La gestion des incidents | The Centauri Step, gouvernance et Sécurité informatique
La gestion des incidents
Marion Mellor
Comment anticiper puis maîtriser la gestion des incidents ? Une des clefs d’une bonne relation avec ses fournisseurs.
À la croisée des chemins de la continuité d’activité.
Dans la grande famille « ISO 27001 », il y a la norme « ISO 27035 » qui traite de la gestion des évènements et des incidents de Sécurité. Mais la gestion des incidents tient également une bonne place dans autre norme primordiale dans la vie des entreprises : ISO 22301, sur la continuité des activités. C’est donc un sujet critique, qui touche, directement ou indirectement, un jour ou l’autre, toute personne évoluant au sein des organisations. Pour ma part, c’est précisément via la gestion d’incident et la gestion de crise que j’en suis arrivée à travailler sur des thématiques de Sécurité informatique !
Plutôt que différencier un incident informatique d’un incident de Sécurité, cet article se concentre sur la relation Fournisseurs : car c’est souvent le point d’achoppement d’un contrat.
La base !
Soyons fous : sans problèmes de Sécurité, il n’y aurait pas d’équipes de Sécurité informatique ! Donc un des éléments structurants de votre SMSI (Système de Management de la Sécurité de l’Information), c’est l’élaboration d’un système d’alerte et de traitement des évènements qui peuvent perturber vos activités.
Avant de vouloir traiter des risques d’incidents avec vos fournisseurs, mettez-vous au clair sur vos propres méthodes et votre propre dispositif : comment anticipez-vous et traitez-vous les problèmes inhérents à la vie de votre entreprise ? Cela paraît évident, mais certaines organisations sont plus exigeantes vis-à-vis de leurs fournisseurs que vis-à-vis de leurs propres collaborateurs.
NB : Évidemment, cette remarque ne s’applique pas si le contrat concerne précisément l’externalisation des services de gestion des incidents !
Que faut-il exiger ?
J’introduis ici une notion nouvelle et passionnante : l’entente du « niveau de service », communément appelée SLA (Service-level agreement). C’est le plus souvent une clause au contrat (ou un document distinct ajouté au moment du démarrage du projet) qui définit la qualité attendue de service et les mesures permettant de l’évaluer.
En d’autres termes, le SLA permet notamment d’aborder la question opérationnelle de disponibilité du service. Et c’est là où l’on peut de nouveau ouvrir la porte du sujet de la continuité des activités (ISO 22301 et le fameux Plan de Continuité : PCA pour les happy few). Bref ! Sans faire une thèse sur le SLA, disons qu’un éditeur de logiciels s’engage à ce que son produit soit disponible (par exemple 99,98 % du temps) et que cet engagement entraîne des pénalités en cas de manquement.
En cas d’incident Sécurité répété, ou au-delà d’une limite fixée conjointement avec le métier, il existe également un « SLA Sécurité » qui engage la responsabilité du fournisseur. Autre point crucial : la question du délai. Vis-à-vis des prestataires de services – et d’ailleurs de tout fournisseur –, il est indispensable de négocier un délai maximum au-delà duquel votre fournisseur doit vous prévenir en cas de faille de Sécurité.
Ma recommandation
Délai maximum = 24 heures pour notifier le client en cas de faille de Sécurité. Certains fournisseurs vont rétorquer que la directive européenne RGPD indique un maximum de 72 heures. Mais attention ! La RGPD ne s’applique qu’aux données personnelles, et non pas à l’ensemble du périmètre d’ISO 27001. Concrètement, si votre fournisseur se rend compte d’une intrusion dans ses locaux, confirmée par exemple le lundi à 8 h du matin : alors je recommande de convenir ensemble qu’il a le devoir de vous informer (et non pas de résoudre cet incident Sécurité) avant le lendemain 8 h.
C’est une question de transparence, qui permet des relations plus faciles et plus fluides entre client et fournisseur. Charge à vous, en tant que client, de vérifier que les mesures de gestion des incidents de votre fournisseur sont efficaces !
Le point positif d’avoir un seul expert qui puisse à la fois réaliser l’analyse de risques Sécurité sur le fournisseur et négocier le contrat : cela permet de croiser les informations et d’être d’autant plus pertinent.
Généralement, je recommande de suivre les directives européennes et les planchers demandés dans le cadre des Données Personnelles. Négocier cinq fois le montant annuel en jeu dans le contrat, est un bon compromis. Vous ne recevrez pas de compensation intégrale en cas d’attaque majeure (et si les responsabilités sont établies) mais vous pourrez a minima réduire les montants de perte.
Si vous voulez des exemples de clauses de responsabilité, ou discuter de la meilleure façon d’organiser la sécurité de vos contrats, écrivez-moi via le formulaire de contact !