Amélioration du Processus de gestion des incidents de L’ANSI

Chapitre 1 : Bonnes pratiques

de gestion des incidents

La gestion des incidents a pour objectif le rétablissement rapide du service interrompu : il s’agit d’une
action réactive à un incident.

Section 1 : La notion d’incident

La notion d’incident est très large et couvre des domaines variées, incident technique, incident
fonctionnel, incident social, incident de sécurité, incident de communication, incident de paiement,
incident financier, etc.
D’une manière générale, un incident peut être définie comme un évènement causant des dommages
ou susceptible de le faire à des personnes ou à des organisations.

1. Définition d’un incident utilisé dans le domaine des systèmes d’information :

Un incident lié à la sécurité de l’information est indiqué par un ou plusieurs événement(s) de
sécurité de l’information indésirable(s) ou inattendu(s) présentant une probabilité forte de
compromettre les opérations liées à l’activité de l’organisme. Son impact est généralement
lié aux critères D-I-C (Disponibilité, Intégrité et Confidentialité).

2. Autres définition d’un incident :

2.1 Selon COBIT :

Tout évènement ne faisant pas partie du fonctionnement normal d’un service et qui cause, ou peut
causer, une interruption ou une réduction de la qualité de ce service.
2.2 Selon ITIL :

Tout évènement ne faisant pas partie du fonctionnement standard d’un service et qui cause, ou peut
causer, une interruption ou une diminution de la qualité de ce service
2.3 Selon l’ISO 27000 (Sécurité de l’information) :
Un ou plusieurs évènements intéressant la sécurité de l’information, indésirable(s) ou inattendu(s)
présentant une probabilité forte de compromettre les opérations liées à l’activité de l’organisme et
de menacer la sécurité de l’information.

1
Amélioration du Processus de gestion des incidents de L’ANSI

3. Concepts de base :
3.1 Solution de contournement (workaround) : Une solution visant à réduire ou éliminer
l’impact d’un incident pour lequel une résolution complète n’est pas encore disponible.

3.2 Escalade fonctionnelle : L‘escalade fonctionnelle consiste à transférer un incident à

une ressource plus spécialisée ou un groupe de support possédant un plus haut degré
d’expertise.

3.3 Escalade hiérarchique : L‘escalade hiérarchique consiste à informer ou impliquer les

niveaux plus seniors de gestion (chef d’équipe ou manager) afin d’aider dans les
activités de résolution.
3 .4 CIRT : De nos jours, un rôle important est accordé aux centres d’alerte et de réaction
aux attaques informatiques (CIRT pour Computer Security Incident Response Team).
Cela est dû à l’augmentation des attaques informatiques sur internet.
3.5 Incident majeur : Un incident majeur provoque une interruption significative d’un
service.

2
Amélioration du Processus de gestion des incidents de L’ANSI

3
Amélioration du Processus de gestion des incidents de L’ANSI

Section 3 : Exemples d’incidents informatiques

1. Spywares
Les Spywares ou Espiogiciels permettent de connaître votre activité sur l'ordinateur infecté. On y
retrouve deux grandes familles : Les Keyloggeurs et les Adwares.

2. Keyloggeurs

Les "Enregistreurs de touches" stockent dans un fichier toutes les touches que vous frappez sur le
clavier. Le fichier en question, souvent crypté, est ensuite envoyé à ou rapatrié par la personne
malveillante qui a installé le dispositif.

3. Adware

Cette famille n'est généralement par très agressive. Elle se contente de modifier la page de
démarrage de votre navigateur internet, ou d'installer un plug-in de recherche sur Internet. Son but ?
Vous faire venir sur un site web, vous montrer de la publicité (ce qui rémunère l'auteur de
l'Adware), et éventuellement de vous voler des informations concernant votre vie privée (comme
par exemple connaître les sites que vous visitez le plus souvent ou les mots clés de recherche que
vous utilisez).

4. Dialers

Un Dialer est un programme qui est capable d'établir, à votre insu, une connexion avec votre
modem. Ce type de malware compose donc un numéro de téléphone surtaxé (cas d'un modem
analogique) ou établit une connexion vers un site web déterminé (cas d'un modem adsl). Dans les
deux cas, le seul but de ce malware est de rémunérer son auteur au travers les communications
téléphoniques que la victime paient sans le savoir.

5. Downloaders

Ce malware se présente en général sous la forme d'un petit exécutable. Une fois exécuté sur votre
machine celui-ci va se connecter sur un site web, FTP, IRC, etc. De ce site, il va télécharger un
autre programme, en général beaucoup plus agressif, tel un Ver ou un Rootkit.

6. Virus

Un virus est un programme qui s'auto-reproduit en infectant d'autres programmes. Très populaires
sous MS-DOS et Windows 3.1, ils sont en nette perte de vitesse comparés aux autres malwares.

4
Amélioration du Processus de gestion des incidents de L’ANSI

7. Vers

Ceux-ci, plus faciles à programmer qu'un virus, utilisent Internet sous toutes ses formes pour se
propager. Ils utilisent des supports comme les mails, les sites web, les serveurs FTP, mais aussi le
protocole NetBIOS, etc...

8. Les chevaux de Troie (Trojan) et portes dérobées (Backdoor)

Ces programmes n'ont qu'un seul but : faire profiter à un tiers les ressources de votre ordinateur.
Comme par exemple, donner un Shell ou manipuler les périphériques.

9. Malware en fichiers BAT (Windows) ou Shell (Unix/Linux)

Plusieurs millions de malwares sont ainsi recensés. La plupart affectent le monde Windows, mais la
majorité des malwares récents sont en fait une combinaison des différentes familles.

5
Amélioration du Processus de gestion des incidents de L’ANSI

Section 2 : Bonnes pratiques de gestion des

incidents

Bonne pratique 1 : COBIT5

10. Présentation de COBIT 5

COBIT5 est un référentiel pour la gouvernance et la gestion des technologies d’information (TI) de
l’entreprise.

Le cadre de COBIT 5 comprend des orientations détaillées sur les facilitateurs pour la gouvernance
et la gestion des TI de l’entreprise.

COBIT 5 définit un ensemble de facilitateurs pour appuyer la mise en œuvre d’un système complet
de gouvernance et de gestion pour les TI de l’entreprise. Au sens large, on entend par facilitateur
tout ce qui peut aider à atteindre les objectifs de l’entreprise.

Le référentiel de COBIT 5 définit sept catégories de facilitateurs :

 Principes, politiques et référentiels

 Processus
 Structures organisationnelles
 Culture, éthique et comportement
 Information
 Services, infrastructures et applications
 Personnel, aptitudes et compétences

COBIT 5 inclut un modèle de référence de processus qui définit et décrit en détail un certain
nombre de processus de gouvernance et de gestion. Ce modèle de référence représente tous les
processus liés aux activités des TI que l’on trouve habituellement dans une entreprise.

6
Amélioration du Processus de gestion des incidents de L’ANSI

Le modèle de référence de processus COBIT5 décrit le processus de gestion des incidents. Sa

référence est LS002 et il est nommé « Gérer les demandes de services et les incidents.

11. Description et objectifs du processus LSS02

Les objectifs du processus LSS02 sont :

 Fournir une réponse rapide et efficace aux demandes des utilisateurs et une résolution
de tous les types d'incidents.
 Restaurer le service normal ;
 Enregistrer et répondre aux demandes des utilisateurs ;
 enregistrer, rechercher et diagnostiquer les incidents, les transmettre aux échelons
supérieurs et les régler.
 Accroître la productivité et minimiser les perturbations par la résolution rapide des
requêtes des utilisateurs et des incidents.

7
Amélioration du Processus de gestion des incidents de L’ANSI

12. Pratiques de gestion clés de LSS02:

Les pratiques de gouvernance et de gestion fournissent un ensemble complet d’exigences de
haut niveau pour une gouvernance et une gestion efficaces et pratiques des TI de l’entreprise.

Les pratiques de gestion clés de LSS02 sont :

 Pratique de gestion 1 : Définir les schémas de classification des incidents

 Pratique de gestion 2 : Enregistrer, classer et prioriser les incidents
 Pratique de gestion 3 :Vérifier, approuver et répondre aux demandes de service
 Pratique de gestion 4 :Rechercher, diagnostiquer et assigner les incidents
 Pratique de gestion 5 :Résoudre les incidents et revenir aux opérations normales
 Pratique de gestion 6 :Fermer les incidents
 Pratique de gestion 7 :Tracer les changements de statuts et produire des rapports

13. Activités LSS02 :

Les activités sont les principales mesures prises pour l’exploitation du processus LSS02. Elles sont
définies comme étant « des orientations pour mettre en œuvre des pratiques de gestion clés assurant
la réussite de la gouvernance et de la gestion des TI de l’entreprise. Ainsi nous trouvons des
activités à mettre en œuvres pour chaque pratique de gestion clés.

Activités de la pratique de gestion 1 : Définir les schémas de classification des incidents

 Définir les critères de classification (types et catégories)

 Définir les critères de priorisation des incidents (Impacts vs Urgence)
 Définir les règles d’escalade fonctionnelle
 Définir les règles d’escalade hiérarchique
 Définir des procédures spécifiques pour les traitements des incidents majeurs
 Définir les procédures spécifiques pour le traitement des incidents de sécurité
 Définir l’architecture de la base de connaissances

Activités de la pratique de gestion 2 : Enregistrer, classer et prioriser les incidents

 Journaliser les incidents
 Classifier les incidents (types et catégories)
 Prioriser les incidents selon la grille de priorisation (P1 à P5 en général : Impact
Vs Urgence)

8
Amélioration du Processus de gestion des incidents de L’ANSI

Activités de la pratique de gestion 3 : Vérifier, approuver et répondre aux demandes de

service
 Vérifier les droits associés à la demande de service en utilisant, lorsque
cela est possible.
 Obtenir l'approbation financière et fonctionnelle ou l'autorisation, si
nécessaire, ou l'approbation prédéfinie dans le cas des changements
standard.
 Répondre aux demandes en utilisant les procédures correspondantes, en
utilisant, si possible, des automatisations et modèles de demande prédéfinis
pour les demandes

Activités de la pratique de gestion 4 : Rechercher, diagnostiquer et assigner les incidents

 Préalable –Établir les niveaux de service (SLO –Service Level Objective)

 Baliser les symptômes de l’incident
 Diagnostiquer et rechercher une solution de contournement à l’incident
 Assigner l’incident à des groupes de support appropriés selon les paramètres du
schéma de classification (N1/ N2/ N3 ou expert/fournisseur).
 Prendre en considération les niveaux de service opérationnels entre N1 à N3. Ex :
le délai de traitement entre N1 et N2

Activités de la pratique de gestion 5 : Résoudre les incidents et revenir aux opérations

normales

 Trouver la solution et appliquer cette dernière afin de restaurer le service

 Effectuer les actions de récupération, au besoin
 Documenter les solutions de contournement ou la solution permanente
 Alimenter la base de connaissances

Activités de la pratique de gestion 6 : Fermer les incidents

 Vérifier la satisfaction de l’utilisateur

 Donner un délai à l’utilisateur pour réagir
 Fermer l’incident de façon définitive (clôture)

Activités de la pratique de gestion 7 : Tracer les changements de statuts et produire des

rapports

 Suivre et tracer les escalades et résolutions d'incidents ainsi que les procédures de
traitement des demandes permettant de conduire à leur résolution.

9
Amélioration du Processus de gestion des incidents de L’ANSI

 Identifier les parties prenantes à l'information et leurs besoins de données ou de

rapports. Identifier la fréquence et le média du reporting.
 Analyser les incidents et demandes de service par catégories et types pour établir
les tendances et identifier les modèles de problèmes récurrents, les causes de non-
respect des SLA ou les inefficacités. Utiliser l'information en donnée d'entrée de
la planification de l'amélioration continue.
 Produire et distribuer les rapports en temps et en heure.

10
Amélioration du Processus de gestion des incidents de L’ANSI

Bonne pratique 2 : ITIL

1. Présentation de ITIL :
ITIL (« Information Technology Infrastructure Library » pour « Bibliothèque pour
l'infrastructure des technologies de l'information ») est un ensemble d'ouvrages recensant les
bonnes pratiques (« best practices ») du management du système d'information. Rédigée à
l'origine par des experts de l'Office public britannique du Commerce (OGC), la bibliothèque
ITIL a fait intervenir à partir de sa version 3 des experts issus de plusieurs entreprises de
services telles qu'Accenture, Ernst & Young, Hewlett-Packard, Deloitte, BearingPoint, le
Groupe CGI ou PriceWaterhouseCoopers.

L'adoption des bonnes pratiques de l'ITIL par une entreprise permet d'assurer à ses clients
(internes comme externes) un service répondant à des normes de qualité préétablies au
niveau international. ITIL est à la base de la norme BS15000 (première norme de Gestion de
Services Informatiques formelle et internationale) un label de qualité proche des normes
ISO.

ITIL permet, grâce à une approche par processus clairement définie et contrôlée, d'améliorer
la qualité des SI et de l'assistance aux utilisateurs en créant notamment la fonction (au sens «
département de l'entreprise ») de Centre de services ou « Service Desk » (extension du «
help desk ») qui centralise et administre l'ensemble de la gestion des systèmes
d'informations. ITIL est finalement une sorte de « règlement intérieur » du département
informatique des entreprises qui l'adoptent.

Les bénéfices pour l'entreprise sont une meilleure traçabilité de l'ensemble des actions du
département informatique. Ce suivi amélioré permet d'optimiser en permanence les
processus des services pour atteindre un niveau de qualité maximum de satisfaction des
clients.

11
Amélioration du Processus de gestion des incidents de L’ANSI

2. Processus ITIL V2 :
2. 1 Processus de support de service (Service support)
 Service Desk

ITIL est centré client, cette fonction est essentielle dans la démarche

 Incident Management (Gestion des incidents)

Revenir au niveau de service initial (ou contractuel) en cas d'incident

 Problem Management (Gestion des problèmes)

Résolution des problèmes à la racine dans une démarche de prévention

 Change Management (Gestion des changements)

Management des évolutions en s'assurant que les procédures sont bien suivies et en
gardant en ligne de mire la Qualité de Services

 Release Management (Gestion des mises en production)

Contrôle qualité des nouvelles versions avant mise en production. Anticipation des
impacts potentiels avec l'existant

 Configuration Management (Gestion des configurations)

Suivi et gestion de toutes les configurations (hardware et Software) du système (CI),

gestion du référentiel de configuration (Configuration Management DataBase)

2 Processus de fourniture de service (Service delivery)

 Capacity Management (Gestion de la capacité)
Gestion au plus précis des capacités pour un service optimum
 Availability Management (Gestion de la disponibilité)
Assurer un service continu avec une anticipation des incidents et des reprises après incidents
en temps réduits.
 IT Continuity Management (Gestion de la continuité de services)
Identification et management des niveaux de services rendus

12
Amélioration du Processus de gestion des incidents de L’ANSI

IT Financial Management (Gestion financière)

Suivi précis des coûts des services informatiques, gestion des budgets, négociation de
refacturation
Service Level Management (Gestion des niveaux de service)
Identification et suivi des niveaux de services, implication des fournisseurs, définition d'une
métrique consensuelle

3. Processus de gestion des incidents selon ITIL :

La bonne pratique ITIL décompose le processus de gestion des incidents en six pratiques :
1. La détection et l’enregistrement des incidents
2. La classification et l’aide initiale
3. L’enquête et le diagnostic
4. La résolution et la restauration
5. La clôture de l’incident
6. La propriété, le pilotage, le suivi et la communication

4. Activités clés de la gestion des incidents selon ITIL :

 Identification : détecter et/ou reporter un incident
 Enregistrement : les incidents sont enregistrés dans le système de gestion des
incidents
 Classement : les incidents sont classés selon la catégorie
 Priorisation : l’incident est classé par ordre de priorité, sur la base de son impact et
de son urgence, pour une meilleure utilisation des ressources et du temps disponible
par l’équipe de support
 Escalade : transférer un Incident d’un niveau au niveau supérieur
 Diagnostic : révélation du symptôme complet de l’incident
 Résolution et rétablissement : une fois que la solution est trouvée et que la
correction est apportée alors l’incident est résolu ; La solution peut alors être ajoutée
à la base des erreurs connues dans l'optique de résoudre plus rapidement un incident
similaire dans le futur.
 Clôture de l’incident : l’enregistrement de l’incident dans le système de gestion du
management est clôturé en appliquant le statut « terminé » à celui-ci.

13
Amélioration du Processus de gestion des incidents de L’ANSI

5. Exemple de processus de gestion des incidents:

14
Amélioration du Processus de gestion des incidents de L’ANSI

Bonne pratique 3 : ISO 27035

1. Présentation de la norme ISO27035

La norme ISO 27035 est un guide qui explicite en détail comme organiser le processus de
gestion des incidents de sécurité au sein d’une organisation.
Elle traite l'ensemble du cycle de vie d'un incident (détection, qualification, escalade, recueil
des preuves, traitement, mise en œuvre des mesures de sécurité adaptées, etc...) et aide,
grâce au retour d’expérience, à améliorer les processus de sécurité utilisés et la gestion des
incidents.
Elle aide à mettre en place progressivement un système cohérent, permettant de répondre de
manière efficace aux incidents de sécurité, et en prenant bien en compte les aspects de
collecte de preuve nécessaires à toute action réglementaire ou juridique.

2. Processus de la gestion d’incident :

La norme décompose le processus de gestion des incidents en cinq pratiques :
1. Planification et préparation
2. Détection et signalement
3. Evaluation et décision
4. Réponses
5. Post-incident – Archiver et tirer les leçons apprises

3. Activités :
3.1 Planifier et préparer :
 Elaboration de la politique de gestion des incidents de sécurité de l'information et
établissement de l’engagement de la haute direction
 Établissement de l’équipe de réponse aux incidents (IRT)
 Réalisation des séances de sensibilisation à la gestion des incidents de sécurité de
l'information et formation.
 Test de gestion des incidents de sécurité de l'information
 Soutien technique et autre.

15
Amélioration du Processus de gestion des incidents de L’ANSI

3.2 Détection et signalement :

 Recueillir des informations sur la situation pour l'environnement local
 Surveillance des systèmes et réseaux
 Signaler des événements de sécurité de l'information
 La détection et l'alerte d'activités anormales, suspectes ou malveillantes

3.3 Evaluation et décision :

 Évaluation de la sécurité de l'information et la détermination de l'incident de sécurité de
l’information

3.4 Réponses :
 Déterminer si les incidents de sécurité de l'information sont contrôlés par une
investigation
 Récupération de l'incident de sécurité de l'information
 Résolution et fermeture des incidents de sécurité de l'information
 Le confinement et l'éradication des incidents de sécurité de l'information

3.5 Post-incident – Archiver et tirer les leçons apprises

 Maintenir une surveillance sur le système qui a été attaqué

 Rédiger un rapport global décrivant l’incident
 identifier les outils manquants
 Identifier les problèmes globaux à traiter au niveau organisation
 Communiquer : utilisateurs, partenaires, autres (presse)…

16
Amélioration du Processus de gestion des incidents de L’ANSI

4. Exemple de processus de gestion d’incident selon ISO27035

17
Amélioration du Processus de gestion des incidents de L’ANSI

18