ISO27035

Les exercices de cybercrises

Les plans de continuité d’activité traitent des risques dont les impacts peuvent être potentiellement très élevés mais dont la probabilité est faible. Pour concilier ces deux extrêmes, il faut mettre au point des plans, qui comportent des volets métiers et techniques. Pour le « business », il s’agit d’identifier les activités les plus critiques pour les maintenir, généralement dans un état dégradé. C’est l’objet du BIA. Le volet technique se concentre sur les aspects logistiques et les plans de continuité informatique.

Les sinistres liés aux problèmes de cybersécurité font partie de ces risques, du fait notamment des nombreux cas de ransomware (rançongiciel) qui touchent des entreprises de toute taille. Les impacts peuvent être très élevés pour l’entreprise (coûts financiers, image de marque…) et dans certains cas avoir des conséquences sur la sécurité des personnes (cas des hôpitaux ou des entreprises industriels sensibles par exemple). Les mesures de sécurité préventives sont bien entendu fondamentales. De nombreux référentiels fixent les bonnes pratiques organisationnels et techniques : NIST 800-53, guides de durcissement (CIS, ANSSI…), CSF. Nul n’étant à l’abri d’un incident majeur voire d’une crise, il est important de travailler le volet réponse et planifier régulièrement des exercices d’entrainement.

Les investigations numériques

La détection des événements suspects et la qualification des incidents de sécurité sont des éléments clés du processus de réponse aux incidents de sécurité (voir quelques recommandations ici et ici), que l’on retrouve dans la série de normes ISO 27035. Les CISO/RSSI doivent intégrer cette capacité de détection et de réponse à leur politique de sécurité. L’investigation numérique ou « digital forensics » est une discipline spécifique de la cybersécurité, avec ses compétences et ses outils. Cet article dresse un aperçu des bonnes pratiques disponibles dans cette matière qui, si elle reste très ardue techniquement doit être mieux comprise et intégrée aux processus de réponse et réaction aux incidents.