Réponse aux incidents
Onesurance dispose d'un processus de réponse aux incidents 24/7 pour détecter, contenir et résoudre rapidement les incidents de sécurité. Notre équipe de réponse aux incidents est dirigée par le Délégué à la Protection des Données et suit un processus structuré en 6 étapes.
Réponse aux incidents en un coup d'oeil
- Disponible 24/7 — Surveillance et réponse continues, jour et nuit
- <1 heure de réponse P1 — Incidents critiques pris en charge dans l'heure
- Processus en 6 étapes — De la détection à la clôture, entièrement documenté
- Équipe IRT dirigée par le DPD — Équipe de réponse aux incidents pilotée par le Délégué à la Protection des Données
Processus de réponse aux incidents
Notre processus de réponse aux incidents est composé de six phases clairement définies. Chaque incident de sécurité passe par ces phases pour garantir un traitement rapide, efficace et documenté. L'équipe de réponse aux incidents (IRT) est activée pour chaque incident confirmé et est dirigée par le Délégué à la Protection des Données.
Processus en 6 étapes
Les incidents sont détectés via plusieurs canaux et immédiatement escaladés.
- Surveillance automatisée 24/7 — Azure Security Center, SIEM et détection d'anomalies fonctionnent en continu
- Points de contact — Les collaborateurs, clients et tiers peuvent signaler les incidents par téléphone, e-mail ou système de tickets interne
- POUR P1 APPELER D'ABORD — En cas de suspicion d'incident critique (P1), toujours contacter d'abord le DPD par téléphone, puis signaler par écrit
Chaque incident signalé est évalué en termes de gravité et d'impact par le coordinateur désigné.
- Coordinateur d'incident — Le DPD ou son remplaçant désigné prend en charge la coordination
- Classification de gravité — L'incident est classé P1 (Critique), P2 (Haut), P3 (Moyen) ou P4 (Bas)
- Activation IRT — Pour P1 et P2, l'équipe complète de réponse aux incidents est activée
Mesures immédiates pour limiter les dommages et empêcher toute propagation.
- Règles de pare-feu — Blocage du trafic suspect et des vecteurs d'attaque via des modifications de pare-feu
- Isolation — Les systèmes affectés sont isolés du réseau pour empêcher la propagation
- Préservation des logs — Tous les logs et preuves pertinents sont sécurisés pour l'enquête forensique
Enquête approfondie sur la cause, l'étendue et l'impact de l'incident.
- Analyse des causes profondes — Détermination de la cause sous-jacente de l'incident
- Méthode d'attaque — Identification de la technique et du vecteur d'attaque utilisés
- Chronologie — Reconstruction de la chronologie complète de l'incident, de la première compromission à la détection
Les systèmes sont restaurés à un état sûr et opérationnel.
- Correction — Les vulnérabilités sont corrigées et les mises à jour de sécurité appliquées
- Suppression des malwares — Suppression des logiciels malveillants et des portes dérobées
- Sauvegardes propres — Restauration à partir de sauvegardes vérifiées et propres
- Réinitialisation des identifiants — Tous les mots de passe et clés potentiellement compromis sont réinitialisés
- 48 heures de surveillance — Après la récupération, les systèmes sont surveillés intensivement pendant au moins 48 heures
L'incident est formellement clôturé et toutes les leçons sont documentées.
- Rapport d'incident — Rapport complet avec chronologie, impact, cause et mesures prises
- Leçons apprises — Session d'évaluation avec l'IRT pour identifier les points d'amélioration
- Mises à jour des procédures — Adaptation des procédures, politiques et mesures techniques sur la base des constatations
Niveaux de gravité & Délais de réponse
Chaque incident est classé en fonction de sa gravité et de son impact. La classification détermine le délai de réponse, le niveau d'escalade et les ressources disponibles.
| Niveau | Délai de réponse | Délai de résolution | Exemples | Escalade |
|---|---|---|---|---|
| Critique P1 | <1 heure | <48 heures | Violation de données active, attaque par ransomware, compromission totale du système | Appel immédiat — DPD + direction |
| Haut P2 | <4 heures | <72 heures | Violation de données potentielle, accès non autorisé aux systèmes de production | Appel + e-mail — DPD |
| Moyen P3 | <1 jour ouvré | <20 jours ouvrés | Activité suspecte, clic sur phishing, vulnérabilité en production | E-mail — DPD |
| Bas P4 | Planifié | <3 mois | Tentatives de connexion échouées, malware bloqué, alertes informatives | Système de tickets |
Contacts de réponse aux incidents
En cas d'incident de sécurité, contactez les personnes ci-dessous. Pour un incident P1, toujours appeler en premier.
Délégué à la Protection des Données
Menno Kooistra
E-mail: dpo@onesurance.ai
E-mail DPD: dpo@onesurance.ai
Contact principal
Contact de secours
Dennie van den Biggelaar
Téléphone: +31 6 12 23 66 37
Remplaçant en cas d'absence du DPD
Tests & Exercices
Le plan de réponse aux incidents est régulièrement testé pour garantir son efficacité et maintenir l'équipe entraînée.
Exercices annuels sur table
Au moins une fois par an, l'IRT réalise un exercice sur table. Un scénario d'incident réaliste est simulé sans impact réel sur les systèmes, pour tester la prise de décision et la communication.
Tests de scénarios
Des scénarios spécifiques tels que ransomware, violation de données et menace interne sont simulés. Après chaque exercice, les constatations sont documentées et le plan de réponse est mis à jour.
URGENCE SÉCURITÉ ?
En cas d'incident de sécurité actif, contactez immédiatement par téléphone :
E-mail : dpo@onesurance.aiDélégué à la Protection des Données — Menno Kooistra
Des questions sur la réponse aux incidents ?
Notre Délégué à la Protection des Données se tient à votre disposition pour toute question relative à la sécurité, la conformité ou la confidentialité.