La réponse aux incidents tiers est le processus utilisé pour identifier, enquêter et réagir aux violations de données, aux catastrophes naturelles ou à d'autres événements indésirables externes affectant une organisation via ses fournisseurs ou autres partenaires commerciaux. L'objectif de la réponse aux incidents tiers est de maintenir les opérations, ou du moins de les rétablir rapidement, lorsque des perturbations commerciales surviennent dans l'écosystème des fournisseurs ou la chaîne d'approvisionnement ; en d'autres termes, de maintenir la résilience opérationnelle.
Réponse aux incidents vs gestion des incidents
Les termes « réponse aux incidents » et « gestion des incidents » sont souvent confondus ou utilisés de manière interchangeable. De nombreuses autorités, comme le Centre national de cybersécurité du Royaume-Uni, définissent la réponse aux incidents comme un sous-ensemble de la gestion des incidents. Dans cette optique, la réponse aux incidents est davantage axée sur les aspects techniques d'un événement, notamment le triage, l'analyse, l'atténuation, la remédiation et la récupération. La gestion des incidents est un programme plus holistique qui englobe la réponse aux incidents ainsi que des processus plus larges de préparation, de communication et de reporting.
La gestion des incidents comme fondement de la réponse aux incidents
Le processus de gestion des incidents (IM) peut être décomposé en plusieurs étapes, conformément au guide SP 800-61 du National Institute of Standards and Technology (NIST) intitulé « Computer Security Incident Handling Guide » (Guide de gestion des incidents liés à la sécurité informatique) :
- Préparation du processus de gestion des incidents
- Procédures de détection, de communication et de signalement des incidents
- Triage et analyse des incidents
- Maîtrise des incidents et reprise après sinistre
- Suivi après l'incident, y compris les leçons apprises
En matière de violations de la part des fournisseurs, d'exposition des données protégées, de perturbations de la chaîne d'approvisionnement ou d'autres événements, la plupart des organisations se concentrent sur des activités réactives telles que la hiérarchisation des incidents, l'analyse des causes profondes, le confinement et la récupération (c'est-à-dire la réponse aux incidents). Cependant, j'ai constaté que les domaines de la gestion des incidents qui se concentrent sur la préparation, la communication et les leçons apprises sont ceux où les organisations peuvent le plus améliorer leur préparation aux incidents.
Pourquoi la gestion des incidents est importante dans la gestion des risques liés aux tiers
Une gestion efficace des incidents et une gestion des risques liés aux tiers (TPRM) vont de pair. L'identification de vos tiers, quatrièmes et Nèmes parties permet une gestion efficace des incidents, étant donné que près de la moitié de tous les incidents trouvent leur origine chez les fournisseurs.
Les contrats conclus avec des tiers et des sous-traitants doivent inclure des exigences en matière de notification des incidents de sécurité et des violations dans un délai fixe (généralement 24 heures, mais dès que possible) après l'identification d'un incident majeur. La validation de vos processus et contacts de sécurité informatique tiers, ainsi que des tests périodiques, y compris des chaînes téléphoniques, garantissent la capacité opérationnelle à répondre aux incidents et à les résoudre.
Ressources pour une gestion efficace des incidents
Les incidents impliquant des tiers peuvent perturber votre capacité à fournir des produits et des services à vos clients. Si disposer d'un plan d'intervention en cas d'incident est essentiel pour atténuer les perturbations dans le feu de l'action, améliorer les systèmes et processus globaux de gestion des incidents de votre organisation vous aidera à mieux vous préparer lorsque des incidents se produisent.
Voici quelques ressources supplémentaires que vous pouvez utiliser pour évaluer et améliorer votre programme de gestion des incidents :
- NIST 800-61R2 : Guide de gestion des incidents liés à la sécurité informatique
- ISO/IEC 27035-1 : Gestion des incidents de sécurité de l'information, partie 1 : Principes de gestion des incidents
- ISO/IEC 27035-2 : Gestion des incidents de sécurité de l'information Partie 2 : Lignes directrices pour la planification et la préparation de la gestion des incidents
- OCC 2021-55 : Règle définitive relative à la notification des incidents bancaires , publiée le 23 novembre 2021
- OCC2022-8 : Points de contact informatiques pour les notifications d'incidents de sécurité informatique des banques, publié le 29 mars 2022.
Trois processus de gestion des incidents à améliorer
1. Préparation du processus
Pour mettre en œuvre un processus efficace de gestion des incidents, vous devez d'abord identifier les parties prenantes concernées et leur attribuer des responsabilités, tant au sein de votre organisation que dans l'ensemble de votre chaîne logistique étendue.
La réalisation d'exercices sur table, où des incidents sont simulés afin de familiariser toutes les parties prenantes avec le processus de gestion de l'information et leurs rôles et responsabilités, garantit que les ressources et capacités nécessaires seront disponibles en cas de besoin. Associée à des tests périodiques de vos procédures et à la validation de vos listes de contacts, cette approche vous donne confiance en votre capacité à réagir lorsque cela sera nécessaire, et non pas « si » cela sera nécessaire.
2. Procédures de détection, de communication et de signalement
La cyber-intelligence aide votre organisation à prévenir les incidents en surveillant en permanence les événements réels et les signaux annonciateurs d'événements futurs potentiels. Les processus de détection vous permettent de repérer les incidents potentiels et d'agir en temps opportun, limitant ainsi les risques et les dommages potentiels.
Dans le cadre de ce processus, vous devez informer les principales parties prenantes, notamment, en fonction de la gravité de l'incident, votre direction générale et votre conseil d'administration, ainsi que les organismes de réglementation. Cela est essentiel pour assurer la résilience opérationnelle et éviter les répercussions négatives sur la réputation, les finances et la réglementation. La communication joue donc un rôle essentiel dans votre processus de gestion des incidents, tant pour remédier aux effets d'un incident que pour tenir informées les principales parties prenantes internes et externes, ce qui permet de résoudre plus rapidement les incidents.
3. Suivi après l'incident, y compris les leçons apprises
Tirer les leçons de ce qui a fonctionné et de ce qui n'a pas fonctionné est un autre aspect important du processus de gestion des incidents. En examinant les causes d'un incident survenu dans votre organisation ou votre chaîne d'approvisionnement, vous pouvez vous assurer que les erreurs ne se reproduiront pas et renforcer la gestion des risques pour tout incident ultérieur qui pourrait se produire. Le suivi est essentiel pour vérifier que les mesures correctives et les améliorations apportées au programme sont correctement mises en œuvre.
Note de la rédaction : Ce billet a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a acquis l'entreprise Prevalent, spécialisée dans la gestion des risques pour les tiers et dotée d'une intelligence artificielle. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.
