Une chaîne d’alerte doit s’articuler de façon à ce que le traitement d'un incident de sécurité puisse être effectué efficacement et être signalé simplement et rapidement aux autorités compétentes, y compris dans son aspect de traçabilité. Pour cela, il est possible de définir un processus de gestion des incidents à partir de la norme ISO 27035 (« Information Security Incident Management »). Dans le cadre d'un processus de gestion des incidents, la remontée d’une alerte traitée doit suivre une procédure la plus claire et la plus simple possible, connue par le plus grand nombre d’acteurs en lien direct ou indirect avec l’organisation (IT, chaîne sécurité du système d'information, responsables métiers, opérateurs, partenaires, etc.).
La gestion des incidents est une nécessité forte dans un contexte de menaces régulières. Elle est reconnue et incluse dans les normes de sécurité ISO 27000 et les référentiels tels qu’ITIL et COBIT. L’Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA selon l'acronyme en anglais) précise que « La gestion des incidents est un outil important de gouvernance globale et son utilisation, sous quelque forme que ce soit, est une nécessité » [1]. Parallèlement, le contexte réglementaire européen tend à imposer aux organisations une obligation de notifications des incidents majeurs de sécurité qui les frappent (p. ex. notification CNIL en cas de violation de « données à caractère personnel ») [LIL].
Cet article détaillera les composantes clés de la gestion des incidents de sécurité.
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première