Dernière mise à jour : Juillet 2022
Vous savez maintenant ce qu'il faut faire. Vous avez mis en place les politiques et formé tous les membres de l'organisation aux meilleures pratiques. Même avec tout ce travail acharné, il est très probable que quelque chose finisse par mal tourner. Tout peut arriver. Afin de vous prémunir contre toute éventualité, il est essentiel de mettre en place un programme de réponse aux incidents. C'est un élément crucial, et souvent sous-estimé, du programme de sécurité de votre organisation, car il peut faire la différence entre une attaque qui compromet la réputation de votre organisation et une simple perturbation.
N'oubliez pas que vous ne pouvez réagir à un incident que si vous en êtes informé. Il est très important d'avoir une forte culture de la sécurité au sein de l'organisation et d'encourager le personnel à signaler les problèmes. C'est pourquoi il est préférable de récompenser les bons comportements liés à la sécurité plutôt que de punir les manquements ou les erreurs en la matière. Il est également important d'exprimer de l'empathie et de s'assurer du bien-être du personnel lorsqu'il signale un incident. Vous voulez que le personnel signale immédiatement un clic sur un lien dans un message d'hameçonnage, un téléphone volé ou un compte de réseaux sociaux piraté, et ce, sans hésiter par crainte de représailles ou d'un manque de soutien. Après tout, la réponse aux incidents, tout comme les stratégies d'atténuation mentionnées dans d'autres sections du manuel, est un effort mené à l'échelle de l'organisation.
Que devez-vous programmer ? En bref, tout ce qui a une certaine probabilité de se produire. La situation sera différente pour chaque organisation, mais les questions courantes auxquelles un programme de réponse aux incidents permettra de répondre sont les suivantes :
- Que faire si nos comptes ou nos sites web sont piratés ?
- Que faire si quelqu'un clique sur un e-mail d'hameçonnage ou si un appareil a un comportement suspect ?
- Que faire si nos e-mails ou nos documents les plus sensibles sont volés et font l'objet d'une fuite ?
- Que faire si l'un de nos employés est mis en danger physiquement ou arrêté ? Que faire s'ils sont en proie au stress et à l'anxiété à cause de ces menaces ?
- Que faire si notre bureau est endommagé par un incendie, une inondation ou une catastrophe naturelle ?
- Que faire en cas de perte ou de vol de l'ordinateur ou du téléphone d'un employé ?
Les réponses à ces questions et à d'autres varieront d'une organisation à l'autre, mais il est important d'y réfléchir ensemble et d'élaborer et de partager un programme clair afin que chacun au sein de votre organisation soit prêt à agir immédiatement afin de limiter les dégâts.
En se basant sur le guide Holistic Security de Tactical Tech, un bon point de départ pour un programme de réponse aux incidents est de définir un incident ou une urgence dans le contexte de votre organisation. Déterminez ce qu'est une « urgence » c'est-à-dire le moment à partir duquel nous devons commencer à mettre en œuvre les actions et les mesures d'urgence prévues. Si vous imaginez un scénario tel que la perte de contact avec un collègue en mission sur le terrain, combien de temps attendriez-vous avant de déclarer une urgence ? Il ne faut pas se précipiter, mais attendre trop longtemps peut, dans certaines circonstances, être désastreux.
Il est également important de réfléchir à toutes les étapes des opérations. Attribuez à chaque personne un rôle clair qu'elle connaît et qu'elle a accepté à l’avance. Cela réduira la désorganisation et la panique en cas d'incident. Dans le cas de chaque menace, réfléchissez aux différents rôles que vous pourriez avoir à assumer et aux aspects pratiques de la réponse à une urgence. L'activation d'un réseau de soutien (un vaste réseau d'alliés, qui peut inclure les amis et la famille, la communauté, les alliés locaux, les ressources gouvernementales et les alliés nationaux ou internationaux comme les ONG et les journalistes) fait partie de cette importante stratégie d'urgence. Comment vos alliés peuvent-ils vous soutenir ? Devriez-vous les contacter à l'avance afin de vérifier s'ils sont prêts à vous aider en cas d'urgence et leur faire savoir ce que vous attendez d'eux ?
Lors de la réponse à un incident, il est de plus en plus important d'avoir des communications efficaces. Déterminez le moyen le plus sûr et le plus efficace de communiquer avec chaque acteur dans différents scénarios et identifiez un moyen de secours. Sachez qu'en cas d'urgence, il peut être utile d'avoir des directives claires sur ce qu'il faut (et ce qu'il ne faut pas) communiquer, quand il faut communiquer, quels canaux utiliser pour communiquer et avec qui il faut communiquer. Tenez également compte de l'impact d'un incident sur la réputation de votre organisation et soyez prêt à réagir en conséquence. Assurez-vous que le responsable de la communication de l'organisation (dans certaines organisations, il peut s'agir simplement de la personne qui gère la page Facebook ou le compte Twitter) est au courant de l'incident et peut surveiller les réseaux sociaux ou d'autres médias pour en évaluer l'impact potentiel. Ils doivent également être prêts à répondre aux éventuelles demandes de renseignements du public ou des médias concernant un incident, le cas échéant. C'est particulièrement important afin d'anticiper toute publicité négative potentielle ou toute atteinte à la réputation. Bien que chaque incident et chaque contexte soient différents, des communications sincères et transparentes permettent souvent d'instaurer la confiance à la suite d'un incident.
Création d'un système d'alerte et de réponse rapide
Envisagez de mettre en place un système d'alerte et de réponse rapide. Un tel système peut sembler complexe, mais il s'agit essentiellement d'un document centralisé (électronique ou autre) à ouvrir en cas d'urgence. Dans ce document, vous devez consigner tous les détails concernant les indicateurs de sécurité et les incidents qui se sont produits sur une base temporelle, fournir une description claire des actions et de la séquence relatives à la réponse prévue, et indiquer ce qui doit être réalisé pour signifier que le risque a de nouveau diminué. Il doit également comprendre les mesures à prendre après un incident afin de protéger les personnes concernées contre tout nouveau préjudice et de les aider à se rétablir physiquement et émotionnellement. Un système d'alerte précoce et de réponse peut fournir une documentation utile à partager avec les forces de l'ordre (le cas échéant), une analyse ultérieure de ce qui s'est passé et des conseils sur la manière d'améliorer vos tactiques de prévention et vos réponses aux menaces à l'avenir.
En plus de ces concepts importants de réponse aux incidents, votre organisation doit également se préparer à toute réponse technique spécifique. Dans certains cas, une réponse technique peut être gérée par le personnel informatique interne ou les administrateurs de système. Par exemple, si un compte courriel semble avoir été piraté, votre administrateur de compte doit être préparé et capable de fermer ou de désactiver le compte concerné. Certains incidents techniques peuvent toutefois nécessiter une expertise dont vous ne disposez pas au sein de votre organisation. Dans de telles situations, il est important d'identifier une liste de confiance d'experts techniques externes qui peuvent vous aider à répondre aux incidents. Dans certains cas, vous pouvez négocier au préalable les conditions avec les fournisseurs de services (tels que l'hébergeur de votre site web ou un consultant informatique) afin de vous assurer qu'ils sont disponibles (et qu'ils ne factureront pas de supplément) pour une telle réponse aux incidents techniques.
Enfin, et surtout, vous devez envisager de prendre des mesures
légales. Il est important de comprendre les protections juridiques dont vous pouvez bénéficier, ainsi que les obligations ou conséquences juridiques auxquelles votre organisation pourrait être confrontée à la suite d'une violation de données ou d'un autre incident de sécurité. Une première étape peut consister à identifier un conseiller juridique de confiance qui comprend les lois et réglementations spécifiques de votre pays ou localité. Prenez le temps d'examiner les incidents possibles avec un conseiller juridique compétent, si nécessaire, et élaborez un programme afin de savoir ce que vous feriez en réponse. Il est bon de passer un accord avec ce conseiller de confiance pour qu'il vous représente et défende vos intérêts si nécessaire à la suite d'un incident. Dans le cadre de cette préparation juridique, assurez-vous que vous comprenez les obligations légales de tout vendeur ou partenaire. Sont-ils tenus de vous informer en cas de violation de leurs propres données ? Quel soutien (le cas échéant) sont-ils tenus de vous fournir en cas d'incident ? Lorsque vous élaborez des contrats et des accords avec des fournisseurs externes, gardez à l'esprit qu'une violation des données ou un autre incident pourrait survenir.
Bien qu'il n'existe pas d'approche unique pour la réponse aux incidents, il est essentiel de mettre en place des plans opérationnels, techniques, juridiques et de communication clairs. Lorsque vous élaborez votre programme de réponse aux incidents, nous vous encourageons vivement à utiliser d'excellentes ressources déjà existantes, conçues pour aider les organisations de la société civile et d'autres groupes à haut risque à s'orienter en matière de réponse aux incidents. Ces ressources comprennent le Digital First Aid Kit développé par RaReNet et CiviCERT, le manuel Online Harassment Field de PEN America, le Cybersecurity Campaign Playbook et le Cyber Incident Communications Plan Template du Belfer Center, et le Digital Security Helpline d'Access Now.
- Élaborez un programme de réponse aux incidents de l'organisation et mettez-le en pratique.
- Réfléchissez aux incidents possibles et préparez votre réponse avant qu'ils ne se produisent.
- Assurez-vous que tous les membres de l'organisation sont conscients de la manière dont vous communiquerez et des mesures techniques qui seront prises en cas d'incident.
- Prenez le temps de bien comprendre vos protections et obligations légales.
- Soyez prêt à fournir au personnel de l'organisation le soutien émotionnel et social dont il a besoin à la suite d'un incident.