ISO 27035, page 7, paragraphes 4 et 5. Merci, bonne journée. Qu'il serait pratique de pouvoir s'arrêter à la définition de l'ISO de « l'incident de sécurité ». L'auteur n'aurait pas à se fatiguer davantage à écrire et, cher (chère) lecteur (trice), avec les idées enfin claires, nous pourrions passer à ce pour quoi nous tenons réellement ce recueil entre nos mains : les articles techniques. Pourtant, la question mérite sans doute d'être posée, car le gestionnaire de la sécurité vit dans la peur de cet incident de sécurité et ce même incident est ce qui justifie l'existence d'investigateurs, d'équipes de CERT, CSIRT et autres « analystes forensic ». C'est, pour utiliser les termes à la mode, l'élément précurseur de tout APT qui se respecte et définir convenablement un incident de sécurité est ce qui permet de lancer proprement la démarche de réponse sur incident.
Mais comment définit-on ce qu'est un incident ? En fonction de ce qu'est un événement ? En fonction de ses effets sur un SI ? Une définition immuable dans le temps et dans l'espace est-elle envisageable ?
Poser le problème permet d'entrevoir des pistes de réflexion face à une question moins simple qu'il n'y paraît. On s'efforcera de répondre en trois parties :
- Pourquoi une approche figée de la définition de l'incident de sécurité atteint-elle ses limites dans l'état actuel de la sécurité ?
- Quel type de démarche permet une approche flexible, plus à même de fournir des éléments « exploitables » pour ceux en charge de l'investigation ?
- En quoi une définition flexible de l'incident de sécurité nous donne des pistes pour améliorer globalement la sécurité des organisations ?
1. Une approche « sortie des livres » finit aujourd'hui par atteindre ses limites
Commençons par poser quelques questions, comme ça, juste pour...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première
