Politique de réponse aux incidents - PME

La Politique de réponse aux incidents (P30S) est conçue spécifiquement pour les petites et moyennes entreprises (PME) recherchant des protocoles robustes conformes à ISO/IEC 27001:2022, sans nécessiter un Centre opérationnel de sécurité (SOC) interne ni un Responsable de la sécurité des systèmes d’information (RSSI) à temps plein. Cette politique PME attribue explicitement la responsabilité de la supervision des incidents et des notifications réglementaires au Directeur général (DG), en fournissant une structure claire adaptée aux organisations disposant de ressources informatiques dédiées limitées. Le document détaille des exigences permettant aux PME de minimiser les dommages, de protéger les informations sensibles et de satisfaire des obligations réglementaires critiques, telles que la règle de notification des violations sous 72 heures du RGPD. Le champ d’application est large et couvre l'ensemble du personnel (employés, prestataires, prestataires tiers de services informatiques externes), tous les actifs techniques (sites web, plateformes cloud, comptes de messagerie et terminaux mobiles) et toute forme significative d’incident (de l’accès non autorisé à l’infection par logiciel malveillant, l’hameçonnage, les pannes de système et la perte/vol d’équipements). La politique établit des objectifs détaillés : reconnaissance rapide, journalisation, escalade, notification légale, confinement efficace, récupération des données et prévention fondée sur les causes racines. Elle aide également les PME à réussir les audits ISO/IEC 27001 et à démontrer une responsabilité appropriée auprès des clients et des autorités. Les rôles et responsabilités sont simplifiés pour s’adapter au contexte PME : le DG conserve la responsabilité globale, soutenu par une administration informatique interne ou externalisée. Les employés et prestataires sont tenus de notifier tout incident immédiatement sans tenter de correctifs non autorisés. Les fournisseurs externes sont tenus de notifier le DG et de soutenir les actions de confinement conformément aux obligations de conformité, selon les mêmes délais d’escalade que les incidents internes. La politique définit des procédures de notification structurées, incluant des canaux de communication clairs (courriel d’incident dédié ou notification verbale), les informations requises (heure de découverte, nature, systèmes affectés et impact observable) et une catégorisation dans l’heure. Les journaux d’incidents, tenus par le DG, sont au cœur de la tenue de registres pour les audits. Des revues trimestrielles, des analyses des causes racines et des mises à jour post-incident assurent à la fois l’efficacité continue et la réactivité face aux menaces émergentes. Le document détaille également les exigences de formation et de sensibilisation pour l'ensemble du personnel, l’enrôlement, les sessions de formation de rappel et les attentes de notification obligatoires. Les dispositions de mise en application et de conformité imposent à toutes les entités, y compris les tiers, de se conformer pleinement : les manquements ou violations de protocole peuvent entraîner des avertissements, la révocation des accès, des pénalités contractuelles ou le retrait des listes de fournisseurs. Tous les éléments probants d’audit et journaux doivent être conservés pendant au moins un an et fournis pour les audits selon les besoins. Des mécanismes de revue complets garantissent que la politique reste alignée sur l’évolution des normes, les changements réglementaires et les évolutions opérationnelles, en demeurant réactive et pertinente pour les PME.