ISO 27035, l’autre norme pour la gestion des incidents de sécurité informatique.

La maitrise des concepts dans le monde des incidents de l’informatique, implique de suivre un certain nombre de normes et de règles, les outils peuvent parfois changer, mais le fond a le mérite d’exister et de rester dans toutes les normes.

Explication de la Norme ISO 27035


ISO 27035, l’autre norme pour la gestion des incidents de sécurité informatique; étant donné la complexité des systèmes informatiques actuels et les menaces de cybersécurité qui ne cessent de croître, les experts déconseillent aujourd’hui aux organisations de se contenter de simples politiques ou de mesures de contrôle de sécurité de l’information pour une protection suffisante des informations, des systèmes d’information, des services ou des réseaux, car en général elles ne sont jamais suffisantes.
En effet, après la mise en œuvre des contrôles, il est fort probable que des vulnérabilités résiduelles subsistent toujours, ce qui peut rendre le dispositif sécurité de l’information en place inefficace et donc n’empêche pas l’apparition d’incidents potentiels.
De plus, avec des dispositifs de sécurité aussi figés et peu évolutifs que peuvent être les politiques et les mesures de contrôle de sécurité, il est difficile pour les responsables de sécurité informatique d’identifier l’apparition de nouveaux cas de menaces encore inconnues. Or, une préparation insuffisante de la part d’une organisation pour faire face aux incidents imprévus rendra toute réponse moins efficace.
Pour remédier à cela, ISO 27035, l’autre norme pour la gestion des incidents de sécurité informatique, nous apporte des bonnes pratiques et des lignes directrices pour la conduite d’un plan stratégique de gestion des incidents permettant de faire face à tous les incidents possibles de manière efficace, voyons tout cela dans l’article qui suit :

Gestion des incidents de sécurité de l’information – qu’est-ce que l’ISO 27035 ?


D’abord, l’ISO (Organisation internationale de normalisation) est une organisation internationale non gouvernementale et indépendante de normalisation. Les normes fournies par l’ISO, qu’on appelle tout simplement Normes ISO, aident les entreprises dans pleins de domaines différents, et notamment dans la mise en place d’une meilleure approche des risques et des incidents.
Généralement, les entreprises certifiées ISO sont plus performantes et sont bien préparées pour faire face à tous les imprévus, y compris aux incidents et crises. Résultat, elles ont une certaine facilité à accéder à de nouveaux marchés et gagnent, aussi facilement que naturellement, la confiance de leurs clients et partenaires.
Concernant l’ISO 27035, elle fait partie des 22 467 normes définies par l’Organisation internationale de normalisation jusqu’ici. Parue en septembre 2011 et émise par le WG4 (Security Controls and Services) du SC27 (IT Security Techniques), l’ISO 27035, qui est une norme de gestion d’incidents de sécurité, énonce les bonnes pratiques et les lignes directrices pour la conduite d’un bon plan et stratégie de gestion des incidents de sécurité de l’information.
Les étapes clés énoncées par l’ISO 27035 sont la préparation aux incidents, l’identification des incidents, l’évaluation des incidents, la réponse aux incidents et enfin l’étape où l’organisation doit tirer des leçons des derniers incidents qui sont apparus.

Qu’est-ce qu’un incident de sécurité de l’information ?


Un incident de sécurité de l’information est un événement unique ou bien une série d’événements de sécurité de l’information indésirables ou inattendus qui ont une probabilité significative de compromettre les opérations commerciales et de menacer la sécurité de l’information ou encore la disponibilité ou la continuité des services informatiques.
Un événement de sécurité de l’information, quant à lui, est une occurrence identifiée d’un système, d’un service ou d’un état de réseau indiquant une violation possible de la politique de sécurité de l’information, une défaillance des contrôles, ou bien une situation jusque-là inconnue qui peut être pertinente pour la sécurité.
Alors, notez tout de même que tous les événements de sécurité de l’information n’entrent pas forcément dans la catégorie des incidents. Seuls figurant dans cette catégorie sont les évènements qui provoquent potentiellement des situations indésirables sur les actifs informationnels exposés à des vulnérabilités.
Des exemples concrets d’incidents de sécurité de l’information sont l’utilisation illégale d’un mot de passe, vol d’équipements informatiques, intrusion dans un fichier ou une application…

Les objectifs de la gestion des incidents informatiques ?


Une approche structurée et bien planifiée de gestion des incidents devrait assurer que :

  • Les événements de sécurité de l’information sont détectés et traités efficacement ;

  • Les incidents de sécurité de l’information identifiés sont évalués et traités de la manière la plus appropriée et la plus efficace ;

  • Les effets néfastes des incidents de sécurité de l’information sur l’organisation et ses opérations commerciales soient minimisés et contenus par des contrôles appropriés dans le cadre de la réponse à l’incident ;

  • Les vulnérabilités signalées soient évaluées et traitées de manière appropriée ;

  • Des leçons soient rapidement tirées des incidents de sécurité de l’information, des vulnérabilités et de la gestion associée. Il s’agit d’augmenter les chances de prévenir de futurs incidents de sécurité de l’information, d’améliorer la mise en œuvre et l’utilisation des contrôles de sécurité de l’information et d’améliorer la sécurité globale de l’information.


Processus de gestion des incidents établi par la norme ISO 27035


La norme ISO 27035 avance 5 étapes clés permettant une meilleure gestion des incidents. Les voici :

·       la planification et la préparation


Pour disposer d’un système de gestion des incidents efficace, une organisation doit effectuer un certain nombre d’activités préparatoires. Ces activités préparatoires incluent :

  • D’avoir une politique de gestion des incidents de sécurité de l’information adaptée,

  • D’avoir l’engagement de la haute direction à la gestion des crises ;

  • De mettre à jour des politiques de sécurité de l’information et de gestion des risques au niveau de l’entreprise ;

  • De disposer de systèmes informatiques nécessaires pour la détection et la gestion des incidents ;

  • De former au préalable les équipes informatiques à la gestion des incidents de sécurité de l’information ;

  • De tester le schéma ou le plan de gestion des incidents de sécurité de l’information établi ;

  • De bien documenter chaque procédure et action liées à chaque incident et vulnérabilité détecté.


·       détection et signalement des incidents


Vous devez disposer des outils suivants pour la détection, le signalement et le traitement des incidents : des outils d’audit interne de la sécurité de l’information pour évaluer le niveau de sécurité et suivre les systèmes vulnérables, des outils permettant de détecter de nouveaux types de menaces et d’attaques, des systèmes de détection d’intrusion, des dispositifs de sécurité réseau, moyens de protections et outils de surveillance, des logiciels de code anti-malveillant, des logiciels de surveillance des journaux…
Ces outils vous aideront notamment à :

  • Détecter et signaler la survenance d’événements de sécurité de l’information

  • Collecter les informations sur les événements de sécurité de l’information.

  • Détecter et signaler les vulnérabilités de la sécurité de l’information.


Enregistrer toutes les informations recueillies dans le cadre de la gestion des incidents de sécurité de l’information

·       évaluation et classification des incidents


Lors de cette étape, les responsables de sécurité informatique doivent effectuer des évaluations des événements de sécurité détectés, en utilisant une échelle de classification des événements/incidents convenue au préalable et décider si les événements doivent être classés comme incidents de sécurité de l’information.
La classification doit déjà être suivie de la prise des décisions sur la manière dont l’incident de sécurité de l’information confirmé doit être traité, par qui et dans quelle priorité, ainsi que les niveaux d’escalade.

·       réponses aux incidents


Une fois les incidents évalués et classifiés, il convient maintenant d’exécuter les procédures permettant de les contenir et de limiter les dégats qu’ils peuvent occasionner.
Il est à noter que le plan de gestion d’incidents mis en place et préparé à l’avance doit nécessairement permettre de répondre aux incidents de sécurité de l’information même les plus improbables.

·       leçons apprises


Une fois les incidents totalement maitrisés, essayez maintenant de tirer des enseignements de ces incidents. Si possible, apportez des améliorations à l’évaluation des risques de sécurité de l’information.
Examinez aussi l’efficacité des processus, des procédures de gestion des incidents afin de répondre efficacement aux incidents futures. Mettez aussi à jour de la base de données des événements/incidents/vulnérabilités de sécurité de l’information. Le véritable but étant d’empêcher que des évènements similaires ne se produisent à l’avenir.

Conclusion


En informatique, les incidents font partie du quotidien, heureusement qu’il existe de nombreuses normes pour les gérer intelligemment.
Rien qu’en ISO, nous disposons de plus de 22.000 normes, auxquelles il faut ajouter celles de l’ITIL et autres organisations similaires.
Nous préconiserons au lecteur d’intégrer, un bon système de gestion de sa supervision avec une intégration des gestions des astreintes, pour pouvoir faire le tour de la question.
Auteur Antonio Rodriguez, Editeur et Directeur de Clever Technologies
Comments are closed.