Politique et procédure de gestion des incidents de sécurité et des violations de données
Politique et procédure de gestion des incidents de sécurité et des violations de données
14 avril 2025
Plan de gestion des incidents
Introduction
Ce plan décrit les procédures d'identification, de réaction, d'atténuation et de récupération des incidents de cybersécurité qui affectent la vie des citoyens. monecopote.com. L'objectif est d'assurer le bon fonctionnement de la plateforme dans le respect des lois et règlements en vigueur et de la protéger contre les cybermenaces.
L'association Mon Eco Pote s'engage à faire preuve de la diligence et de l'attention nécessaires pour (i) prendre des mesures préventives contre les cyberincidents, (ii) les traiter de manière appropriée lorsqu'ils se produisent, (iii) fournir des informations au personnel et aux autres parties concernées (utilisateurs, vendeurs, clients, partenaires, contractants, fournisseurs, autorités) si nécessaire, et (iv) rétablir l'accès et les opérations dans les plus brefs délais.
Catégories d'incidents
Les menaces potentielles comprennent :
Attaques DDoS - Perturbation de la disponibilité des sites web.
Infections par des logiciels malveillants - Injection d'un code malveillant dans la plate-forme.
Accès non autorisé - Violation de données ou prise de contrôle de comptes.
Fraude au paiement - Fausses transactions affectant les utilisateurs.
Phishing/Social Engineering - Attaques contre les administrateurs ou les utilisateurs.
Mesures préventives à prendre en compte dans ce contexte comprennent :
Audits de sécurité réguliers - Effectuer des tests de pénétration périodiques.
Contrôles d'accès stricts - Utiliser l'accès multifonctionnel et les autorisations basées sur les rôles.
Cryptage des données - Sécuriser les informations sensibles.
Web Application Firewall (WAF) - Protection contre les attaques.
Sauvegarde et reprise après sinistre - Veiller à ce que les sauvegardes quotidiennes soient stockées en toute sécurité.
Détection et signalement des incidents se fait comme suit :
Surveillance du trafic et des journaux par un prestataire de services externe
Signalement par l'utilisateur au moyen d'un formulaire de contact permettant de signaler des activités suspectes
Alertes automatiques en cas de trafic anormal ou de tentatives de connexion
Étapes de la réponse à un incident
Lorsqu'un incident est détecté, il est essentiel de suivre une approche structurée pour contenir et atténuer efficacement la menace. Le processus de réponse en cinq phases suivant sera mis en œuvre :
Détection initiale par la surveillance du système et l'examen des rapports des utilisateurs sur les activités suspectes (par exemple, connexions non autorisées, transactions frauduleuses).
Consigner et analyser les données en rassemblant les journaux des systèmes concernés, y compris les journaux d'accès, les journaux d'erreurs et le trafic réseau, et en identifiant les vecteurs d'attaque (par exemple, hameçonnage, logiciels malveillants, injection SQL).
Classer l'incident : Faible gravité pour les problèmes de sécurité mineurs (par exemple, tentatives de connexion infructueuses) ; gravité moyenne pour les incidents ayant un impact potentiel (par exemple, infection par un logiciel malveillant à petite échelle) ; gravité élevée pour les menaces actives affectant les utilisateurs ou les activités de l'entreprise ; gravité critique pour les violations de sécurité majeures (par exemple, fuite de données, attaque par un logiciel rançonneur).
Activer l'équipe d'intervention en informant le responsable de la réponse à l'incident et la sécurité informatique.
2. Confinement (jusqu'à llimiter la propagation et les dégâts de l'incident tout en préservant les preuves médico-légales.
Actions à court terme :
Confinement du réseau (bloquer les adresses IP malveillantes ou restreindre l'accès en fonction de la géographie si nécessaire ; isoler les systèmes affectés du réseau principal).
Confinement des comptes (désactiver les comptes utilisateur/administrateur compromis ; imposer la réinitialisation des mots de passe pour les utilisateurs concernés)
Confinement des applications (désactiver temporairement les fonctionnalités du site web concerné (par exemple, passerelle de paiement, traitement des commandes) ; mettre à jour les règles du pare-feu pour bloquer le trafic malveillant.
Actions à long terme :
Sécuriser les sauvegardes (vérifier que les sauvegardes récentes ne sont pas compromises ; si nécessaire, transférer le trafic vers un serveur de sauvegarde).
Conserver les preuves (faire des copies des journaux du système affecté pour une analyse criminalistique ; documenter toutes les actions prises pendant le confinement).
3. Eradication et récupération (pour éliminer la cause première de l'incident et rétablir les opérations normales).
Étapes de l'éradication :
Identifier le vecteur d'attaque (analyser les journaux, les signatures de logiciels malveillants et les schémas d'attaque ; déterminer si une erreur humaine, une vulnérabilité du système ou une attaque externe en est la cause).
Corriger les vulnérabilités (appliquer les mises à jour logicielles, les correctifs de sécurité et les corrections de configuration ; renforcer le pare-feu, l'authentification et la sécurité de l'API).
Suppression des logiciels malveillants (exécution d'analyses antivirus/logiciels malveillants sur les systèmes concernés ; suppression ou mise en quarantaine des fichiers infectés)
Les étapes du rétablissement:
Services de restauration (réinstallation des applications concernées si nécessaire ; restauration des données à partir des sauvegardes, en veillant à ce qu'il n'y ait pas de réinfection par des logiciels malveillants)
Surveiller les menaces résiduelles (effectuer des tests de pénétration après la récupération, augmenter la surveillance des journaux pour détecter les comportements inhabituels).
4. Communication et notification (pour assurer une communication transparente et en temps utile avec les parties prenantes)
Communication interne (informer la direction, les équipes informatiques et juridiques ; organiser une réunion de mise à jour avec l'équipe d'intervention)
Communication externe (informer les utilisateurs concernés ; conseiller aux utilisateurs de réinitialiser leurs mots de passe et d'activer le 2FA ; si la loi l'exige, signaler les violations aux autorités chargées de la protection des données ; informer les fournisseurs tiers si leurs services ont été affectés).
5. Examen post-incident et enseignements tirés (pour améliorer les défenses de sécurité afin de prévenir de futurs incidents)
Actions:
Procéder à un examen de l'incident (analyser les journaux, les vecteurs d'attaque et l'efficacité de la réponse ; identifier les lacunes dans les processus de détection, d'endiguement et de récupération).
Documenter les résultats (créer un rapport détaillé comprenant une analyse des causes profondes et des mesures de réponse ; recommander des améliorations pour les politiques de sécurité).
Renforcer les contrôles de sécurité (mettre à jour les règles des pare-feu, les paramètres IDS/IPS et les contrôles d'accès ; mettre en place une formation supplémentaire pour le personnel afin qu'il reconnaisse les cyber-menaces).
Équipe de contact et de réponse
Responsable de la réponse aux incidents : Gaëtan Bio
Contact sécurité informatique :Gaëtan Bio
Contact juridique : Gaëtan Bio
FR 
EN 
IT 
DE