« Il faut établir les responsabilités et les procédures de la gestion des incidents pour veiller à intervenir rapidement, efficacement et harmonieusement dans les incidents de sécurité et pour pouvoir effectuer une analyse post-incident. »
NTI-GO 25.0 Exigences générales en matière de sécurité
La planification de la gestion des incidents
La gestion des incidents dans le secteur public
Les incidents de cybersécurité peuvent être catastrophiques — pour votre organisme comme pour les citoyens qui s’en remettent à vos services. C’est aussi une réalité des opérations modernes de la fonction publique. Être prêt et en mesure d’intervenir rapidement et efficacement permet effectivement de réduire les risques organisationnels et de maîtriser les dommages. L’efficacité de la planification dans la gestion des incidences vous permet aussi de vous remettre de ces incidents et de reprendre le plus tôt possible les opérations normales en toute sécurité.
En tant que dirigeant des TI dans un organisme du secteur public, vous avez un rôle direct à jouer dans la préparation et la prévention des incidents de cybersécurité. Il est aussi très probable que vous ayez un rôle à jouer dans la planification de la gestion des incidents. Cette synthèse de l’apprentissage est le complément du module de l’Apprentissage électronique de la planification de la gestion des incidents et vous offre des précisions et des ressources supplémentaires qui vous permettront de mieux vous préparer à participer à la planification de la gestion des incidents et à produire les résultats voulus pour la cybersécurité
organisationnelle.
Cette synthèse de l’apprentissage porte expressément sur la planification de la gestion des incidents; pour prendre connaissance des interventions précises et des mesures à adopter pour reprendre les activités, nous vous invitons à consulter la Synthèse de l’apprentissage sur la procédure d’intervention en cas de brèche.
Table des matières
1. Aperçu du cycle de la durée utile de l’intervention en cas d’incident 2. Préparation des interventions en cas d’incident
3. Planification dans l’ensemble du cycle de la durée utile de l’intervention en cas d’incident 4. Qu’y a-t-il dans votre boîte à outils?
Activités et ressources suggérées
Le cycle de la durée utile de l’intervention en cas d’incident :
Différentes structures-cadres étayent l’efficacité de la planification de la gestion des incidents. Le National Institute for Standards and Technology (NIST) des États-Unis propose, dans sa publication spéciale 800-61 (révision 2), une structure-cadre simple (figure 1) qui définit les phases courantes de l’intervention en cas d’incident et qui permet à l’organisme de planifier ses activités dans tout le cycle de la durée utile de l’intervention en cas d’incident.
Préparation
Marche à suivre pour vous assurer que vous êtes prêt(e) en cas d’incident et que vous avez mis en place les mesures préventives voulues
Détection et analyse
Marche à suivre pour vous assurer que vous êtes prêt(e) en cas d’incident et que vous avez mis en place les mesures préventives voulues. [Pour connaître les activités détaillées d’intervention en cas de brèche et pour consulter le plan d’action dans les interventions, nous vous invitons à prendre connaissance de la Synthèse d’apprentissage de l’intervention en cas de brèche.]
Encadrement, éradication et reprise des activités
Activités exercées pour maîtriser les effets de l’incident, pour réunir la preuve nécessaire et pour reprendre les opérations normales de votre organisme
Activité post-incident
Activités menées pour capter les leçons apprises et les améliorations organisationnelles
Puisque dans l’ensemble de la fonction publique, les organismes ont une mission, une envergure et une infrastructure différentes, les activités menées dans toutes ces phases sont elles aussi différentes. Toujours est-il que tous les organismes de la fonction publique doivent se doter d’un plan de gestion des incidents et adopter les procédures correspondantes pour être en mesure de gérer efficacement les incidents de cybersécurité et d’en maîtriser les effets.
Préparation Détection
et analyse Encadrement , éradication et reprise
Activité post- incident
Figure 1 : Le cycle de la durée utile de l’intervention en cas d’incident du NIST
La préparation de l’intervention en cas d’incident
Voici les étapes préparatoires courantes à franchir pour votre organisme.
Élaborer et mettre en œuvre les politiques, les normes et les procédures opérationnelles
Assurez-vous que les rôles et les responsabilités organisationnels ainsi que les activités essentielles d’après les scénarios sont définis et communiqués clairement dans tout l’organisme. Voici en quoi consistent les principaux éléments des politiques, des normes et des procédures :
• responsabilités de l’équipe de la gestion des incidents;
• responsabilités des autres représentants organisationnels;
• processus et pouvoirs dans la communication interne et externe;
• les rapports internes et externes à déposer;
• les exigences de la formation et de la sensibilisation;
• les exigences des sondages, de l’examen et de la révision;
• les coordonnées de tous les principaux responsables et intervenants.
Planifier les opérations et affecter les ressources
Il faut au moins attribuer les rôles suivants au sein de l’organisme et définir clairement les responsabilités correspondantes :
• cadres supérieurs et principaux dirigeants de la gestion des incidents;
• chef de l’information ou son homologue;
• chef de la sécurité ou son homologue;
• coordonnateur ou coordonnatrice de la gestion des incidents;
• intervenants en cas d’incident;
• équipe d’intervention en cas de cyberincident (EICI), interne ou externe;
• autres représentants organisationnels affectés aux travaux (membres du personnel de la communication, de la formation ou des TI);
• tiers fournisseurs.
[REMARQUE : Assurez-vous que les procédures d’intervention en cas d’incident sont clairement définies dans les accords de service avec les tiers.]
Élaborer et sonder le plan de gestion des incidents de l’organisme à intervalles réguliers, au moins une fois par an
Assurez-vous que tous les principaux intervenants participent au plan de votre organisme; puis, sondez ce plan pour vous assurer que tous les membres du personnel de l’organisme, y compris la haute direction, connaissent leur rôle et peuvent le jouer avec assurance. Aussi, sondez les circuits de communication internes et externes, ainsi que les moyens de communication en cas d’imprévu : n’oubliez pas qu’il se peut que le courriel ou les téléphones cellulaires ne fonctionnent pas!
Quand vous créez et sondez le plan, tenez compte des scénarios suivants :
• les pannes des systèmes d’information ou les erreurs critiques;
• le refus du service et les autres cas dans lesquels les systèmes sont indisponibles
• brèches de données personnelles ou fuites de renseignements confidentiels;
• rançongiciel ou perte d’accès aux données ou à l’information opérationnelles critiques;
• utilisation, accès, modification sans autorisation ou autre perte d’intégrité en raison de menaces externes ou internes.
Formation et sensibilisation
En plus de sonder le plan, tous les membres du personnel qui ont un rôle à jouer dans la gestion des incidents doivent justifier du niveau de formation voulu pour s’assurer de pouvoir accomplir leurs tâches.
Même ceux qui n’ont pas de rôle précis doivent connaître le contexte de la cybersécurité et leurs responsabilités dans la prévention, la détection et le compte rendu des incidents de cybersécurité.
Exigences de l’équipe locale
Dans votre propre équipe, assurez-vous que vous avez défini les responsabilités dans la gestion des incidents, que vous avez les outils nécessaires (trousse de secourisme, image OS et rangement sécurisé) pour permettre de mener à bien les activités d’intervention en cas d’incidents et que vous avez donné au personnel la formation nécessaire.
L’un de vos administrateurs de votre système constate qu’il y a, dans votre système, un maliciel qui pointe continuellement vers un autre système de votre réseau. Il isole le système infecté et le pointage cesse. Le maliciel crypte aussitôt tous les fichiers et toutes les données archivés sur le lecteur de ce système et verrouille tous les droits d’accès au système.
Si l’opérateur avait été au courant de la signature du maliciel ou qu’il avait consulté la liste récente des indicateurs de fragilisation, il aurait su qu’il s’agissait d’un modèle d’attentat courant de ce matériel et aurait pu adopter une autre approche.
La planification dans son ensemble
Le cycle de la durée utile de l’intervention en cas d’incident
La
détection
peut se dérouler par l’entremise des utilisateurs, des administrateurs, des opérateurs ou opératrices de la sécurité ou des systèmes de sécurité. La détection rapide est essentielle pour permettre de réduire le plus possible les dommages potentiels d’un incident de cybersécurité.Questions importantes pour la détection et la planification de l’analyse
Tous les utilisateurs sont-ils au courant des menaces, des indicateurs des incidents de cybersécurité et des rapports à déposer?
Les gestionnaires et les administrateurs des systèmes connaissent-ils :
• les points vulnérables que l’on peut exploiter dans les systèmes et les logiciels?
• les comportements réguliers des systèmes, pour pouvoir détecter les anomalies?
• les paramètres et les procédures des systèmes de sécurité, pour distinguer les fausses bonnes nouvelles?
• les rapports à déposer?
• les menaces courantes et les indicateurs de fragilisation?
L’analyse est essentielle pour déterminer l’envergure et la gravité de l’incident, afin de permettre à votre organisme de prioriser son intervention et d’établir la meilleure ligne de conduite à tenir.
Quelles sont les capacités d’analyse de votre organisme?
Si vous n’avez pas, au sein de votre organisme, les compétences voulues pour mener une analyse
raisonnable de l’incident, vous devez faire appel à un autre organisme ou à un tiers. En fait, une règle de l’art consiste à le prévoir et à s’assurer que cette analyse fait l’objet des accords de services de sécurité conclus avec les tiers.
Il y a eu un attentat!
Détection et analyse
Brèches dans la protection de la vie privée — N’oubliez pas : Tous les incidents qui portent sur la communication potentielle de renseignements personnels pouvant révéler l’identité (RPI) et de renseignements sur la santé des Ontariens doivent être déclarés au commissaire à l’information et à la protection de la vie privée de l’Ontario (CIPVPO).
Veuillez consulter les directives du CIPVPO sur le site https://www.ipc.on.ca/?lang=fr.
La planification de la détection et de l’analyse consiste aussi :
• à adopter des protocoles de coordination et d’échange de l’information avec l’équipe d’intervention en cas de cyberincident (EICI);
• préparer et garder à sa disposition la documentation permettant d’enregistrer et de déclarer les incidents;
• informer la direction à propos des menaces organisationnelles, les interventions en cas d’incident et les mesures à prendre dans l’immédiat.
Dans la mise au point de votre plan de gestion des incidents, vous devez soumettre votre plan à des essais par rapport à plusieurs scénarios qui cadrent avec le contexte de votre organisme et des menaces auxquelles il peut être exposé. Cet essai viendra éclairer la sélection des stratégies qui s’offrent à vous pour vous permettre de mener vos activités d’encadrement, d’éradication et de reprise des activités.
Dans toute cette phase, vous devez vous pencher sur les exigences à respecter pour consigner et préserver la preuve.
Encadrement
L’encadrement peut consister à verrouiller ou à limiter les comptes, à supprimer des droits d’accès, à invalider les applications, à fermer un système, à invalider les fonctions ou à les déconnecter du réseau. L’encadrement a un double objectif :
• il « arrête l’hémorragie », quand il s’agit d’une exfiltration de données ou des effets dommageables des maliciels;
• il vous donne aussi du temps pour décider des mesures à adopter pour maîtriser les risques.
Vous devez planifier les différentes stratégies d’encadrement d’après vos priorités organisationnelles, le type d’incidents que vous pourriez subir et les ressources dont vous disposez.
Voici entre autres les considérations dans le choix d’une stratégie d’encadrement :
• les dommages potentiels ou la perte éventuelle de données, d’information ou d’actifs;
• les besoins en préservation de la preuve;
• la disponibilité des services nécessaires;
• le temps et les ressources nécessaires pour mettre en œuvre la stratégie;
• l’efficacité de la stratégie;
• la durée de la solution.
« Il faut sortir du réseau les systèmes en cause dans un incident de sécurité si l’on détermine qu’ils nuisent à d’autres systèmes ou données, qu’ils propagent des problèmes d’un type ou d’un autre ou qu’ils portent atteinte à la sécurité des autres systèmes ou données. » (NTI-GO 25.0 Exigences générales en matière de sécurité) Toutefois, il ne faut pas mettre des systèmes hors service sans consulter les responsables de la sécurité. On veut ainsi préserver l’intégrité de la mémoire.
Encadrement , éradication et reprise
Éradication
L’éradication n’est pas une obligation pour tous les incidents. Par exemple, on maîtrise, en faisant appel à d’autres moyens, les erreurs des systèmes ou les pertes par mégarde. Par contre, les maliciels obligent à supprimer ou à invalider les comptes touchés. Il faut faire appel à différents outils et à diverses ressources pour encadrer ou éradiquer les menaces.
Reprise des activités
La reprise des activités consiste à reprendre les opérations normales en toute sécurité. Elle doit donc être attentivement et rigoureusement contrôlée par le coordonnateur de l’intervention en cas d’incident ou par un autre responsable compétent, pour veiller à ce que les systèmes et les données soient remis en disponibilité et en ligne sans qu’il y ait d’autres risques pour l’organisme. Vous devriez consulter les directives de votre Plan de continuité des opérations ou de votre Plan de reprise des activités après sinistre; la planification de la reprise des activités comprend des éléments importants. Par exemple, il faut s’assurer que :
les processus de reprise des activités du plan de gestion des incidents sont en place et ont été mis à l’épreuve;
les sauvegardes sont disponibles et sont sécurisées;
les outils, les applications et les systèmes nécessaires aux opérations de reprise sont disponibles et à jour;
les contrôles de sécurité et les modules de correction sont à jour et fonctionnent comme prévu.
Pour un exposé détaillé de la reprise des activités, veuillez consulter les synthèses de l’apprentissage sur le PCO et sur les Procédures d’intervention en cas de brèche.
La collecte des données dans la phase de l’activité post-incident
Une part importante de l’activité post-incident a trait à la collecte des données; par conséquent, la planification d’analyse de l’activité post-incident consiste à s’assurer que pendant toute la durée de l’intervention en cas d’incident, l’organisme réunit les données pertinentes.
Activités post-incident
L’activité post-incident consiste essentiellement à analyser les problèmes et à fermer le dossier de l’incident. Cette activité prévoit généralement trois éléments essentiels : 1. l’analyse de l’incident, de l’intervention organisationnelle et de ce qui s’est effectivement produit;
2. le recensement des points à améliorer pour éviter que les incidents se reproduisent;
3. la synthèse de l’ensemble des rapports et des documents se rapportant à l’incident.
Voici, à titre de suggestions, les données nécessaires liées à l’intervention en cas d’incident organisationnel :
• le type de l’incident et son impact
• la date et l’heure de la détection et les systèmes et périphériques touchés
• les événements interprétés selon les rapports des systèmes de détection et de prévention des intrusions
• les lignes de conduite envisagées et adoptées
• les activités ou les demandes des clients (autorisées et refusées)
• les changements de configuration des serveurs, les connexions des administrateurs et l’utilisation des privilèges
• les activités des systèmes; les types de mesures d’atténuation et les cas dans lesquels elles ont été déployées
• la date et l’heure des activités d’encadrement des risques
• les mesures de reprise adoptées
• la date et l’heure de la reprise complète des activités
On peut apporter d’autres précisions pour tenir compte des interventions de l’équipe ou de ses membres et des décisions à prendre s’il faut atteindre ce niveau de précision.
La planification de la cybersécurité et l’amélioration des interventions en cas d’incident!
Activité post- incident
Préparation Détection
et analyse Encadrement, éradication et
reprise
Activité post- i id t
Pour planifier la cybersécurité et améliorer les interventions en cas d’incident Ce que comprend votre trousse d’intervention en cas d’incident
Liste des actifs
Liste des comptes et des utilisateurs
Liste des ports
Liste des applications et des logiciels
Copies des systèmes d’exploitation et des applications critiques
Diagrammes de réseau et cartes de systèmes
Empreintes cryptographiques
Systèmes protégés (bac à sable) pour l’analyse
Postes de travail, serveurs et ordinateurs virtuels de rechange
Supports amovibles pour le stockage
Stockage sécurisé pour la preuve juricomptable
Outils d’analyse (renifleurs de paquets et analyseurs de protocoles)
Logiciels juricomptables numériques
Outils et supports de collecte de la preuve (par exemple les logiciels, les caméras
numériques, les registres, les enregistreurs, les formulaires de la chaîne de garde, ainsi que les sacs et les étiquettes de rangement de la preuve, entre autres)
Activités et ressources suggérées
Outre les activités et les ressources ci-après, nous vous conseillons de continuer de mener des recherches sur les thèmes qui vous intéressent et de parcourir l’environnement afin de connaître les outils, les règles de l’art et les points de repère qui vous permettront de vous améliorer.
Activités suggérées
Passez en revue les politiques et les plans de gestion des incidents de votre organisme.
En collaboration avec le coordonnateur de la gestion des incidents, recensez les lacunes potentielles dans le plan de gestion des incidents et faites-les corriger.
Faites la promotion de la formation et de la sensibilisation sur la gestion des incidents au sein de l’organisme.
Faites la promotion du sondage, dans tout l’organisme, du plan de gestion des incidents s’il n’a pas été mis à l’épreuve récemment.
Déterminez les responsabilités de l’équipe pendant l’intervention en cas d’incident.
Recensez les besoins personnels et de l’équipe dans le domaine de l’apprentissage afin d’étayer les interventions en cas d’incident.
Examinez et mettez à jour les outils et les documents qui relèvent de votre compétence.
Sondez la capacité de votre équipe à s’acquitter de ses responsabilités pendant les interventions en cas d’incidents.
Ressources
Centre canadien pour la cybersécurité (2018), Introduction à l’environnement de cybermenaces.
Centre canadien pour la cybersécurité (2019), Élaborer un plan d’intervention en cas d’incident https://www.cyber.gc.ca/fr/elaborer-un-plan-dintervention-en-cas- dincident.
Centre canadien pour la cybersécurité (2012), La gestion des risques liés à la sécurité des TI : Une méthode axée sur le cycle de vie (ITSG-33) IT Security Risk Management: A life-cycle approach.
Centre canadien pour la cybersécurité (2019), Les 10 meilleures mesures de sécurité des TI.
Center for Internet Security (2020), CIS Controls V7.1.
Gouvernement du Canada (2019), Plan de gestion des événements de cybersécurité du gouvernement du Canada (PGEC GC) 2019.
Gouvernement de l’Ontario (2012), NTI-GO 25.0 Exigences générales en matière de sécurité.
Gouvernement de l’Ontario (2012), NTI-GO 37.0 Processus de gestion des incidents organisationnels.
Commissaire à l'information et à la protection de la vie privée de l’Ontario (2019), Atteintes à la vie privée — Lignes directrices pour les organismes du secteur public.
National Institute of Standards and Technology (2012), Publication spéciale 800-61, Révision 2 Computer Security Incident Handling Guide.
National Institute of Standards and Technology (2016), Publication spéciale 800-184, Guide for Cybersecurity Event Recovery.
