Catégorisation du traitement des incidents // gestion des risques

mercredi 23 décembre 2009
Franck P.
Sécurité du système d'information
Rennes, France
bonjour

devant mettre en place un système de gestion des incidents de sécurité, j'aurai besoin de catégoriser les actions entreprises pour le traitement de ces incidents telles que :

- réparation immédiate
- solution de contournement
- demande de changement .

En gestion de risques nous avons 4 catégories :
- Réduction du risque,
- transfert du risque,
- acceptation du risque,
- refus du risque

Peux-t'on faire un // entre ces 2 méthodes de traitement et enrichir ainsi la procédure de traitement des incidents ?

Merci de votre retour

Bonnes fêtes.
0
trouve trouvent cette discussion intéressante
dimanche 27 décembre 2009
Dominique Hévin
Manager, Axynergie
Rueil-Malmaison, France
Bonjour,

L'idée de la recherche d'un parallèle entre la gestion des risques et la résolution des incidents de sécurité peut paraitre intéressante, cependant il y a une règle fondamentale qui les différencie notoirement.

La gestion des risques est une processus préventif, celle des changement est un processus curatif. Il en découle inévitablement que la nature de leur catégorisation est de fait dépendante de leur propre nature intrinsèque.

Ainsi par exemple ne pourrons nous jamais avoir d'acceptation ou de refus d'un incident de sécurité comme catégorie de résolution.

Dans les catégories évoquées pour la catégorisation, la résolution immédiate peut être apparentée à une suppression du risque à postériori (donc une mesure qui si elle avait été prise dans le processus de gestion des risques n'aurait pas permis que l'incident se produise). La solution de contournement correspond à la réduction d'un risque ou un transfert du risque puisque la solution définitive reste alors à implémenter. La demande de changement quant à elle, ne résoud pas l'incident sauf à être associée à la réparation immédiate ou au contournement.

A contrario, les catégories de gestion des risques sont applicables à la manière de traiter un incident de sécurité.
La réduction du risque correspond à un traitement partiel de l'incident (par exemple, isolation des éléments concernés par une attaque virale avant tout traitement local curatif)
Le transfert du risque correspond à l'escalade de l'incident vers le groupe de résolution approprié en vue de son traitement dans les meilleurs délais.
L'acceptation du risque correpond à une poursuite de l'activité pendant la résolution de l'incident.
Le refus du risque IMPOSE l'isolation immédiate de toutes les infrastructures potentiellement cible de l'incident afin de les protéger de sa diffusion.

Voilà pourquoi à mon sens faire le parallèle entre les deux processus a certainement du bon au sens de l'alimentation, de l'approfondissement et de l'enrichissement de la réflexion mais pas du traitement de chacun d'eux.

Bien cordialement et joyeuses fêtes de fin d'année à tous

Dominique HEVIN
AXYNERGIE