Dans une démarche d’encadrement et de rationalisation du domaine de la SSI, l’ANSSI publie régulièrement des guides à destination tant des prestataires que des utilisateurs.
Réponse à incident, pas de recette miracle mais des ingrédients essentiels
Avant le récent référentiel PDIS (Prestataires de Détection des Incidents de Sécurité), le référentiel PRIS (Prestataires de Réponse aux Incidents de Sécurité) avait initié la thématique des incidents de sécurité. De toute évidence, le PRIS repose notamment sur l’ISO 27035. Ce dernier document est lui-même une référence internationale en la matière mais est-il pour autant suffisant et complet ?
Présentation ISO 27035 et NIST 800-61
L’ISO 27035, dédiée à la gestion des incidents de sécurité de l’information, peut être considéré comme un document de « politique » de gestion d’incidents de sécurité tout comme un « guide de bonnes pratiques ». Un de plus dira-t-on. Ce document traite de façon plus ou moins poussée l’ensemble du cycle de vie d’un incident (détection, qualification, escalade, recueil des preuves, traitement, mise en œuvre des mesures de sécurité adaptées, etc…) et aide à améliorer les processus de sécurité utilisés et la gestion des incidents.
Point important, l’ISO 27035 est une des rares normes qui s’inscrivent dans une démarche « bottom-up » quand la grande majorité s’inscrit dans une démarche de type « top-down ».
De son côté, la Special Publication 800-61 du NIST se dit Computer Security Incident Handling Guide. Cette publication aide les organisations américaines dans l’établissement de moyens de réponse et de traitement aux incidents de sécurité. Elle comprend des lignes directrices sur l’établissement d’un programme de réponse aux incidents, mais son objectif principal porte sur la détection, l’analyse, et la gestion des incidents.
Preuve que la littérature sur les incidents est très riche, on pourra aussi s’intéresser au NIST SP 800-86 (Guide to Integrating Forensic Techniques into Incident Response), etc.
Mise en parallèle
En mettant en parallèle les documents ISO 27035 et NIST SP 800-61, qui visent tous les deux à éviter qu’un incident se reproduise ou se prolonge, on réalise rapidement que la partie « réponses » semble bien plus détaillée par le NIST.
Dans le cadre de la gestion des incidents de sécurité de l’information, l’ISO traite de la planification et de la préparation tandis que le NIST les fusionne sous l’unique terme de préparation.
Ensuite, l’ISO s’attarde sur la détection et les rapports ainsi que sur l’évaluation et la décision. De son côté, le NIST aborde l’ensemble au sein d’une partie dédiée à l’identification et à l’analyse.
Arrive le principal point différenciant les deux documents, et qui semble donc pénaliser le PRIS. En effet, avant de tirer des leçons via un retex obligatoire, l’ISO et le NIST décrivent la réponse proprement dite… Mais le NIST est ici bien plus détaillé et distingue trois actions essentielles : le confinement/endiguement, l’éradication, et le recouvrement.
Téléchargez cette ressource
Guide inmac wstore pour l’équipement IT de l’entreprise
Découvrez les dernières tendances et solutions IT autour des univers de Poste de travail, Affichage et Collaboration, Impression et Infrastructure, et notre dossier Green IT sur les actions engagés par inmac wstore pour réduire son impact environnemental
Les articles les plus consultés
Les plus consultés sur iTPro.fr
- AI Speech double toutes vos vidéos !
- Finance : l’IA générative plébiscitée pour les décisions stratégiques
- Cybersécurité : les comportements à risque des collaborateurs
- Prédictions 2025 : voici comment l’intelligence artificielle va redéfinir la sécurité de 3 façons
- Top 5 des technologies à suivre en 2025 et au-delà !