Être d'astreinte est déjà une responsabilité exigeante et parfois impitoyable. Si vous travaillez dans un secteur réglementé, les exigences de la gestion des incidents pour votre organisation seront probablement encore plus importantes et moins tolérantes. Dans cet article, nous aborderons certains principes fondamentaux de la gestion des incidents liés aux logiciels. gestion des incidents dans les secteurs réglementés.

Incidents, réglementations et conformité

Avant toute chose, examinons brièvement ce qu'est un incident logiciel dans un secteur réglementé. Si vous demandiez à la plupart des développeurs de logiciels ou des informaticiens de définir ce qu'est un « incident », ils l'évoqueraient probablement en termes d'indisponibilité du service ou de temps de réponse insuffisant des applications. Un autre facteur important pourrait être… sécurité — cambriolages, vols de données, défaut de protection des données sensibles, etc.

Dans les secteurs réglementés, le terme « incident » a une portée bien plus large que les simples interruptions de service et les problèmes de sécurité ; il peut désigner tout événement mettant l’organisation, ses produits ou ses services en situation de non-conformité réglementaire. Pour une entreprise de distribution d’eau, cela pourrait être la présence de bactéries E. coli dans l’eau potable. Pour une banque, il pourrait s’agir de la perte de données financières de clients. Pour un hôpital, il pourrait s’agir de la défaillance de systèmes vitaux. Les incidents impliquant la sécurité publique, la perte de données cruciales ou l’interruption de services essentiels, lorsque la conformité réglementaire est en jeu, peuvent être au moins aussi importants que les interruptions de service ordinaires.

Conformité — Quels sont les enjeux ?

L'un des enjeux fondamentaux pour toute organisation opérant dans un secteur réglementé est la nécessité de se conformer à la réglementation en vigueur. Selon le secteur et la nature de l'incident, le non-respect de cette réglementation peut entraîner :

• Amendes, frais ou autres sanctions civiles ou administratives
• Poursuites judiciaires ou autres actions en justice intentées par des organisations ou des personnes touchées par l'incident
• Suspension ou perte des licences ou autres certifications requises pour travailler dans le secteur
• Atteinte à la réputation au sein du secteur ou aux yeux du grand public
• Dans les cas extrêmes, des poursuites pénales, une condamnation et une peine d'emprisonnement pour les personnes responsables.

Autrement dit, les enjeux peuvent être très importants ; vous ne souhaitez pas vous retrouver dans la situation d'avoir à expliquer vos procédures de gestion des incidents à un juge.

Pratiques nécessaires et optimales

Comment gérer les incidents dans des conditions aussi strictes ? La meilleure gestion des incidents est la prévention : il s’agit de traiter tous les incidents potentiels avant qu’ils ne posent des problèmes de conformité. Cela n’est pas toujours possible en pratique, d’où l’importance de disposer de plans de réponse aux incidents qui répondent aux exigences légales et aux impératifs pratiques. Pour ce faire, il est essentiel de prendre en compte les facteurs suivants :

• Exigences et directives réglementaires. Respectez toujours les exigences des organismes de réglementation en matière de gestion, de prévention et d'intervention en cas d'incident. Ces exigences varient selon le secteur d'activité et l'organisme concerné, mais elles comprennent souvent une procédure formelle. plan d'intervention en cas d'incident , un Réponse aux incidents informatiques équipe et documentation formelle des procédures et actions de réponse aux incidents.

Les organisations opérant en vertu de la loi HIPAA (Health Insurance Portability and Accountability Act) HIPAA ) ou la norme de sécurité des données de l'industrie des cartes de paiement ( PCI DSS ), par exemple, doit disposer d'un plan de réponse aux incidents de sécurité documenté et d'une équipe d'intervention ; la gestion fédérale de la sécurité de l'information Loi (FISMA) Ce document inclut également des directives détaillées sur la gestion des incidents et les interventions des agences fédérales. Si vous ne connaissez pas encore les agences et les exigences auxquelles votre organisation est soumise, assurez-vous de les respecter scrupuleusement.

• Lignes directrices et meilleures pratiques de l'industrie. Ces pratiques varient également selon le secteur d'activité. Une organisation professionnelle sectorielle est souvent en mesure de fournir un ensemble de recommandations.

S'il n'existe pas de directives spécifiques pour votre secteur d'activité, Documents relatifs aux critères communs et à la méthode d'évaluation commune fournir un cadre utile pour comprendre les questions générales de sécurité informatique et de sécurité publique.

Considérations générales

Il existe certaines considérations fondamentales qui s'appliquent à tous les secteurs réglementés et à tous les cadres réglementaires :

Identification

Identifiez tous les systèmes sensibles (applications, réseaux, services, etc.) dont une panne ou un dysfonctionnement pourrait entraîner, directement ou indirectement, un problème de conformité. Une base de données contenant les dossiers médicaux des clients, par exemple, ou un programme gérant la distribution d'électricité pour un service public, relèvent probablement de cette catégorie. Le logiciel de comptabilité de votre entreprise, aussi important soit-il, n'est probablement pas considéré comme un système sensible dans ce contexte.

Prévention

Votre première ligne de défense en matière de gestion des incidents consiste à empêcher toute défaillance des systèmes que vous avez identifiés comme sensibles. Cela signifie que votre équipe de réponse aux incidents doit être alertée non seulement de toute défaillance de ces systèmes, mais aussi de toute situation susceptible d'y conduire. Pour les systèmes critiques en matière de sécurité, il peut s'agir de toute activité suggérant une tentative d'intrusion ou d'une dégradation des performances du logiciel de sécurité lui-même. Pour les systèmes où la sécurité publique est en jeu, cela peut inclure tout comportement anormal d'un indicateur clé. Bien entendu, la prévention comprend des sauvegardes complètes des données et, si nécessaire, des systèmes de sauvegarde complets en veille.

Détecter les problèmes avant qu'ils n'entraînent des manquements à la conformité réglementaire exige une équipe de réponse aux incidents parfaitement synchronisée et disposant de toutes les informations nécessaires. Dans ces situations, chaque seconde compte ! Il est donc essentiel de définir à l'avance les intervenants, d'établir des procédures d'escalade claires et de centraliser les données issues de différents systèmes afin d'obtenir une vision unifiée du problème.

Priorité

Vous devrez en effet ajouter un niveau de priorité à votre système de gestion des incidents, en accordant la priorité absolue aux incidents liés à la conformité. Ainsi, si vos systèmes de comptabilité et de gestion des stocks tombent en panne et que, simultanément, votre base de données de dossiers médicaux présente des dysfonctionnements mineurs, votre personnel comptable et d'entrepôt pourrait être contraint de rester sur place jusqu'à l'intervention de votre équipe d'intervention d'urgence, si vous ne disposez pas d'un effectif informatique suffisant pour gérer l'ensemble des incidents. De plus, en cas d'enjeu de sécurité publique, votre équipe d'intervention devra être prête à assurer la continuité des systèmes critiques immédiatement après une catastrophe majeure.

Tout cela peut paraître intimidant, et coûteux également. Mais le coût d'un incident majeur Ce risque peut être bien plus élevé, notamment si un organisme de réglementation ou un juge constate que votre entreprise n'a pas respecté la réglementation de manière adéquate. En définitive, pour vous et votre entreprise, la gestion préventive des incidents constitue de loin la meilleure protection.

Si vous recherchez une ressource pour améliorer vos processus et flux de travail de réponse aux incidents, consultez notre solution open source. documentation relative à la réponse aux incidents ainsi que notre Présentation des solutions de services financiers Voici un exemple de la manière dont PagerDuty aide les secteurs réglementés.