GESTION DES INCIDENTS

Le CLUSIF a traité à travers plusieurs conférences la thématique de l’incident informatique ou l’incident dû à l’informatique. Les deux derniers événements majeurs étant « L’évaluation financière d’un incident de sécurité » (2009) et « Les conditions de recueil de preuves et d’indices après un incident » (2010).

L’incident qu’il soit informatique ou de production est une réelle préoccupation des entreprises et organismes ; mais que se cache-t-il derrière ce terme « Incident » ? Un Groupe de Travail du CLUSIF vient de remettre en relecture un dossier technique sur ce sujet. Il semble maintenant pertinent d’aborder cette thématique dans le cadre d’une conférence dédiée à l’Incident lui-même. Il s’agit d’expliciter :

  • L’identification des incidents de sécurité: quelle définition à l’incident de sécurité ? Comment passe-t-on de l’événement de sécurité à l’incident de sécurité ? Quels moyens d’identification ?
  • Quel outillage technique et organisationnel ? Les outils techniques (SIM, SEM, SIEM…), les compétences humaines, la cellule d’urgence (CERT)…
  • Les traitements d’un incident : quelles compétences ? Quelle organisation ? Sous quelle autorité ? Avec quel séquencement ? Quelles précautions respecter ?
  • Quel apport des cadres normatifs et juridiques ? Le contexte ISO27001, les obligations de communiquer ou pas, les règlementations spécifiques et légales (PCIDSS, CNIL, données de santé…)
  • Les conditions d’établissement d’un bilan après la résolution de l’incident et d’apprentissage (mesures mises en œuvre afin d’éviter sa répétition).

Ces thèmes et ces actions semblent « connus de tous » et pourtant elles diffèrent souvent d’une organisation à l’autre en fonction de la taille, du secteur d’activité, de la culture, des moyens financiers accordés, …

 

Présentations à consulter

Vidéos