CIS Controls v8.1 IG1 minimum

Contrôle 17 — Gestion et réponse aux incidents

Établir et maintenir un programme de gestion des incidents pour détecter, contenir, éradiquer et récupérer des cyberincidents. Un plan testé réduit considérablement l'impact d'une brèche.

Pourquoi ce contrôle est critique ?

Risque sans ce contrôle : Sans plan de réponse aux incidents, une PME victime d'un ransomware perd en moyenne 3 à 4 semaines de productivité pour rétablir ses systèmes. Un plan testé peut ramener ce délai à quelques jours.

La gestion des incidents est la différence entre une crise maîtrisée et un désastre opérationnel. Sous la Loi 25, les organisations québécoises doivent signaler les incidents de confidentialité à la CAI dans les 72h suivant leur découverte. Sans plan, cette obligation est quasi impossible à respecter.

Procédures & outils recommandés

Documenter un plan de réponse aux incidents avec : rôles et responsabilités, contacts d'urgence (prestataire IT, avocat, assurance cyber), procédures de confinement et de communication. Tester le plan par un exercice tabletop annuel.

Outils adaptés aux PME
  • CISA Incident Response Playbooks (gratuit) — modèles de procédures
  • TheHive (open source) — plateforme de gestion d'incidents
  • MITRE ATT&CK Navigator (gratuit) — cartographie des tactiques
  • PagerDuty — alertes et escalades d'incidents
  • Cyber.gc.ca — ressources CCCS pour les organisations canadiennes

Tableau des Safeguards

#Action (Safeguard)IGClasse
17.1Établir et tenir à jour un programme de gestion des incidents avec rôles, responsabilités et procédures.IG1N/A
17.2Définir les contacts et procédures de signalement des incidents (internes et externes : CAI, police, assurance).IG1N/A
17.3Effectuer des exercices de simulation d'incident (tabletop) au minimum une fois par an.IG1N/A
17.4Établir et maintenir une équipe de réponse aux incidents (CSIRT/CIRT) ou un retainer avec un prestataire.IG2N/A
17.5Inclure des techniques de forensique numérique dans les procédures de réponse.IG2N/A
17.6Conduire des revues post-incident pour identifier les leçons apprises et améliorer les contrôles.IG2N/A
17.7Établir et maintenir un programme de bug bounty ou de divulgation responsable pour les applications exposées.IG2Applications

Application pour les PME québécoises

Plan IG1 minimal : un document d'une page avec (1) qui appeler si l'IT est compromis, (2) comment isoler un appareil infecté du réseau, (3) comment signaler à la CAI sous 72h. Tester ce plan une fois par an avec un scénario ransomware fictif (tabletop exercise de 2h).

Lien Loi 25 : La Loi 25 exige de signaler tout incident de confidentialité à la CAI dans les 72h s'il présente un risque sérieux (art. 3.5). Le Safeguard 17.2 couvre directement cette obligation. Sans plan, respecter ce délai est quasi impossible.

Quiz de validation — 5 questions

1. Dans quel délai la Loi 25 impose-t-elle de notifier la CAI d'un incident ?

2. Qu'est-ce qu'un exercice 'tabletop' ?

3. Combien de Safeguards IG1 contient le Contrôle 17 ?

4. Que doit contenir un plan de réponse aux incidents minimal ?

5. Quelle organisation gouvernementale canadienne fournit des ressources gratuites de réponse aux incidents ?

Voir aussi

C8 — JournauxC11 — SauvegardesLoi 25 — Incidents