Tout comme la planification de la continuité des activités, la gestion des incidents fait partie d'un effort plus large de gestion de la sécurité et des urgences qui peut aider une organisation à répondre et à se remettre des perturbations affectant ses systèmes d'information, ses missions et processus métier, son personnel, et son installation principale.

Voyons ce qu'est un plan d'intervention en cas d'incident, pourquoi il est important, et comment en créer un ci-dessous.

Qu'est-ce qu'un plan d'intervention en cas d'incident ?

Un plan d'intervention en cas d'incident (IR) est un document contenant un ensemble prédéterminé d'instructions ou de procédures pour détecter, répondre et limiter les conséquences d'un incident de sécurité. Ces instructions ou procédures devraient aider une organisation avant, pendant et après des incidents de sécurité confirmés ou suspectés.

Qu'est-ce qu'un plan d'intervention en cas d'incident cybernétique ?

Un plan d'intervention en cas d'incident cybernétique documente les instructions ou les procédures pour détecter, répondre, et limiter les conséquences des cyberattaques contre le système d'information d'une organisation.

Alors qu'un plan d'intervention en cas d'incident peut établir des procédures pour traiter tout incident de sécurité, un plan d'intervention en cas d'incident cybernétique établit des procédures pour traiter spécifiquement les incidents informatiques malveillants. Exemples d'incidents informatiques malveillants :

• Accès non autorisé à un système ou à des données
• Attaque par déni de service
• Virus, ver, cheval de Troie, ou autre type de logique malveillante qui effectue des modifications non autorisées au matériel, logiciel ou données du système

Ce plan peut être inclus en tant qu'annexe du plan de continuité des activités d'une organisation.

Dans la publication spéciale NIST 800-34, Révision 1, le plan d'intervention en cas d'incident a été remplacé par le plan d'intervention en cas d'incident cybernétique.

Pourquoi un plan d'intervention en cas d'incident est-il important ?

Un plan d'intervention en cas d'incident peut aider une organisation à détecter, répondre et se remettre d'un incident ou événement de sécurité plus rapidement et à moindre coût. Il établit clairement ce qui doit être fait pour que le personnel puisse effectuer l'intervention de manière plus efficace, efficiente et cohérente. Cela peut aider le personnel à minimiser la perte ou le vol d'informations et la perturbation des services causés par les incidents, ce qui peut entraîner des économies substantielles.

Par exemple, dans le rapport d'IBM sur le coût des violations de données en 2022, près des trois quarts des organisations ont déclaré avoir un plan de réponse aux incidents (IR), tandis que 63% de ces organisations ont déclaré tester régulièrement le plan. Les organisations disposant d'une équipe IR qui testait un plan IR ont économisé en moyenne 2,66 millions de dollars en coûts de violation par rapport à celles qui n'avaient pas d'équipe IR et de test de plan IR. Cela représente une économie de coût de 58%. 

Plan de réponse aux incidents du NIST

La publication NIST SP 800-61 — également connue sous le nom de Guide de gestion des incidents de sécurité informatique — est conçue pour aider les organisations à établir des capacités de réponse aux incidents de sécurité informatique réussies et à gérer les incidents de manière efficace et efficiente. La plupart de ses directives tournent autour de l'analyse des données liées aux incidents et de la détermination de la réponse appropriée à chaque incident.

Le NIST recommande qu'un plan de réponse aux incidents inclue les éléments suivants :

• Une déclaration de mission
• Stratégies et objectifs
• Approbation de la direction
• Une approche organisationnelle de la réponse aux incidents
• Comment l'équipe de réponse aux incidents communiquera avec le reste de l'organisation et avec d'autres organisations
• Des métriques pour mesurer la capacité de réponse aux incidents et son efficacité
• Une feuille de route pour faire mûrir la capacité de réponse aux incidents
• Comment le programme s'intègre dans l'organisation globale

Ces recommandations et d'autres directives dans le NIST 800-61 sont incorporées dans les étapes ci-dessous.

Comment créer un plan de réponse aux incidents

Rédiger et maintenir un plan de réponse aux incidents nécessite collaboration et coordination entre les principales parties prenantes de l'organisation. Ci-dessous, nous décrirons le processus étape par étape pour vous aider à démarrer.

1. Créer une politique de réponse aux incidents

Avant de commencer un plan de réponse aux incidents, vous devez établir la politique de réponse aux incidents de votre organisation. Cette politique est la base de votre programme de réponse aux incidents et doit :

• Définir quels événements sont considérés comme des incidents
• Établir la structure organisationnelle pour la réponse aux incidents
• Définir les rôles et responsabilités
• Lister les exigences pour signaler les incidents

Le plan doit ensuite fournir une feuille de route pour la mise en œuvre de votre programme de réponse aux incidents basé sur la politique.

2. Définir les objectifs à court et long terme du programme de réponse aux incidents

Le plan de réponse aux incidents doit indiquer les objectifs à court et long terme du programme. Cela vous obligera à établir des métriques pour mesurer l'efficacité du programme et ses progrès vers ces objectifs.

Exemples de métriques :

• Nombre d'incidents traités
• Montant total de main-d'œuvre consacré aux incidents
• Temps moyen que l'équipe de réponse aux incidents met pour répondre au premier rapport d'un incident

3. Identifier l'équipe de réponse aux incidents et ses responsabilités.

Vous devez avoir une équipe de réponse aux incidents désignée pour gérer les incidents de sécurité. Le plan de réponse aux incidents doit indiquer qui fait partie de l'équipe de réponse aux incidents et quels sont ses principaux objectifs et responsabilités.

4. Établir des exigences pour les gestionnaires d'incidents

Lorsqu'un incident se produit, les gestionnaires d'incidents doivent analyser les données de l'incident, déterminer l'impact de l'incident et agir en conséquence pour limiter les dégâts et rétablir les services normaux. Cela nécessite d'excellentes compétences techniques dans certains domaines, tels que l'administration système, l'administration réseau, la programmation, le support technique ou la détection d'intrusion. Selon le modèle de dotation de votre équipe de réponse aux incidents, vous pouvez avoir des membres de l'équipe spécialisés dans plusieurs domaines techniques ou au moins une personne compétente dans chaque domaine majeur.

Le plan de réponse aux incidents de votre organisation doit indiquer les exigences pour les gestionnaires d'incidents, y compris la fréquence de leurs formations.

5. Définir le processus de réponse aux incidents

Une partie essentielle de tout plan de réponse aux incidents est la façon dont il définit l'approche organisationnelle de la réponse aux incidents.

Le processus devrait inclure :

• Détection : Comment les incidents sont-ils détectés ? L'automatisation est-elle utilisée ?
• Rapport : Comment les incidents sont-ils signalés par des sources internes et externes ?
• Réponse : Quelles sont les procédures pour répondre à un incident ?
• Revue : Comment le processus de gestion des incidents est-il revu ? Des réunions sont-elles tenues après les incidents majeurs ? Des rapports de suivi sont-ils créés pour chaque incident résolu ?

Lorsque vous considérez les mesures à prendre lors d'un incident, vous devriez également réfléchir à la manière de les accomplir efficacement. Les outils de gestion des incidents peuvent accélérer et simplifier votre processus en automatisant des actions telles que les alertes, la génération de rapports de métriques, la coordination des parties prenantes, et plus encore. Certains outils comme Rootly offrent même un support et des fonctionnalités supplémentaires — comme des modèles de communications et de rétrospective, des consultations avec des experts en réponse aux incidents, et d'autres ressources pour développer les capacités de réponse aux incidents de votre organisation.

6. Définir une stratégie de communication

Un plan de réponse aux incidents devrait expliquer comment l'équipe de réponse aux incidents communiquera avec le reste de l'organisation et les parties extérieures, comme les forces de l'ordre, les médias et d'autres organisations de réponse aux incidents.

L'équipe devrait planifier et documenter plusieurs méthodes de communication dans le plan de réponse aux incidents. Des exemples pourraient inclure :

• Email
• Site web
• Appels téléphoniques
• Briefings quotidiens en personne
• Message vocal d'accueil pour le statut actuel de l'incident et les mises à jour

7. Fournir une feuille de route pour améliorer les capacités de réponse aux incidents

Votre programme de réponse aux incidents devrait évoluer pour refléter de nouvelles menaces, l'amélioration de la technologie et les leçons apprises lors des incidents majeurs. Pour s'assurer qu'il s'améliore et mûrit au fil du temps, vous devriez fournir une feuille de route dans votre plan de réponse aux incidents. Cette feuille de route peut inclure la tenue d'une réunion de

5. Réunion de leçons apprises

avec toutes les parties impliquées après un incident majeur. Cela peut être crucial pour améliorer les mesures de sécurité et le processus de gestion des incidents lui-même au fil du temps.

Modèle de plan de réponse aux incidents

Utilisez le modèle ci-dessous pour simplifier le processus de création d'un plan de réponse aux incidents pour votre organisation.