La réaction aux incidents et le plan de reprise des opérations

Un programme de sécurité, même s’il est bien mis en place, ne protégera pas l’entreprise contre la totalité des incidents de sécurité. Ainsi, lorsque survient un incident, la réaction des responsables de l’entreprise est déterminée par un ensemble de règles dans lesquelles interviennent de façon prioritaire les pratiques et les objectifs définis dans la politique de sécurité. Un plan de reprise des opérations est l’ensemble des mesures prises au niveau du matériel, du logiciel, des données en général et du personnel pour permettre à l’entreprise, après un incident, de reprendre le plus rapidement possible un maximum d’activités. L’objectif est donc de dominer et de réparer le dommage causé par un incident et prévenir le dommage ultérieur.

Dans le cas de la protection des données confidentielles et personnelles, l’objectif déterminant sera alors d’assurer la disponibilité et l’intégrité des informations et leur protection en ce qui concerne leur existence et leur confidentialité. Un bon plan doit envisager un maximum de problèmes et apporter des solutions physiques, logiques et humaines et prévoir les réactions de chacun au cours de toutes les étapes de recouvrement. Sur ce point,

« un plan de reprise après sinistre (en cas de sinistre, de panne, d’intrusion, etc.) des systèmes en activité doit être mis par écrit et éprouvé régulièrement au moyen d’exercices de récupération des informations. Ce plan doit préciser, entre autres, le seuil de tolérance à l’interruption de chaque actif ainsi que les processus de relocalisation et les façons de revenir à la normale ; il doit également consigner l’historique des événements. »145

Naturellement, le temps de réaction et le niveau de préparation de l’entreprise face aux incidents a un impact important quant à leurs conséquences. Et pour que la réponse soit efficace, il est vital que le plan ait été soigneusement préparé et testé : un plan non testé n’est que légèrement meilleur que pas de plan de tout. Théoriquement, le plan de réponse devrait être la procédure de sécurité la mieux définie et la plus complète possible, mais c’est rarement le cas. Pour chaque incident, l’entreprise doit parcourir les étapes de base suivantes146 : sa documentation, sa détermination, sa notification, la limitation des dégâts, la suppression et la remise en état. Analysons brièvement chacune d’entre elles.

Il est plus difficile que l’on peut croire de savoir si l’on est en présence d’un incident de sécurité, d’où l’importance d’avoir un système de détection fonctionnant en permanence. En effet, seulement 40% des organisations se disent confiantes dans leur capacité de détecter une attaque147_{. Mais le plus important est sans doute savoir à qui un incident doit être notifié}

(direction, département juridique, police,…) et surtout à quel moment. Tous ces thèmes auront dû être planifiés et étudiés préalablement dans le programme de formation et de sensibilisation du personnel.

145 _{GOUVERNEMENT DU QUÉBEC, Cadre global de gestion des actifs informationnels appartenant aux}

services du réseau de la santé et des services sociaux – volet sur la sécurité, Québec, septembre 2002, p. 26.

146 _{D. PIPKIN, précitée, note 124, p. 262.}

147 _{ERNEST & YOUNG, «Global Information Security Survey 2002», Ernest & Young LLP, mars 2002, en}

Pour que l’entreprise puisse analyser et étudier les mécanismes d’un incident, ce dernier doit être le plus documenté possible. Cette documentation de référence doit contenir les informations spécifiques pour un type d’incident afin de le rendre compréhensible pour ceux qui doivent être informés et qui auront en charge de tenter de réparer les dommages. Ce résumé technique de l’incident doit donner une description de la cause de l'épisode (qui, quoi, comment, quand et où?). Il doit aussi exposer son impact tant sur le matériel comme sur le logiciel et surtout les données qui ont été compromises. Cette documentation servira lors des futures séances de formation. D’ailleurs, selon le principe de réaction décrit dans les Lignes directrices

sur la sécurité148_{, les entreprises doivent agir avec promptitude et dans un esprit de coopération}

pour prévenir, détecter et répondre aux incidents de sécurité. Ceci implique la conservation des traces écrites et enregistrées de manière détaillée après que l’incident ait été observé, et ce, tant pour des fins de poursuites judiciaires ou d’évaluation de la sécurité de l’entreprise.

L’entreprise doit avoir rédigé des procédures visant la diminution des dégâts et sa mise en œuvre doit être le plus rapide possible. Elle doit définir par écrit les niveaux de services essentiels et le temps d’arrêt maximal, classer les systèmes par ordre de priorité de rétablissement selon les besoins de continuité et de sauvegarde, tenir à jour des plans permettant la continuité et surtout, voir à ce que les plans de rétablissement ne compromettent pas la confidentialité ou l’intégrité des données. Il est conseillé de conserver des copies actualisées des plans d’urgence, procédures et des sauvegardes en 2 endroits différents.

Lorsqu’un incident survient, apparaît aussi l’occasion d’apporter les changements nécessaires aux mesures de sécurité en place dans le cas où celles-ci présenteraient des faiblesses, ainsi que réévaluer les objectifs initiaux de l’entreprise. Plus vite se fera cette remise en état, plus vite reprendrons les activités de l’entreprise. Cette réévaluation est l’un des principes déjà étudiés des nouvelles lignes directrices de l’O.C.D.E.149 _{Elle permet à l’entreprise}

de tester et d’apprécier les objectifs, la stratégie et l’organisation de la sécurité au regard des objectifs énoncés dans la politique de sécurité. La réévaluation doit porter au moins sur les points suivants : les résultats des audits internes et les contrôles effectués par une autorité publique (ex. la C.A.I. au Québec); résultats des analyses de risques, rapports sur les changements affectant les obligations de sécurité de l’entreprise; rapports sur les besoins de changements dans l’organisation des systèmes de l’information.

Même sans la survenance d’un incident, les mesures de sécurité organisationnelles doivent être examinées de façon périodique. Une fois encore, suite à cette revue l’entreprise devra pondérer la nécessité d’ajuster les mesures existantes, et adopter des nouvelles mesures ou, de façon plus drastique, changer la stratégie de sécurité. Ainsi, l’entreprise devra effectuer

« des vérifications et des audits, de façon périodique et au besoin, pour s’assurer du respect des mesures, des pratiques et des procédures relatives à la sécurité des actifs informationnels. [Elles] produiront des bilans périodiques portant sur les menaces ainsi que sur les mesures en place et celles qui sont prévues. Les menaces non contrées doivent être identifiées et la mise en place de nouvelles mesures de sécurité sera ensuite planifiée. »150

La structure du plan de réponse dépend des intentions de l’entreprise. Certaines préfèrent régler le problème et revenir rapidement aux conditions normales, d’autres voudront

148 _{Nouvelles lignes sur la sécurité de l’O.C.D.E., précitée, note 46.} 149 _{Nouvelles lignes sur la sécurité de l’O.C.D.E., précitée, note 46.} 150 _{GOUVERNEMENT DU QUÉBEC, précitée, note 145, p. 29.}

traîner les coupables en justice. Mais indépendamment de l’approche retenue, le plan de réponse doit toujours exister définissant les procédures à suivre et les responsables qui doivent prendre la situation en main. Ce traitement est nécessaire si l’on veut que la réponse soit rapide, méthodique et efficace.

Chapitre 2. Les mesures de sécurité physique concernant le matériel informatique et de milieu

La sécurité physique est un aspect fondamental de tout type de sécurité. Si quelqu’un réussit à accéder au système informatique de l’entreprise, il peut l’endommager ou même le détruire. Le terme sécurité physique du matériel et du milieu pour garantir l’intégrité, la confidentialité et la disponibilité des informations, réfère aux mesures prises pour assurer la protection des systèmes informatiques, des bâtiments et de l’infrastructure de support contre les menaces liées à leur environnement physique. La sécurité physique consiste aussi en l’usage de barrières, alarmes, serrures et autres contrôles physiques permettant de conditionner l’accès physique aux locaux, aux ordinateurs et aux équipements. Ces mesures sont nécessaires pour protéger les ordinateurs, leur contenu et les autres ressources matérielles contre l’espionnage, le vol et la destruction accidentelle ou intentionnelle.

Il existe beaucoup de menaces physiques pouvant porter atteinte à l’intégrité, la disponibilité et la confidentialité des ressources d’une entreprise. La sécurité physique étant un domaine complexe traité dans une panoplie d’ouvrages spécialisés151, il nous sera impossible d’aborder tous les thèmes dans ce mémoire. Concentrons-nous alors sur l’essentiel, soit l’identification des menaces, le contrôle du matériel informatique et le contrôle de l’accès physique aux locaux et aux équipements.