Déclaration des incidents de sécurité "locale"

Nous essayerons ici de faire passer un maximum d’alertes de sécurité relatives au SIH, tous les types de cyber attaques
Répondre
BPierre
Messages : 9
Enregistré le : 20 juil. 2015 14:54
Etablissement : GHT Saône et Loire - Bresse - Morvan
Fonction : RSSI
DPO / DPD : Non

Déclaration des incidents de sécurité "locale"

Message par BPierre » 02 juil. 2019 14:42

Bonjour à tous,

Pour faire suite au très bon article de Charles sur la déclaration des incidents de sécurité des SI (http://www.dsih.fr/article/3417/inciden ... larer.html) qui m’a personnellement éclairé sur les incidents à déclarer ou pas, je me demande si la réalisation d’une « fiche d’incident de sécurité informatique locale » dans l’outil de gestion des flux de mon établissement ou GHT (Comme pour les déclarations d’évènements indésirables) ne serait pas nécessaire.
Avec un flux d’alerte en direction du RSSI (ou autre personne impliquée dans la gestion des évènements de sécurité du SI) qui déciderait de la nécessité de rassembler la cellule de crise et la nécessité de déclarer à l’ACSS et autres organismes (CNIL, HAS, ...). Et bien évidemment traiter l'incident.

A partir de ces déclarations, on pourrait :

1 – Avoir la traçabilité de tous les évènements de SSI (déclarés ou non)
2 – Mettre en place des plans d’action et les suivre
3 – Avoir une démarche d’amélioration continue partagée avec la direction
4 – De sensibiliser les équipes DSI
5 – De sensibiliser les utilisateurs
6 – Permettre au DPO de tenir un registre de violations de données personnelles
7 - Avoir de réels indicateurs de suivi de la démarche de sécurisation de la du SI (ou amélioration de la sécurité du SI)
8 - ...

Pourquoi ne pas aller plus loin que la simple mesure du taux de disponibilité demandée dans les prérequis Hop’En et mettre en place une réelle démarche qualité afin d’améliorer la disponibilité, l’intégrité et la confidentialité de nos SI ?

Est-ce que certains d’entre vous ont déjà mis une telle démarche en place et si oui, quel retour d’expérience pouvez-vous nous donner à ce sujet ?
Sinon, quels sont avis sur une telle démarche ?

Je vous remercie d'avance pour vos retours.

Benoît

michael
Messages : 166
Enregistré le : 12 févr. 2016 13:38
Etablissement : CHU Nimes
Fonction : RSSI
DPO / DPD : Non

Re: Déclaration des incidents de sécurité "locale"

Message par michael » 03 juil. 2019 13:56

Bonjour Benoit, la sécurité doit s'améliorer en permanence. Chaque incident majeur (de prod ou de sécu) doit être traité et des mesures apportées pour qu'il n'arrive plus. L'indicateur de l'indispo des applis critiques ne sert qu'à mesurer l'efficacité des mesures que tu mets en place au fil du temps. Tu dois avoir beaucoup d'autres indicateurs normalement, chacun te permettant de mesurer tes objectifs de sécurité.

Pour le principe de déclaration des incidents de sécurité, attention: seul le RSSI peut définir si un incident est un incident de sécurité (ou éventuellement le RSI ou les cadres DSIH formés / référents sécu). Il faut faire remonter tes incidents de prod par divers moyens: le support informatique (les tickets utilisateurs), le monitoring etc. Si un incident de prod affecte tes processus métiers de façon suffisamment grave tu peux parler d'incident de sécurité (indispo de ton DPI, corruption d'une BDD, perte de données, serveur mail blacklisté...).

BPierre
Messages : 9
Enregistré le : 20 juil. 2015 14:54
Etablissement : GHT Saône et Loire - Bresse - Morvan
Fonction : RSSI
DPO / DPD : Non

Re: Déclaration des incidents de sécurité "locale"

Message par BPierre » 04 juil. 2019 15:12

Bonjour Michael et merci pour ta réponse. Aujourd'hui, je n'ai pas d'autres indicateurs, d’où ma question sur la mise en place d'une fiche d'évènement de sécurité "locale".
Le but pourrait être de faire remonter les évènements via cette fiche par le support informatique dans un premier temps.

Répondre

Retourner vers « Alertes de sécurité - Attaques et infections »