plan de communication doit détailler la manière et le moment des communications, ainsi que les personnes à rejoindre. Il doit inclure un point de contact central auquel les employées et employés peuvent signaler les incidents présumés ou connus.

Les procédures de notification sont essentielles au succès de l'intervention en cas d'incident. Identifiez les intervenants internes et externes clés qui devront être avisés lors d'un incident. Il se peut que vous ayez à alerter des tierces parties, comme des clientes et clients ainsi que des fournisseurs de services gérés. Selon l'incident, il se peut également que vous ayez à communiquer avec la police ou que vous deviez demander conseil à une avocate ou un avocat. De plus, votre équipe des médias devra potentiellement être au courant des faits importants.

Types d'incident

Votre organisation peut être confrontée à différents types d'incidents. En voici des exemples :

Rançongiciel

Un rançongiciel est un type de maliciel qui vous empêche d'accéder à vos données ou à vos systèmes, et ce, tant que vous n'avez pas versé une rançon à l'auteur malveillant. Toutefois, même en cas de paiement, vous ne bénéficiez d'aucune garantie que vous aurez à nouveau accès à vos données.

Vol de données

Le vol de données se produit lorsque les auteurs de menace volent de l'information stockée sur les serveurs ou les dispositifs. Bien souvent, les auteurs de menace accèdent aux données en se servant de justificatifs volés. Les menaces persistantes avancées (MPA) font référence à des auteurs de menace chevronnés dotés de moyens hautement sophistiqués. Les MPA peuvent exploiter des techniques évoluées pour mener des campagnes complexes et de longue portée pour l'atteinte de leurs fins. Les personnes à l'origine de telles menaces correspondent souvent à des États-nations ou à des groupes criminels organisés hautement compétents.

Exploitation active

Une exploitation active tire avantage des logiciels et du matériel non corrigés, ou d'autres vulnérabilités connexes, afin de prendre le contrôle de vos systèmes, de vos réseaux ou de vos appareils. Ces attaques peuvent passer inaperçues avant que vous ayez eu l'occasion d'appliquer le correctif ou la mise à jour. Votre plan devrait comprendre des mesures d'atténuation d'une telle exploitation active, comme la suspension temporaire de l'accès Internet ou des activités en ligne.

Étapes principales de votre plan d'intervention en cas d'incident

Votre PICI devrait présenter les objectifs, les intervenants, les responsabilités, les méthodes de communication ainsi que les procédures de recours au niveau supérieur qui seront utilisés tout au long du cycle de vie d'intervention face à l'incident. Il doit être simple et adaptable. Testez, revisitez et révisez chaque année votre plan d'intervention en cas d'incident afin d'en assurer l'efficacité.

Suivez les étapes du cycle de vie d'une intervention en cas d'incident ci-dessous pour structurer votre PICI.

Préparation

1. Commencez avec un énoncé d'engagement de la haute direction envers votre projet. Réalisez une évaluation des risques dans le but d'identifier les actifs les plus importants de votre organisation et qui sont essentiels aux activités opérationnelles.
2. Définissez les incidents de sécurité probables de votre organisation et établissez les étapes détaillées de votre intervention.
3. Précisez les objectifs de votre stratégie d'intervention en cas d'incident ainsi que les politiques, les normes et les procédures connexes. Votre politique devrait inclure les mesures de performance et les données d'incident qui seront collectées au fil du temps (par exemple, le nombre d'incidents et le temps passé pour traiter chaque incident).
4. Définissez les objectifs pour l'amélioration de la sécurité, de la visibilité et de la reprise.
5. Développez et mettez en œuvre un processus de sauvegarde fiable pour la création de copie de vos données ainsi que des systèmes qui vous aideront à les rétablir en cas de panne.
6. Établissez une stratégie détaillée pour appliquer les mises à jour et les correctifs aux logiciels et au matériel. Appliquez cette stratégie pour trouver et corriger les vulnérabilités et atténuer l'occurrence et la gravité des incidents.
7. Formez une équipe d'intervention et affectez des rôles et des responsabilités à chaque membre.
8. Rédigez votre plan de communication et déterminez comment vous comptez informer les principales parties prenantes et la haute direction tout au long de l'incident. Vous devriez avoir plusieurs mécanismes de communication en place, qui pourront s'avérer précieux durant un incident.
9. Concevez des exercices pour mettre à l'essai votre plan et votre intervention. Vous pouvez ensuite réviser et améliorer votre plan en vous fondant sur les résultats des essais.

Détection et analyse

Surveillez les réseaux, les systèmes et les dispositifs connectés pour repérer les menaces potentielles. Produisez régulièrement des rapports et consignez les événements et les incidents potentiels. Analysez les événements et déterminez si vous devez activer le plan d'intervention en cas d'incident. Ajustez la fréquence et l'intensité de la surveillance.

Bien qu'il soit impossible de disposer d'un guide détaillé pour chaque incident, vous devriez tout de même être préparé pour traiter les incidents des vecteurs d'attaque courants.

Dans l'éventualité d'une violation ou d'une compromission, analysez l'incident, y compris son type, son origine et l'étendue des dommages causés. Tous les faits à propos de l'incident doivent être documentés. Lors des activités de détection, d'analyse et d'évaluation des priorités d'un incident, votre équipe d'intervention en cas d'incident devrait aviser les parties prenantes concernées. Cela permettra de la sorte d'informer toutes les personnes devant en savoir plus.

Endiguement

L'endiguement est crucial pour la reprise des activités de votre organisation. L'objectif principal étant de réduire au minimum les répercussions d'une attaque pour votre organisation.

Familiarisez-vous avec l'enjeu de sorte à pouvoir contenir la menace et appliquer les mesures d'atténuation adéquates.

Une mesure efficace pour un environnement informatique peut consister à déconnecter les systèmes et les dispositifs pour empêcher l'auteur de menace de causer d'autres dommages. Il peut être nécessaire d'isoler tous les systèmes et de suspendre temporairement l'accès des employées et employés afin de détecter et de stopper les intrusions.

Les stratégies et les procédures de confinement varieront selon le type d'incident, la gravité des dommages potentiels de l'incident ainsi que vos exigences opérationnelles. Consultez les stratégies de confinement en cas d'incident de votre organisation, qui auront été établies à l'étape de la préparation.

Pendant un incident, l'évaluation des risques réalisée lors de la phase de préparation pourra vous aider à définir les risques acceptables de votre organisation. De la sorte, vous pourrez mettre au point des stratégies de confinement correspondantes.

Éradication

Menez une analyse de la cause profonde du problème afin d'identifier et d'enrayer toutes les traces de l'incident des systèmes affectés. Pour ce faire, réalisez ce qui suit :

• Identifiez les systèmes, les hôtes et les services touchés.
• Supprimez tout contenu malveillant des systèmes affectés.
• Balayez et effacez les systèmes et les dispositifs.
• Identifiez et traitez les vecteurs d'attaque résiduels.
• Communiquez avec les parties prenantes afin d'assurer d'une gestion adéquate de l'incident.
• Renforcez, corrigez et mettez à niveau les systèmes concernés.
• Mettez à niveau ou remplacez les systèmes patrimoniaux.

Reprise

Restaurez et réintégrez les systèmes affectés dans votre environnement d'exploitation.

• Assurez-vous que tous les maliciels ont été supprimés avant la restauration des sauvegardes.
• Testez, vérifiez, surveillez et validez les systèmes affectés pour vous assurer qu'ils fonctionnent adéquatement.
• Révisez et mettez à jour vos politiques, vos procédures et vos initiatives de formation.

Activités après incident et leçons apprises

Analysez la cause fondamentale de l'incident et collaborez avec l'équipe d'intervention pour signaler les améliorations possibles. Évaluez le processus d'intervention et faites ressortir les éléments positifs et ceux qui doivent être améliorés. Rédigez un document sur les leçons apprises qui décrit en détail les ajustements et les améliorations qui seront apportées au plan. Les résultats des leçons apprises doivent servir à améliorer les méthodes de détection et à prévenir les incidents répétés.

Services locaux ou professionnels

Lorsque vous établissez votre plan d'intervention, déterminez pour chaque action et service si vous pouvez vous en acquitter à l'interne ou si vous devez faire appel à des professionnels. Vous pouvez recourir à des services professionnels pour vous aider avec certains éléments d'une intervention, comme établir le plan, fixer les processus de sauvegarde d'urgence, surveiller les systèmes et appliquer les correctifs. L'externalisation des interventions en cas d'incident pour les TO ou d'autres environnements spécialisés peut être coûteuse, et il est important de bien planifier ce type de scénario.

En savoir plus

• Rançongiciels : comment les prévenir et s'en remettre (ITSAP.00.099)
• Élaboration d'un plan de reprise informatique personnalisé (ITSAP.40.004)
• Êtes-vous victime de piratage? (ITSAP.00.015)
• Les outils de sécurité préventive (ITSAP.00.058)
• Sauvegarder et récupérer vos données (ITSAP.40.002)
• Offrir aux employés une formation sur mesure en cybersécurité (ITSAP.10.093)
• Facteurs à considérer par les clients de services gérés en matière de cybersécurité (ITSM.50.030)
• Renforcement de la cyberrésilience grâce à une préparation en cas d'urgence (ITSM.10.014)