accueilSécuritéIncidents de sécurité
 

Signalement des incidents


Qu’est-ce qu’un incident de sécurité ?

La norme définit ce qu’est un événement [1] ou un incident [2] lié à la sécurité de l’information.

Concrètement tout comportement anormal d’un équipement, d’une application ou d’une personne qui laisse soupçonner un problème de sécurité.

Un vol ou une perte doit être considéré comme un incident de sécurité. Les menaces ou mise en cause par voie informatique doivent être considérées aussi comme relevant d’un incident SSI.

Il n’est pas toujours facile de distinguer ce qui est un vrai incident de sécurité (un virus par exemple) d’un simple dysfonctionnement dans une application (bogue). Cependant les enjeux sont tels qu’il vaut mieux signaler une anomalie qui s’avérera ne pas relever d’un problème de sécurité que de laisser dans l’ombre ce qui pourrait être la manifestation d’une attaque.

Pourquoi faut-il signaler les incidents de sécurité ?

  • C’est une obligation prescrite par la charte du CNRS [3].
  • Cela fait partie des bonnes pratiques et des exigences normatives [4] [5]
  • Cela peut être une obligation légale [6]
  • Cela permet d’améliorer la sécurité. Le pire n’est pas d’avoir des informations qui ont été compromises c’est de l’ignorer.

A qui faut-il signaler l’incident de sécurité ?

Lorsqu’il existe dans l’unité une structure qui s’occupe de l’assistance aux utilisateurs (help desk,hot line, assistance technique, etc.), c’est vers elle que doivent être logiquement signalés les incidents de sécurité. Sinon c’est l’administrateur système et réseau ou le CSSI (chargé de sécurité des systèmes d’information) qui sera le destinataire du signalement.

Cependant il doit être possible, si la situation l’exige [7] de contacter directement et en toute discrétion un responsable de la sécurité.

Par ailleurs si l’incident a été détecté par un membre de l’équipe chargée de la SSI, il n’est pas nécessaire de signaler au help desk avant de le prendre en charge [8].

Un incident qui aura été classifié comme tel par le CSSI et non un simple événement sera reporté par le CSSI à la chaine fonctionnelle SSI du CNRS (RSSI régional ou d’institut).

Comment signaler l’incident de sécurité ?

Il convient que dans chaque unité soit définie et bien connue de tous la procédure donnant la marche à suivre pour contacter le responsable et lui fournir les informations.

Comment sera traité l’incident signalé ?

Les personnes en charge de l’incident accuseront réponse de votre signalement, généralement vous contacteront pour vous demander des informations supplémentaires.

Il est possible qu’après analyse, il s’avère que l’incident ne relève pas d’un problème de sécurité auquel cas il sera requalifié en incident ordinaire et traité comme tel.

Pour plus d’informations sur la façon dont se déroule les choses voir le processus de gestion des incidents.


[1] Occurrence identifiée de l’état d’un système, d’un service ou d’un réseau indiquant une faille possible dans la politique (2.28) de sécurité de l’information (2.19) ou un échec des mesures de sécurité (2.10) ou encore une situation inconnue jusqu’alors et pouvant relever de la sécurité (ISO/CEI 27000:2009(F) 2.20)

[2] Un ou plusieurs événements liés à la sécurité de l’information (2.20) indésirables ou inattendus présentant une probabilité forte de compromettre les opérations liées à l’activité de l’organisation et de menacer la sécurité de l’information (2.19) (ISO/CEI 27000:2009(F) 2.21)

[3] L’utilisateur doit signaler toute tentative de violation de son compte et, de façon générale, toute anomalie qu’il peut constater (3.2 Règles d’utilisation)

[4] Les événements liés à la sécurité de l’information doivent être signalés, dans les meilleurs délais, par les voies hiérarchiques appropriées

[5] Il doit être demandé à tous les salariés, contractants et utilisateurs tiers des systèmes et services d’information de noter et de signaler toute faille de sécurité observée ou soupçonnée dans les systèmes ou services. (ISO 27002 13.1.2)

[6] Comme la notification des violations de données à caractère personnel.

[7] Il faut faire confiance à l’intelligence et au sens des responsabilités de l’individu pour déterminer de telles situations.

[8] Ce qui n’exclut pas son enregistrement dans l’outil de gestion des incidents du help desk.


ARESU
Direction des Systèmes d'Information du CNRS

358 rue P.-G. de Gennes
31676 LABEGE Cedex

Bâtiment 1,
1 Place Aristide Briand
92195 MEUDON Cedex



 

 

Direction des Systèmes d'Information

Pôle ARESU

Accueil Imprimer Plan du site Credits