Comment rédiger un plan de réponse aux incidents de cybersécurité pour les PME
Le plan contient une étape qui répertorie les coordonnées de l’établissement et qui est responsable de les contacter. Il peut également être utile de se référer à votre plan de reprise après sinistre ici, afin que vous connaissiez votre objectif de temps de récupération (RTO — temps maximum que vous pouvez vous permettre de prendre pour reprendre un service informatique normal) et votre objectif de point de récupération (RPO — la quantité maximale de données que vous pouvez vous permettre de perdre sans impact sur votre entreprise).
Continuité des activités
Si vous avez passé du temps à développer un plan de reprise après sinistre, vous devriez également avoir un plan de continuité des activités en place afin que les choses puissent continuer comme d’habitude. L’aspect le plus important est d’assurer le moins de perturbations possible.
Bien que cela soit essentiel pour votre personnel afin qu’il puisse poursuivre son travail, c’est essentiel pour les clients. Sécurisez leurs données, communiquez avec eux si nécessaire pour qu’ils sachent ce qui se passe, mais de préférence, ils ne devraient même pas avoir besoin d’être conscients d’un problème.
Assurez-vous que vos employés peuvent communiquer entre eux et que la plupart d’entre eux effectuent leur travail quotidien habituel. Rappelez—vous – la récupération d’un incident de cybersécurité devrait se poursuivre en arrière-plan avec le moins de personnes possible aux prises avec les problèmes. Une partie de l’établissement de votre RTO et de votre RPO concerne le montant d’argent que vous pouvez vous permettre de perdre pendant les temps d’arrêt.
Sauvegarde du personnel
Suite à cela, vous devez inclure une étape pour savoir quoi faire si une personne nommée est absente du bureau ou indisponible lors d’un problème. Le fait d’avoir un autre membre de l’équipe en réserve devrait réduire la perturbation du statu quo.
Le point suivant regarde qui devraient être les personnes nommées.
Établissez votre équipe d’intervention en cas d’incident
L’équipe d’intervention en cas d’incident est constituée des membres du personnel identifiés comme ceux qui mettront en œuvre vos plans d’intervention en cas d’incident, de sauvegarde des données et de continuité des activités.
Assurez-vous que tout le monde dans l’entreprise sait qui il est, à qui s’adresser en son absence et comment les contacter s’ils sont basés dans un autre département ou bureau.
L’équipe de base comprendra un manager, qui a la responsabilité globale du plan et assure la liaison avec le reste de l’organisation. Il devrait également y avoir des analystes de sécurité, pour examiner de près l’incident. Ils rechercheront les violations potentielles et s’occuperont de la récupération.
Les analystes peuvent être soutenus par des chercheurs en menaces, qui recherchent toutes les informations qu’ils peuvent recueillir sur un incident, à la fois au sein de l’entreprise et en externe.
L’équipe d’intervention identifie, gère et élimine les cybermenaces, et met en œuvre le plan de reprise après sinistre, effectue la restauration des données et assure le statu quo. Bien sûr, il y aura des personnes clés ailleurs dans l’entreprise qui devront également faire partie de l’équipe, bien qu’elles n’auront pas de rôle actif lors d’un incident.
Cela inclut l’équipe de direction, le service marketing ou de presse et les RH si un membre du personnel a joué un rôle dans le problème. Il peut également s’agir d’une personne du service juridique ou d’un cabinet d’avocats extérieur, selon la nature de la violation.
Si vous avez des questions sur la sauvegarde des données et la reprise après sinistre ou si vous avez des problèmes de sécurité informatique, vous pouvez nous appeler ou télécharger notre modèle de plan de continuité des activités GRATUIT.