Être de garde est déjà une responsabilité exigeante et parfois très impitoyable. Cependant, si vous travaillez dans un secteur réglementé, les exigences que la gestion des incidents impose à votre organisation sont susceptibles d'être encore plus grandes et encore moins indulgentes. Dans cet article, nous aborderons certains des principes de base de la gestion des incidents liés aux logiciels. la gestion des incidents dans les secteurs réglementés.

Incidents, réglementations et conformité

Mais tout d’abord, examinons rapidement ce que signifie un incident lié à un logiciel dans un secteur réglementé. Si vous demandiez à la plupart des personnes travaillant dans le développement de logiciels ou dans l’informatique de définir un « incident », elles pourraient en parler en termes de temps d’arrêt ou de temps de réponse médiocre des applications. Un autre facteur important pourrait être sécurité — effractions, vols de données, manquement à la protection des données sensibles, etc.

Mais dans les secteurs réglementés, le terme « incident » a une portée qui va bien au-delà des temps d’arrêt et des problèmes de sécurité ; il peut s’agir de tout ce qui met l’organisation, ses produits ou services en non-conformité avec la réglementation. Pour une compagnie des eaux, cela peut être la présence de bactéries E. Coli dans l’approvisionnement en eau. Pour une banque, cela peut être la perte de données financières des clients. Pour un hôpital, cela peut être la défaillance de systèmes vitaux essentiels. Les incidents impliquant la sécurité publique, la perte de données cruciales ou l’interruption de services clés, lorsque la conformité réglementaire est en jeu, peuvent être au moins aussi importants que ceux impliquant des temps d’arrêt ordinaires.

Conformité : quels sont les enjeux ?

L’un des problèmes les plus fondamentaux pour toute organisation impliquée dans un secteur réglementé est la nécessité de rester en conformité avec les réglementations en vigueur. Selon le secteur et la nature de l’incident, le non-respect des réglementations peut entraîner :

• Amendes, frais ou autres sanctions civiles ou administratives
• Poursuites judiciaires ou autres actions en justice intentées par des organisations ou des personnes touchées par l'incident
• Suspension ou perte des licences ou autres certifications requises pour travailler dans l'industrie
• Perte de réputation au sein de l’industrie ou aux yeux du grand public
• Dans les cas extrêmes, des accusations criminelles, une condamnation et une peine de prison pour les personnes responsables

En d’autres termes, les enjeux peuvent être très élevés ; vous ne voulez pas vous retrouver dans la position d’expliquer vos procédures de gestion des incidents à un juge.

Pratiques nécessaires et meilleures

Comment gérer les incidents dans des conditions aussi strictes ? La meilleure gestion des incidents est la prévention, qui consiste à traiter tous les incidents potentiels avant qu'ils ne deviennent des problèmes de conformité. Cela n'est pas toujours possible dans des conditions réelles. Il est donc important de disposer de plans de réponse aux incidents qui répondent à la fois aux exigences légales et aux nécessités pratiques. Pour ce faire, il est important de prendre en compte les facteurs suivants :

• Exigences réglementaires et lignes directrices. Respectez toujours les exigences des organismes de réglementation en matière de gestion, de prévention et de réponse aux incidents. Celles-ci varient en fonction du secteur et de l'organisme concerné, mais elles incluent souvent une plan de réponse aux incidents , un Réponse aux incidents informatiques équipe et une documentation formelle des procédures et des actions de réponse aux incidents.

Organismes assujettis à la Loi sur la portabilité et la responsabilité en matière d'assurance maladie ( Loi HIPAA ) ou la norme de sécurité des données de l'industrie des cartes de paiement ( Norme PCI DSS ), par exemple, doivent disposer d'un plan de réponse en matière de sécurité documenté et d'une équipe d'intervention ; la Federal Information Security Management Loi (FISMA) Il comprend également des directives détaillées sur la gestion des incidents et les interventions à l'intention des agences fédérales. Découvrez à quelles agences et à quelles exigences votre organisation est soumise, si vous ne le savez pas déjà, et assurez-vous que vous êtes en totale conformité avec toutes les exigences.

• Lignes directrices et meilleures pratiques de l’industrie. Ces pratiques varient également en fonction du secteur d'activité. Une organisation professionnelle sectorielle sera souvent en mesure de fournir un ensemble de pratiques recommandées.

S’il n’existe pas de directives spécifiques pour votre secteur d’activité, Documents sur les critères communs et les méthodes communes d'évaluation fournir un cadre utile pour comprendre les questions générales de sécurité informatique et de sécurité publique.

considérations générales

Il existe quelques considérations fondamentales qui s’appliquent à tous les secteurs réglementés et à tous les cadres réglementaires :

Identification

Identifiez tous les systèmes sensibles (applications, réseaux, services, etc.) dont une panne ou un autre dysfonctionnement pourrait entraîner directement ou indirectement un problème de conformité. Une base de données contenant des dossiers médicaux de clients, par exemple, ou un programme qui gère la distribution d'électricité pour un service public, sont susceptibles d'être classés dans cette catégorie. Le logiciel de comptabilité de votre entreprise, aussi important soit-il, n'est probablement pas un système sensible dans ce contexte.

La prévention

La première ligne de défense de la gestion des incidents consiste à empêcher les systèmes que vous avez identifiés comme sensibles de tomber en panne. Cela signifie que votre équipe de réponse aux incidents doit être alertée non seulement de toute défaillance de ces systèmes, mais également de toute condition susceptible d'entraîner une panne. Pour les systèmes sensibles à la sécurité, il peut s'agir de toute activité suggérant une tentative d'effraction ou une dégradation des performances du logiciel de sécurité lui-même. Pour les systèmes où la sécurité publique est en jeu, cela peut inclure tout comportement anormal dans n'importe quelle mesure clé. Il va sans dire que la prévention comprend des sauvegardes complètes des données et, si nécessaire, des systèmes de sauvegarde complets en veille.

Pour détecter les problèmes avant qu'ils ne se transforment en manquements à la conformité réglementaire, il faut également disposer d'une équipe de réponse aux incidents parfaitement synchronisée, armée d'un contexte complet provenant de toutes les sources d'information. Dans ces situations, chaque seconde compte ! C'est pourquoi il est essentiel de définir à l'avance les intervenants, de définir des politiques d'escalade claires et d'avoir accès aux mesures de plusieurs systèmes regroupées dans une vue unifiée du problème.

Priorité

Vous devrez en effet ajouter un autre niveau de priorité à votre système de gestion des incidents existant, en donnant la priorité absolue à tous les incidents liés à la conformité. Cela signifie que si vos systèmes de comptabilité et d'inventaire tombent en panne et que, dans le même temps, votre base de données de dossiers médicaux commence à se comporter comme si elle n'était pas au point, votre personnel comptable et votre équipe d'entrepôt devront peut-être attendre que votre équipe d'intervention d'urgence s'occupe de la base de données si vous n'avez pas suffisamment de personnel informatique sur place pour s'occuper de tout. Et si la sécurité publique est en jeu, votre équipe d'intervention devra peut-être être prête à maintenir les systèmes essentiels en état de fonctionnement immédiatement après une catastrophe majeure.

Tout cela peut paraître formidable et coûteux. Mais le coût d'un incident majeur Les risques peuvent être bien plus élevés, notamment si un organisme de réglementation ou un juge détermine que votre entreprise n’a pas respecté les réglementations. En fin de compte, pour vous et votre entreprise, la gestion préventive des incidents est de loin la meilleure protection dont vous puissiez bénéficier.

Si vous recherchez une ressource pour améliorer vos processus et flux de travail de réponse aux incidents, consultez notre source ouverte documentation de réponse aux incidents ainsi que notre dossier sur les solutions de services financiers pour un exemple de la façon dont PagerDuty aide les industries réglementées.