10.2. Cr�ation d'un plan de r�ponse aux incidents
Il est important qu'un plan de r�ponse aux incidents soit formul�, support� dans toute la soci�t� et test� r�guli�rement. Un bon plan de r�ponse aux incidents peut non seulement r�duire les effets d'une br�che, mais �galement r�duire la publicit� n�gative.
Pour une �quipe de s�curit�, le fait qu'une br�che se produise est peu important (vu que de telles occurrences font partie de leurs activit�s utilisant un r�seau porteur sans confiance comme l'internet), mais il est bien plus important de savoir quand une br�che se produira. Ne pensez pas qu'un syst�me soit faible et vuln�rable�; il est important de se rendre compte que avec assez de temps et de ressources, quelqu'un arrivera � briser les protections du syst�me ou r�seau le plus s�curis�. N'allez pas plus loin que le site Web Security Focus qui se trouve � l'adresse https://www.securityfocus.com pour trouver des informations mises � jour et d�taill�es sur les br�ches et les vuln�rabilit�s de s�curit� r�centes, de la mutilation fr�quente de pages Web d'entreprise aux attaques sur les serveurs root DNS en 2002[1].
Le c�t� positif li� � la r�alisation qu'une br�che de syst�me soit in�vitable est le fait qu'il permette � l'�quipe de s�curit� de d�velopper un champ d'actions qui r�duise tout d�g�t possible. En combinant un champ d'actions avec l'expertise, l'�quipe peut alors r�pondre aux conditions difficiles d'une mani�re dynamique et professionnelle.
Le plan de r�ponse aux incidents peut �tre s�par� en quatre sections�:
Action imm�diate pour arr�ter ou r�duire l'incident
Recherche sur l'incident
Restauration de ressources affect�es
Indication de l'incident sur les canaux corrects
Une r�ponse aux incidents doit �tre d�cisive et rapidement ex�cut�e. Vu qu'il y pas peu de place pour les erreurs, il devient critique de pr�voir des exercices d'urgences et de mesurer les temps de r�ponses. De cette mani�re, il est possible de d�velopper une m�thodologie qui adopte vitesse et pr�cision. R�agir rapidement peut r�duire l'impact de l'indisponibilit� de ressources et le dommage potentiel caus� par le compromis de syst�mes.
Un plan de r�ponse aux incidents poss�de un certain nombre de sp�cifications, parmi lesquelles figurent�:
Une �quipe d'experts internes (une �quipe de r�ponse aux urgences informatiques)
Une strat�gie revue et approuv�e l�galement
Un support financier de la soci�t�
Un support ex�cutif de la direction sup�rieure
Un plan d'action faisable et test�
Des ressources physiques comme le stockage redondant, les syst�mes en veille et les services de sauvegarde
10.2.1. L'�quipe de r�ponse aux urgences informatiques (CERT)
L'�quipe de r�ponse aux urgences informatiques (CERT, de l'anglais Computer Emergency Response Team) est un groupe d'experts internes pr�ts � agir rapidement dans le cas d'une catastrophe informatique. Trouver les comp�tences essentielles � une CERT peut �tre un d�fi. Le concept de personnel appropri� s'�tend au-del� de l'expertise technique et inclut des logistiques comme l'emplacement, la disponibilit� et le d�sir de placer la soci�t� au devant de sa vie personnelle lorsqu'une urgence se produit. Une urgence n'est jamais un �v�nement pr�vu�; elle peut arriver � tout moment et tous les membres de la CERT doivent �tre pr�ts � accepter la responsabilit� requise de r�pondre � une urgence � toute heure.
Les membres typiques d'une CERT incluent des administrateurs syst�me et r�seau ainsi que des experts en s�curit� de l'information. Les administrateurs syst�me offriront la connaissance et l'expertise des ressources syst�me, y compris des sauvegardes de donn�es, du mat�riel de sauvegarde disponible � utiliser et autres. Les administrateurs r�seau offrent leurs connaissances des protocoles r�seau et leur capacit� de router de nouveau le trafic r�seau de fa�on dynamique. Le personnel de s�curit� de l'information est utile pour localiser et suivre minutieusement les questions de s�curit� ainsi qu'effectuer une analyse r�trospective (apr�s l'attaque) de syst�mes compromis.
Bien que cela ne soit pas toujours faisable, il devrait toujours exister une redondance de personnel � l'int�rieur d'une CERT. Si il n'est pas possible pour une soci�t� d'approfondir certains secteurs essentiels, alors des formations pluridisciplinaires devraient �tre impl�ment�es. Remarquez que si une seule personne poss�de la cl� de la s�curit� et l'int�grit� des donn�es, alors la soci�t� enti�re devient impuissante en l'absence de cette personne.
10.2.2. Consid�rations l�gales
Certains aspects importants des r�ponses aux incidents � consid�rer concernent les questions juridiques. Les plans de s�curit� devraient �tre d�velopp�s avec les membres du personnel juridique ou une forme de conseil g�n�ral. De la m�me mani�re que toute soci�t� devrait avoir sa propre politique de s�curit� d'entreprise, toute soci�t� a sa propre fa�on de r�pondre aux incidents au niveau juridique. Les questions de r�gulation f�d�rale, d'�tat et locale s'�tendent au-del� de ce document, mais sont mentionn�es vu que la m�thodologie pour effectuer une analyse r�trospective, du moins en partie, sera d�termin�e par (ou en conjonction avec) le conseil juridique. Le conseil g�n�ral peut attirer l'attention du personnel technique sur les ramifications l�gales des br�ches de s�curit�; les dangers li�s � la perte d'enregistrements personnels, m�dicaux ou financiers d'un client�; et l'importance de restaurer le service dans des environnements � mission critique comme les h�pitaux et les banques.