Blog ENI : Toute la veille numérique !
🎁 Jusqu'au 25/12 : 1 commande de contenus en ligne
= 1 chance de gagner un cadeau*. Cliquez ici
🎁 Jusqu'au 31/12, recevez notre
offre d'abonnement à la Bibliothèque Numérique. Cliquez ici
  1. Livres et vidéos
  2. Guide juridique de la cybersécurité
  3. La gestion interne de la réponse à un incident
Extrait - Guide juridique de la cybersécurité Mettre en place un bouclier légal pour se protéger, se défendre et réagir
Extraits du livre
Guide juridique de la cybersécurité Mettre en place un bouclier légal pour se protéger, se défendre et réagir Revenir à la page d'achat du livre

La gestion interne de la réponse à un incident

Introduction

Souvent négligé, l’impact juridique de la réponse à l’incident représente pourtant un enjeu clé. Les organisations touchées ont en effet trop souvent tendance à prioriser les actions techniques nécessaires à la reprise d’activité.

Il est pourtant capital de faire intervenir les équipes juridiques, internes ou externes, en parallèle de la réponse technologique, tant pour piloter les actions à mener au regard de la réglementation que pour gérer les questions de responsabilités. L’action juridique visera également à orienter certaines actions techniques notamment s’agissant des investigations qui sont à mener.

Les obligations juridiques imposées aux différents acteurs tels que les dirigeants, DPO (Délégué à la protection des données), RSSI (Responsable de la sécurité des systèmes d’information), DSI (Directeur des systèmes d’information) ou encore la direction juridique doivent ainsi orienter la procédure interne en réaction à une cyber attaque.

En présence d’une cellule de crise, le pilotage juridique implique la gestion des aspects juridiques liés à la crise cyber tels que la conformité aux réglementations en vigueur, la préservation...

Animation et pilotage juridique de la cellule de crise

Pour prévenir et anticiper les situations de crise, chaque organisation se doit de développer une stratégie de continuité d’activité et une procédure à suivre en cas d’incident cyber.

Il s’agit ici pour l’organisation d’identifier quelles sont les menaces pouvant interrompre son activité, connaître les risques encourus, pour pouvoir étudier les différentes options lui permettant de réduire les risques.

1. Cellule de crise : le plan d’action à suivre

a. La prévention de la cellule de crise

Pour que la cellule de crise soit la plus efficace possible, il est nécessaire de prévoir en amont les procédures à suivre. En guise de bonne pratique recommandée par l’ANSSI, l’organisation pourra par exemple organiser des cellules de crises fictives anticipant divers incidents cyber afin de préparer la réactivité des équipes et se nourrir de retours d’expérience en vue d’une anticipation pertinente de crises cyber.

b. Le plan d’action à suivre

images/P202DP01.png

Entrer en contact avec le prestataire ou le département informatique

Une fois l’incident ou la cyberattaque détecté(e), la première étape de la cellule de crise consiste en l’appel immédiat du département informatique ou du prestataire informatique de l’entité concernée afin d’obtenir l’assistance requise.

Avoir prévu les différents moyens de contact en cas de crise cyber peut ici s’avérer très utile. Utiliser des canaux spécifiques prévus en amont en cas de telle crise peut s’avérer primordial. Tel sera le cas par exemple lors d’une attaque qui aurait lieu le week-end ou bien en semaine à une heure tardive.

Prévoir en amont les contacts en cas de crise cyber permet ainsi d’éviter des problèmes d’indisponibilité en établissant une ligne d’urgence ou un contact spécifique pour être en capacité d’agir rapidement.

Adopter les bons réflexes

Pour endiguer la propagation de l’incident, plusieurs réflexes peuvent être adoptés.

Il convient dans un premier temps...

Supervision des mesures techniques d’investigation et de veille

1. Fixation de la preuve

Il est essentiel de documenter les investigations techniques réalisées pour identifier les caractéristiques de l’incident survenu à la suite d’une cyberattaque.

a. Une documentation essentielle

Cette documentation devra indiquer notamment la chronologie précise de la cyberattaque en mentionnant les parties du système d’information touchées et informer sur les données impactées par l’attaque ainsi que celles qui ont fuité.

Le premier moyen d’apporter des réponses à ces différentes questions est celui de réaliser des analyses et examens en interne de manière continue pour assurer un maximum de précision sur les conséquences de la crise en cours.

Quels éléments devront être analysés ? Il s’agit essentiellement d’examiner le système d’information en lui-même, et plus particulièrement les logs, les messages ou éventuelles traces d’aspiration des données.

La documentation des différents éléments factuels liés à la crise (3) permet de prévenir une future attaque cyber, mais également de préparer l’ouverture d’une éventuelle phase contentieuse en apportant un maximum de détails sur le déroulé des évènements.

Cette documentation pourra servir de preuve à l’argumentaire développé devant les tribunaux et compléter les éventuels rapports d’expertises réalisés.

Au-delà de ce retour d’expérience, il est également essentiel de solliciter des documents pour étayer cette documentation auprès des différentes entités concernées.

b. L’équipe juridique : un acteur essentiel dans la fixation des preuves

L’implication directe de l’équipe juridique : un gain de temps

Le rôle des professionnels du droit dans l’élaboration de cette documentation n’est pas à négliger. L’objectif est de guider l’organisation vers les preuves nécessaires à la qualification juridique de l’incident ou encore de relever...

Références

(1) Guide de l’AMRAE et de l’ANSSI. Disponible sur : https://cyber.gouv.fr/publications/maitrise-du-risque-numerique-latout-confiance

(2) Cf. https://www.cnil.fr/fr/violation-de-donnees-le-cepd-publie-des-lignes-directrices-partir-de-cas-pratiques

(3) Supra Chapitre Déployer les outils de sensibilisation juridique dédiés au risque cyber, Partie 1 : Dispositifs de prévention juridique du risque cyber