Comment réagir à un incident ?
Dernière point, la réaction. J’englobe ici la réponse immédiate à un incident et la réponse a posteriori suite à la découverte d’une anomalie. Cette dernière implique une analyse préalable des traces : les logs, les vidéos… Il vous faut un plan ! Combien de temps allez-vous conserver ces traces, qui sera habilité à les exploiter, comment les exploiter au mieux ?
Un examen plus ou moins minutieux, peut-être en partie automatisé, vous conduira à déceler une activité suspecte ou à mettre le doigt sur un risque manifeste. Pour illustrer cela on peut penser à des accès en dehors des heures normales, des accès répétés à des zones habituellement sans trop d’activité, ou encore à des accès étrangement longs.
Anomalie avérée ou simple suspicion, il vous faudra agir en conséquence sur la base des éléments rassemblés. Prévenir une autorité interne et/ou externe, convoquer le « présumé coupable », revoir votre système pour l’améliorer ? Quoi qu’il en soit, tout doit être parfaitement légal, encadré à l’avance, et associé à la Direction et aux Ressources Humaines.
En fait, nous nous trouvons sur le terrain de la gestion d’incident. Il en va de même pour la réponse « réflexe » à donner à un incident immédiat. Avez-vous déjà pensé à votre réaction à la vue d’une personne « badgeant » sans succès avant de passer le tourniquet derrière quelqu’un d’autre voire de sauter par-dessus ? Vous courrez après, vous prévenez un gardien ?! Et ceci est valable pour la sortie avec quelqu’un qui passe en force avec un sac ou du matériel sous le bras…
D’où l’intérêt de l’anticipation, de la formalisation de procédures, et de la rédaction de fiches réflexe présentant au moins les cas les plus probables.
Pas si simple…
La sécurité physique, ce n’est pas si simple qu’il y paraît. En temps normal, tout semble aller au mieux dans le meilleur des mondes mais vous savez bien que notre monde est justement différent et qu’il faut donc être prêt à toute éventualité.
Si vous réfléchissez à votre cas particulier, si vous anticipez les imprévus, alors vous serez capable de préparer le terrain pour non seulement rentabiliser vos investissements sécuritaires mais aussi minimiser les risques et savoir gérer la plupart des événements.
Une dernière chose : les vérifications à l’entrée de votre société ont été récemment revues ? De deux choses l’une, soit le renforcement des contrôles à l’entrée des grandes entreprises et autres sites industriels est inutile, soit ces contrôles sont insuffisants en temps normal…
D'après un article publié sur itpro.fr, décembre 2015
Par Arnaud Lorgeron, Chef de projets SSI/Réglementation, CS, Arnaud Lorgeron
Après presque dix ans au Ministère de la Défense, il rejoint CS en 2012 pour y mettre à profit son expertise SSI et son expérience des mondes civils et militaires. Il accompagne aussi bien les industriels que les autorités étatiques sur les questions de gouvernance et d’urbanisation de la sécurité
