Politique de réponse aux incidents (P30)

La Politique de réponse aux incidents (Document P30) formalise un cadre robuste garantissant que l’organisation peut gérer et traiter efficacement un large éventail d’incidents de sécurité de l'information. L’objectif principal de la politique est d’établir des processus reproductibles pour identifier, notifier, analyser, confiner et se rétablir après des incidents, tout en favorisant l’amélioration continue au moyen de revues post-incident. En instituant un Cadre de réponse aux incidents central aligné sur des normes internationales telles que l’ISO/IEC 27035, la politique assure une approche structurée sur l’ensemble des phases d’un incident : préparation, détection et analyse, confinement/éradication/rétablissement, et revue post-incident. Cette politique couvre largement les fonctions de l’organisation et étend ses exigences à l'ensemble du personnel, y compris les contractants et les prestataires tiers de services, ainsi qu’à tous les systèmes d'information de l'organisation, qu’ils soient sur site, hébergés dans le cloud ou hybrides. Elle s’applique à un ensemble complet de types d’incidents : accès non autorisé, protection contre les logiciels malveillants et rançongiciels, attaques par déni de service, fuites de données ou exfiltration de données, menaces internes, et même atteintes physiques affectant les actifs numériques. La section Gouvernance impose que chaque incident soit consigné formellement dans un Système de gestion des incidents de sécurité (SIMS), avec des métadonnées détaillées incluant l’heure de détection, la classification, les systèmes affectés, les actions menées, les éléments probants capturés et l’analyse des causes racines. Tous les incidents sont catégorisés selon un modèle de gravité à plusieurs niveaux, garantissant une réponse et une escalade proportionnées. Les rôles et responsabilités clés sont soigneusement définis afin d’assurer la responsabilité et un flux de travail rationalisé pendant un incident. Le RSSI conserve la propriété globale du cadre de réponse et sert d’interface avec la Direction et les autorités de régulation lors des incidents majeurs. Le Coordinateur de réponse aux incidents gère les équipes interfonctionnelles, suit chaque étape de la réponse et s’assure que les actions correctives sont exécutées. Le Centre opérationnel de sécurité (SOC) et les analystes de sécurité informatique sont chargés de la surveillance et du triage des menaces, de l’escalade des cas et des premières actions de confinement. Les rôles Juridique et Délégué à la protection des données sont chargés de la revue de l’impact réglementaire et du respect des délais de notification, en particulier pour les violations relevant du RGPD, de NIS2 et de DORA. La Direction prend les décisions stratégiques pour les incidents de gravité élevée, y compris les communications publiques et l’approbation des modifications du Système de management de la sécurité de l'information (SMSI). La politique adopte des mécanismes rigoureux pour la notification des violations, la forensique numérique et la gestion des éléments probants, exigeant que la notification aux autorités et aux parties prenantes affectées soit réalisée conformément aux délais légaux et contractuels définis. Les procédures de forensique numérique incluent l’imagerie disque avec bloqueurs d’écriture, le suivi de la chaîne de conservation et le stockage chiffré des éléments probants, avec coordination avec les forces de l’ordre lorsque requis. Toute dérogation à la politique, telle que le temps de réponse ou la collecte d’éléments probants, doit suivre un processus strict de dérogation fondé sur les risques, avec documentation, approbation du RSSI et revues trimestrielles des risques. Pour garantir l’efficacité et la conformité réglementaire, la politique impose des revues annuelles, des exercices réguliers de réponse aux incidents et des indicateurs clairs tels que le délai moyen de détection (MTTD), le délai moyen de confinement (MTTC) et le pourcentage de revues post-incident réalisées. L’audit et la conformité et la surveillance de la conformité valident la préparation et imposent le respect, avec des conséquences spécifiées en cas de non-conformité, incluant des mesures disciplinaires pouvant aller jusqu’à la résiliation du contrat ou la notification réglementaire. La politique est étroitement intégrée à des politiques de soutien couvrant la classification des données, la gestion des changements, les contrôles cryptographiques, la sauvegarde et la restauration, ainsi que la journalisation et la surveillance, garantissant une posture de préparation aux incidents complète et défendable.