4. Continuité des activités et gestion de crise

4.1.1. Plan de Continuité des Activités (PCA) et de Reprise d’Activité (PRA)

4.1.1. Aux fins de l’article 21, paragraphe 2, point c), de la directive (UE) 2022/2555, les entités concernées établissent et maintiennent un Plan de Continuité des Activités (PCA) et de Reprise d’Activité (PRA) à appliquer en cas d’incident.

ORIENTATIONS

• Tenir compte des normes reconnues dans le secteur lors de l’élaboration du Plan de Continuité des Activités et du Plan de Reprise d’Activité.
• Dresser une liste des catastrophes naturelles (par exemple, ouragans, incendies, inondations) et autres événements (par exemple, erreurs humaines) susceptibles d’affecter les services, ainsi qu’une liste des capacités de reprise d’activité (par exemple, sauvegardes, tests, objectifs de reprise, etc.).

Commentaire Nuabee : il est extrêmement surprenant que dans la liste des risques à couvrir, il n’y ait pas les cyberattaques qui constituent aujourd’hui le risque majeur pour les entreprises.

EXEMPLES DE PREUVES

• Plan de Continuité des Activités.
• Plan de Reprise d’Activité.
• Les plans de continuité des activités et de reprise d’activité sont conformes aux normes documentées et/ou aux bonnes pratiques.
• Liste des catastrophes naturelles et/ou majeures susceptibles d’affecter les services et liste des capacités de reprise d’activité (disponibles en interne ou fournies par des tiers).

4.1.2. Plan de continuité opérationnel

4.1.2. Les opérations des entités concernées sont rétablies conformément au plan de continuité des activités et de reprise après sinistre.

Ce plan est fondé sur les résultats de l’évaluation des risques effectuée et comprend, le cas échéant, les éléments suivants :

1. Objectif, champ d’application et destinataires
2. Rôles et responsabilités
3. Contacts clés et canaux de communication (internes et externes)
4. Les conditions d’activation et de désactivation du plan ;
5. L’ordre de reprise des activités ;
6. Les plans de reprise pour des activités spécifiques, y compris les objectifs de reprise ;
7. Les ressources nécessaires, y compris les sauvegardes et les redondances ;
8. La reprise et la relance des activités à partir de mesures temporaires.

Conseils

• Conserver des registres de l’activation et de l’exécution du plan de continuité des activités, y compris :
  • Les décisions prises ;
  • Les mesures suivies et le délai de reprise final.
• Déterminer l’ordre de reprise sur la base de critères, notamment (liste indicative et non exhaustive) :
  • Le niveau de classification des actifs ;
  • L’importance du service pour l’entité ;
  • Les dépendances (les services ou actifs essentiels pour d’autres sont repris en premier) ;
  • Les objectifs de reprise (annexe du règlement, point 4.1.3) ;
  • La disponibilité des ressources ;
  • Les exigences réglementaires.
• Réaliser une planification des capacités afin que les capacités nécessaires au traitement de l’information, aux télécommunications et au support environnemental soient disponibles après l’activation du plan de continuité d’activité.
• Envisager des fournisseurs de services de télécommunications principaux et alternatifs, section 13.1, afin de maintenir correctement les plans de reprise d’activité (pour les services fournis).
• Pour le travail à distance, les employés chargés des opérations critiques doivent :
  • Avoir accès à des solutions Internet de secours (par exemple, haut débit mobile, capacités de partage de connexion)
  • Participer à des tests réguliers des options de basculement, y compris l’accès VPN et les communications vocales (par exemple, VoIP ou téléphonie Cloud) sur les réseaux de secours.
• Préparer la reprise et la restauration des services après une catastrophe en identifiant des mesures telles que :
  • Des sites de basculement dans d’autres régions ;
  • Des sauvegardes des données critiques vers des sites distants ; et
  • Des procédures de restauration testées avec des cycles de validation réguliers.
• S’assurer que des services tiers (par exemple, un site de secours) seront disponibles en cas de sinistre, le cas échéant.
• Mettre en œuvre des mesures avancées pour les capacités de reprise après sinistre, le cas échéant, par exemple :
  • Une redondance complète ;
  • Des mécanismes de basculement ;
  • Un site alternatif.

EXEMPLES DE PREUVES

• Mesures en place pour faire face aux catastrophes, telles que des sites de basculement dans d’autres régions et des sauvegardes de données vers des sites distants.
• Structures organisationnelles à jour largement communiquées.
• Inventaire des secteurs et services essentiels à la continuité du réseau et du fonctionnement des services et/ou dépendants de ceux-ci, et plans d’urgence pour atténuer l’impact sur les secteurs et services dépendants et interdépendants.

Commentaire Nuabee : toujours mêmes lacunes sur les sujets de cyberattaque et de nécessité de cyber-résilience.

4.1.3. Analyse d’impact sur l’activité

4.1.3. Les entités concernées effectuent une analyse d’impact sur l’activité afin d’évaluer l’impact potentiel de perturbations graves sur leurs activités et établissent, sur la base des résultats de cette analyse, des exigences de continuité pour les réseaux et les systèmes d’information.

GUIDE

• Sur la base des résultats de l’analyse d’impact sur les activités (36) et de l’évaluation des risques, l’entité doit définir des objectifs de reprise appropriés, visés au point 4.1.2, point f), de l’annexe du règlement (liste indicative et non exhaustive) :
• Objectifs de temps de reprise (RTO) afin de déterminer le délai maximal autorisé pour la reprise des ressources et des fonctions opérationnelles (par exemple, les systèmes et processus des technologies de l’information et de la communication (TIC) et des processus, respectivement) après la survenue d’un sinistre, par exemple le temps d’indisponibilité maximal du site web, du système de planification des ressources de l’entreprise (ERP) ou du système de messagerie électronique de l’entité.
• Objectif de point de reprise (RPO) pour déterminer la quantité de données qu’il est acceptable de perdre pour des activités ou des applications TIC spécifiques
• Ils sont généralement mesurés en temps maximum nécessaire pour récupérer les données sans causer de dommages inacceptables, selon l’évaluation des risques, aux activités de l’entité, par exemple le temps de reprise maximal pour un site web de commerce électronique, un système ERP ou un serveur de messagerie électronique.
• Objectif de prestation de services (SDO) pour déterminer le niveau de performance minimal qui doit être atteint par les fonctions commerciales pendant le mode de traitement alternatif. Une liste indicative et non exhaustive d’exemples comprend :
  • Le pourcentage d’appels entrants auxquels un centre d’appels doit répondre dans un délai spécifique
  • Le niveau de disponibilité des systèmes de commande et de paiement d’un site web de commerce électronique dans un délai spécifique ;
  • Le temps de restauration pour accéder aux dossiers partagés essentiels via un système d’accès aux fichiers dans le cloud ; et
  • Le délai dans lequel l’ensemble des fonctionnalités de l’infrastructure de travail à distance est rétabli.
• Interruption maximale Acceptable (MAO : Maximum Acceptable Outage) ou période maximale de perturbation tolérable (MTPD : maximum tolerable period of disruption) pour déterminer le temps nécessaire pour que les impacts potentiels de la non-fourniture d’un produit/service ou de la non-exécution d’une activité deviennent inacceptables ou significatifs, conformément à l’évaluation des risques
• Ils sont généralement plus longs que les RTO. Les MAO se concentrent sur la disponibilité des services, tandis que les RPO se concentrent sur la perte de données. Voici une liste indicative et non exhaustive d’exemples :
  • La période au-delà de laquelle le service à la clientèle serait gravement affecté et le risque de réputation augmenterait rapidement ;
  • La période la plus longue pendant laquelle une interruption prolongée d’un site web de commerce électronique pourrait entraîner une perte importante de ventes et de confiance des clients ;
    • La période la plus longue pendant laquelle l’accès partagé aux fichiers du projet peut interrompre la collaboration ou la prise de décision dans le cas où les données sont stockées dans le cloud ; et
    • L’interruption maximale acceptable pour l’infrastructure de travail à distance au-delà de laquelle les fonctions commerciales sont considérablement perturbées et les pertes de productivité commencent à s’aggraver.

Les RTO, RPO et SDO peuvent être utilisés pour déterminer les procédures de sauvegarde et de redondance.

• Les RTO, RPO et SDO peuvent être utilisés pour déterminer les procédures de sauvegarde et de redondance.
  • Documenter le Plan de Reprise d’Activité en tenant compte :
  • Des RTO, RPO et SDO ; et
  • De la conformité avec les réglementations et législations applicables.

Commentaire Nuabee : toujours mêmes lacunes sur les sujets de cyberattaque et de nécessité de cyber-résilience. Le RTO n’est pas un bon indicateur dans des contextes de cyberattaque, mais plutôt la profondeur de sauvegarde, l’étanchéité des environnements, ….

EXEMPLES DE PREUVES

• Analyse d’impact sur les activités documentée avec des objectifs de reprise spécifiques.
• Processus, procédures et mesures visant à garantir le niveau de continuité requis dans des situations perturbatrices.

4.1.4. Test et mise à jour du PCA et du PRA

4.1.4. Le plan de continuité des activités et le Plan de Reprise d’Activité doivent être testés, revus et, le cas échéant, mis à jour à intervalles réguliers et à la suite d’incidents importants ou de changements significatifs dans les opérations ou les risques. Les entités concernées doivent veiller à ce que les plans intègrent les enseignements tirés de ces tests.

GUIDANCE

• Tester, réviser et, si nécessaire, mettre à jour les plans de continuité des activités et de reprise d’activité au moins une fois par an.
• Choisir et combiner une ou plusieurs méthodes pour tester les plans de continuité des activités et de reprise après sinistre, telles que :
  • Des sites alternatifs pour le personnel ;
  • Des sites de reprise après sinistre – sites de secours ;
  • Des jumeaux numériques ;
  • Des simulations ;
  • Des exercices sur table.
• Tester régulièrement les plans de continuité des activités et de reprise après sinistre, en tenant compte :
  • Des journaux des modifications ;
  • Des incidents passés ; et
  • Des résultats des tests précédents.
• Le cas échéant, tester le Plan de Reprise d’Activité sur un site de traitement alternatif afin de :
  • Familiariser le personnel concerné avec les installations et les ressources disponibles ; et
  • Évaluer les capacités du site de traitement alternatif à prendre en charge les opérations.
• Tester l’infrastructure du datacenter pour vérifier :
  • La disponibilité ;
  • Le basculement automatique ;
  • Le basculement entre les fournisseurs d’alimentation et/ou entre les fournisseurs d’alimentation et les systèmes de secours (par exemple les générateurs ou les batteries) ; et la résilience nécessaire pour maintenir le service aux clients.
• Définir la reprise complète et la reconstitution du système d’information dans un état connu dans le cadre des tests du Plan de Reprise d’Activité.
• Mettre à jour les plans de continuité des activités et de reprise d’activité et les mesures connexes en fonction :
  • Des journaux des modifications ;
  • Des incidents passés ;
  • Des registres des activités de formation individuelles.
• Examiner les journaux des modifications et les résultats documentés des tests antérieurs sur les plans de continuité des activités et de reprise après sinistre afin de s’assurer que les plans intègrent les enseignements tirés de ces tests.
• Examiner et, si nécessaire, mettre à jour les rôles et responsabilités.

GUIDE DE MISE EN ŒUVRE TECHNIQUE

• Examiner les plans de reprise après sinistre des tiers dépendants afin de s’assurer que ces plans répondent aux exigences de continuité des activités de l’entité.
• Communiquer les modifications apportées aux plans de continuité des activités et de reprise après sinistre aux membres clés du personnel concernés.
• Communiquer les modifications apportées aux plans de continuité des activités et de reprise après sinistre au personnel clé concerné.

EXEMPLES DE PREUVES

• Plans ou calendriers documentés pour les tests futurs.
• Registres des tests, examens et mises à jour éventuelles antérieurs.
• Registres d’activation et d’exécution des plans de continuité des activités et de reprise après sinistre, y compris les décisions prises, les mesures suivies et le délai de reprise final.
• Communications, par exemple courriels, documents et annonces sur l’intranet, concernant les modifications apportées aux plans de continuité des activités et de reprise d’activité.
• Preuves que les enseignements tirés des tests antérieurs sont intégrés dans les plans, par exemple modifications du flux de travail et plans actualisés.

CONSEILS

• Outre les éléments visés au point 4.1.2 de l’annexe du règlement, le plan de continuité des activités peut porter sur les aspects suivants :
  • L’engagement de la direction ;
  • La coordination entre les unités organisationnelles ;
  • Le plan de communication ;
  • Le respect des lois ;
  • Les indicateurs permettant de mesurer la mise en œuvre réussie du plan.
• Protéger les plans de continuité des activités et de reprise après sinistre contre toute divulgation et modification non autorisées.
• Veiller à ce que les plans de continuité des activités et de reprise après sinistre soient facilement accessibles en cas de panne du système. Voici une liste indicative et non exhaustive d’options pour y parvenir :
  • Copies physiques ;
  • Stockage dans le cloud ;
  • Disques externes ;
  • Accès mobile.
• Distribuer des copies du plan de continuité des activités au personnel clé concerné.
• Surveiller l’activation et l’exécution du plan de continuité des activités en enregistrant les délais de reprise réussis et échoués.
• Ajouter une référence ou une description/un lien vers la politique, le plan et les procédures de gestion des incidents dans le plan de continuité des activités.
• Coordonner le plan de continuité des activités avec les plans respectifs des prestataires de services externes afin de garantir le respect des exigences en matière de continuité
• Former le personnel clé impliqué dans les opérations de continuité.
• Mettre en place des procédures concernant les canaux de communication appropriés avec les autorités (inter)nationales compétentes, y compris les organisations de gestion des catastrophes et les équipes de secours.
• Former régulièrement le personnel responsable des opérations de reprise après sinistre.
• Mettre en œuvre des plans d’urgence pour les systèmes basés sur des scénarios.
• Surveiller l’activation et l’exécution des plans d’urgence, en enregistrant les RTO, RPO et SDO réussis et échoués.
• Mettre en œuvre des plans d’urgence pour les secteurs et services hautement critiques et interdépendants.

EXEMPLES DE PREUVES

• Mesures, par exemple le chiffrement et le contrôle d’accès, pour protéger la continuité des activités et les plans de reprise d’activité contre la divulgation et la modification non autorisées.
• Structures organisationnelles à jour largement communiquées.
• Processus décisionnel pour l’activation des plans d’urgence.
• Plans d’urgence pour les systèmes, comprenant des étapes et des procédures claires pour les menaces courantes, les déclencheurs d’activation, les étapes et les RTO, RPO et SDO définis.
• Registres de l’activation et de l’exécution des plans d’urgence, y compris les décisions prises, les étapes suivies et le temps de reprise final.

4.2.1 Politique de sauvegarde

4.2.1. Les entités concernées doivent conserver des copies de sauvegarde des données et fournir des ressources disponibles suffisantes, notamment des installations, des réseaux et des systèmes d’information ainsi que du personnel, afin de garantir un niveau de redondance approprié.

ORIENTATIONS

• Envisager d’investir dans une redondance propre ou de faire appel à des tiers, par exemple des fournisseurs de services cloud, pour assurer cette redondance, conformément à l’analyse d’impact sur la continuité des activités (annexe du règlement, point 4.1.3).

EXEMPLES DE PREUVES

• Les sauvegardes sont physiquement séparées des systèmes qui les ont générées.
• Si le service est fourni par un tiers, les accords de niveau de service (SLA).

4.2.2. Exigences sur les sauvegardes

4.2.2. Sur la base des résultats de l’évaluation des risques effectuée conformément au point 2.1 et du plan de continuité des activités, les entités concernées établissent des plans de secours qui comprennent les éléments suivants :
a) les délais de rétablissement
b) l’assurance que les copies de sauvegarde sont complètes et exactes, y compris les données de configuration et les données stockées dans un environnement de services  cloud  ;
(c) le stockage des copies de sauvegarde (en ligne ou hors ligne) dans un ou plusieurs lieux sûrs, qui ne se trouvent pas sur le même réseau que le système et qui sont suffisamment éloignés pour échapper à tout dommage causé par une catastrophe sur le site principal ;
(d) des contrôles d’accès physiques et logiques appropriés aux copies de sauvegarde, conformément au niveau de classification des actifs ;
(e) la restauration des données à partir des copies de sauvegarde ;
(f) les périodes de conservation basées sur les exigences commerciales et réglementaires.

GUIDANCE

• Les délais de reprise ne doivent pas dépasser les objectifs de reprise visés au point 4.1.2, sous f), de l’annexe du règlement.
• En ce qui concerne les périodes de conservation, tenir compte des dispositions du point 3.2.5 de l’annexe du règlement.
• Si une entité fait appel à des tiers pour garantir un niveau de redondance approprié, il convient de déterminer clairement si la responsabilité de l’élaboration des plans de sauvegarde incombe à l’entité ou si les tiers sont impliqués dans le processus.

EXEMPLES DE PREUVES

• Plans de sauvegarde.
• Journaux du logiciel de sauvegarde indiquant que des sauvegardes régulières sont effectuées.
• Sauvegardes physiquement séparées et bénéficiant d’un niveau de protection approprié, y compris le chiffrement.
• Journaux ou rapports confirmant qu’une copie de la sauvegarde est stockée hors site, par exemple dans un service de stockage Cloud ou un centre de données distant.
• Paramètres de configuration du logiciel de sauvegarde permettant de vérifier qu’il est configuré pour créer des copies des données et les stocker sur différents supports.
• Procédures de restauration claires et concises couvrant tous les systèmes et services concernés.
• Le cas échéant, paramètres du service de stockage dans le cloud garantissant qu’il est configuré pour recevoir et stocker les copies de sauvegarde

4.2.3. Contrôles des sauvegarde.

4.2.3. Les entités concernées doivent effectuer régulièrement des contrôles d’intégrité des copies de sauvegarde.

GUIDANCE

• Vérifiez l’intégrité des copies de sauvegarde. Voici une liste indicative et non exhaustive de bonnes pratiques :
  • Utilisez des checksums ou des algorithmes de hachage pour vérifier que les données de vos sauvegardes correspondent aux données d’origine (section 9.2) ;
  • Mettez en place des scripts automatisés pour effectuer ces vérifications régulièrement, afin de réduire le risque d’erreur humaine ;
  • Planifier des tests réguliers pour restaurer les données à partir des sauvegardes afin de s’assurer qu’elles sont complètes, fonctionnelles et validées par les utilisateurs professionnels afin de confirmer l’exactitude et la facilité d’utilisation des données restaurées ;
  • Tester divers scénarios de récupération, y compris la restauration complète du système et la récupération de fichiers individuels, afin de s’assurer que tous les aspects de votre système de sauvegarde sont fiables ; et
  • Envisager d’utiliser des solutions de stockage dans le cloud pour les sauvegardes hors site, qui comprennent souvent des contrôles d’intégrité et une redondance intégrée.

EXEMPLES DE PREUVES

• Journaux ou rapports indiquant que des algorithmes de checksums ou de hachage sont utilisés.
• Paramètres du logiciel ou des scripts de sauvegarde qui spécifient l’utilisation de checksums ou d’algorithmes de hachage.
• Registres des tests réguliers au cours desquels les données sont restaurées à partir de sauvegardes.
• Preuves de tests de différents scénarios de récupération, y compris des restaurations complètes du système et des récupérations de fichiers individuels.
• Journaux ou rapports d’incidents réels dans lesquels des procédures de récupération ont été mises en œuvre (annexe du règlement, points 3.2 et 3.5).
• Si le service est fourni par un tiers, les accords de niveau de service (SLA).

4.2.4. Ressources minimales

4.2.4. Sur la base des résultats de l’évaluation des risques effectuée conformément au point 2.1 et du plan de continuité des activités, les entités concernées veillent à disposer de ressources suffisantes, au moins par une redondance partielle, pour ce qui suit :
a) les réseaux et systèmes d’information
b) les actifs, y compris les installations, les équipements et les fournitures
c) le personnel disposant des responsabilités, des pouvoirs et des compétences nécessaires
d) les canaux de communication appropriés.

ORIENTATIONS

• Définir les ressources minimales nécessaires pour assurer au moins une redondance partielle pour chacun des points a), b), c) et d). Il peut s’agir notamment des éléments suivants :
  • Systèmes de réseau et d’information : un ou plusieurs des éléments suivants (liste indicative et non exhaustive) :
• Plusieurs fournisseurs d’accès à Internet,
• Equilibrage de charge,
• Serveurs miroirs,
• Virtualisation,
• Réseau de disques indépendants redondants ;
• Actifs : un ou plusieurs des éléments suivants (liste indicative et non exhaustive) :
  • Espaces de travail partagés,
  • Sites de sauvegarde,
  • Équipements de secours,
  • Plusieurs fournisseurs pour les mêmes catégories de produits ;
• Personnel : un ou plusieurs des éléments suivants (liste indicative et non exhaustive) :
  • Rotation des postes,
  • Missions de remplacement,
  • Exercices d’urgence ;
    • Plusieurs plateformes de communication, par exemple les réseaux sociaux, les applications de messagerie et le courrier électronique ; et
    • Plusieurs méthodes d’alimentation d’un site, soit par le biais de plusieurs fournisseurs d’électricité, soit par une combinaison de fournisseurs d’électricité et de mécanismes de secours, tels que des générateurs.

EXEMPLES DE PREUVES

• Un ou plusieurs des mécanismes ci-dessus sont en place.

4.2.5. Gestion des évolutions et capacités

4.2.5. Le cas échéant, les entités concernées veillent à ce que le suivi et l’ajustement des ressources, y compris les installations, les systèmes et le personnel, soient dûment pris en compte dans les exigences en matière de sauvegarde et de redondance.

ORIENTATIONS

• Les décisions relatives à l’allocation et à l’ajustement des ressources doivent être guidées par la nécessité de disposer de sauvegardes et de redondances. À cette fin, l’entité peut envisager une ou plusieurs des mesures suivantes (liste indicative et non exhaustive) :
  • La hiérarchisation des ressources en fonction des résultats de l’analyse des risques ;
  • La redondance partielle ;
  • La diversification des sites de sauvegarde ; et
  • La surveillance continue des ressources pour lesquelles une redondance est nécessaire.

EXEMPLES DE PREUVES

• Preuves des éléments visés au point 4.2.4 de l’annexe du règlement.
• Preuves issues de simulations périodiques et d’activités de sensibilisation visant à évaluer l’état de préparation du personnel et l’adéquation des procédures.

4.2.6. Tests des sauvegardes

4.2.6. Les entités concernées effectuent régulièrement des tests de restauration des copies de sauvegarde et des redondances afin de s’assurer que, dans des conditions de restauration, elles sont fiables et couvrent les copies, les processus et les connaissances nécessaires pour effectuer une restauration efficace. Les entités concernées documentent les résultats des tests et, le cas échéant, prennent des mesures correctives.

ORIENTATIONS

• Adapter la fréquence des contrôles des sauvegardes à la criticité des données sur la base de l’évaluation des risques (section 2.1). À titre d’exemple :
  • Les données à criticité élevée peuvent être contrôlées chaque semaine.
  • Les données à criticité modérée et faible peuvent être contrôlées chaque mois.
  • Les changements importants doivent être contrôlés immédiatement après leur modification.
• Veiller à ce que les problèmes et les enseignements tirés des exercices soient traités par les personnes responsables et à ce que les processus et systèmes pertinents soient mis à jour en conséquence.
• Impliquer les fournisseurs et autres tiers, tels que les partenaires commerciaux ou les clients, dans les tests.

EXEMPLES DE PREUVES

• Rapports/journaux des tests réguliers de l’état des sauvegardes, des processus et des procédures.
• Programmer des tests des plans de sauvegarde, y compris les types de situations d’urgence, la fréquence, les rôles et responsabilités, les modèles et procédures pour la réalisation des tests, et les modèles de rapports post-test.
• Rapports sur les tests antérieurs des plans de sauvegarde et d’urgence.
• Rapports sur les tests et les exercices montrant l’exécution des plans, y compris la preuve que les délais de récupération ont été respectés et les enseignements tirés des tests.
• Problèmes et enseignements tirés des tests antérieurs traités par les personnes responsables.
• Plans de test mis à jour, commentaires de révision et/ou journaux des modifications.
• Contributions des fournisseurs et autres tiers concernés sur la manière d’améliorer les scénarios de test.

CONSEILS

• Protégez le matériel et les logiciels de sauvegarde et de restauration.
• Veillez à ce que les sauvegardes chiffrées restent accessibles en conservant de manière sécurisée les clés de chiffrement associées.
• Les clés de chiffrement doivent être stockées séparément des données de sauvegarde afin d’empêcher tout accès non autorisé et de garantir la récupérabilité.
• Avant de restaurer les systèmes ou les configurations, il peut être nécessaire d’identifier un « patient zéro (37) » afin que la restauration ne rétablisse pas les vulnérabilités ou les infections qui ont parfois été éliminées.
  • (37) Ce terme est généralement utilisé pour désigner le premier système affecté par une attaque.
• Tenez compte de la règle de sauvegarde 3-2-1 :
  • Conservez trois copies des données (l’original plus deux sauvegardes),
  • Sur deux types de supports de stockage différents (par exemple, disques durs, stockage dans le cloud),
  • Avec une copie stockée hors site.
• Assurez l’intégrité des sauvegardes, c’est-à-dire empêchez toute modification ou suppression, telle que le chiffrement par ransomware ou la falsification, pendant une période de conservation définie. Les moyens pour y parvenir comprennent (liste indicative et non exhaustive) :
  • Analyse des sauvegardes à la recherche de logiciels malveillants et de ransomware avant leur stockage ;
  • Utilisation de sauvegardes immuables ;
  • Stockage hors ligne des sauvegardes.
• Intégrer les plans de continuité des activités et de reprise après sinistre aux processus de réponse aux incidents (annexe du règlement, point 3.5) et de gestion de crise (annexe du règlement, point 4.3).
• Lorsque des services cloud sont disponibles :
  • Les sauvegardes seront répliquées dans plusieurs zones de disponibilité (AZ) ou stockées dans une autre région afin de garantir la résilience en cas de défaillance au niveau d’une zone ;
  • Elles seront configurées avec une réplication inter-zones afin de minimiser les temps d’arrêt ;
  • Toutes les données de sauvegarde seront chiffrées au repos à l’aide de systèmes de gestion des clés natifs du cloud et chiffrées pendant le transfert à l’aide du protocole TLS 1.2+ ;
  • Des tests réguliers des sauvegardes seront effectués afin de valider les capacités de récupération inter-zones.

EXEMPLES DE PREUVES

• Mesures mises en place pour protéger le matériel et les logiciels de sauvegarde et de restauration, par exemple contrôles d’accès physique, systèmes de surveillance, chiffrement, contrôles d’intégrité et mécanismes de basculement.
• Examen du plan de sauvegarde mentionnant la règle 3-2-1.
• Journaux du logiciel de sauvegarde indiquant que des sauvegardes régulières sont effectuées.
• Paramètres de configuration du logiciel de sauvegarde permettant de vérifier qu’il est configuré pour créer trois copies des données et les stocker sur différents supports.
• Le cas échéant, paramètres du service de stockage dans le cloud garantissant qu’il est configuré pour recevoir et stocker les copies de sauvegarde

.

4.3.1. Processus de gestion de crise.

4.3.1. Les entités concernées doivent mettre en place un processus de gestion de crise.

DIRECTIVES

• Tenir compte des normes reconnues par le secteur lors de l’élaboration du processus de gestion de crise (38).
  • Être conscient que chaque crise peut être différente et qu’une analyse plus approfondie peut être nécessaire au cas par cas.
• Prendre en considération les différents aspects (par exemple techniques, opérationnels, communication et remédiation) de la gestion de crise, y compris les processus, les rôles et les responsabilités.
  • (38) En outre, tenir compte des éléments suivants : ISO 22361:2022, Sécurité et résilience – Gestion de crise – Lignes directrices ;
  • ENISA Best Practices for Cyber Crisis Management, https://www.enisa.europa.eu/publications/best-practices-for-cyber-crisismanagement ;
  • NIST Special Publication 800-61 Revision 2.
• Étant donné que l’escalade d’un incident vers le statut de crise dépend de l’appétit pour le risque et des capacités de gestion des incidents d’une entité, celle-ci devrait définir des critères permettant de déterminer quand une crise est déclarée (39). Ceux-ci peuvent faire référence à des incidents qui ont un impact grave, au-delà d’un certain seuil de tolérance. Ces critères peuvent inclure les éléments suivants (liste indicative et non exhaustive) :
  • L’incident présente un risque important pour des actifs ou des opérations critiques, par exemple des incidents de gravité élevée (par exemple, des violations de données impliquant des informations sensibles) ;
  • L’incident perturbe considérablement les opérations commerciales, par exemple une interruption prolongée, une perte généralisée de services ou un impact significatif sur le service à la clientèle ;
  • L’ampleur de l’incident, c’est-à-dire s’il affecte plusieurs systèmes, départements ou sites géographiques, indiquant une menace plus large ;
  • L’impact potentiel sur la réputation de l’entité – les incidents susceptibles d’entraîner un examen public ou une perte de confiance des clients doivent être signalés ;
• L’impact potentiel de l’incident de cybersécurité sur la confidentialité, l’intégrité, l’authenticité et la disponibilité des données ;
• La sophistication et les motivations des auteurs de la menace. Les incidents liés à des menaces persistantes avancées ou à la cybercriminalité organisée peuvent nécessiter une réponse de plus haut niveau, dépassant les capacités de l’entité ;
• Le potentiel d’escalade (par exemple, si les vulnérabilités peuvent être exploitées à nouveau ou si les logiciels malveillants se propagent).

EXEMPLES DE PREUVES

• Le processus de gestion de crise est conforme aux normes documentées et/ou aux bonnes pratiques.

4.3.2. Couverture de la gestion de crise

4.3.2. Les entités concernées veillent à ce que le processus de gestion de crise couvre au moins les éléments suivants :
–   Les rôles et responsabilités du personnel et, le cas échéant, des fournisseurs et prestataires de services, en précisant la répartition des rôles en situation de crise, y compris les mesures spécifiques à suivre ;
–    Les moyens de communication appropriés entre les entités concernées et les autorités compétentes pertinentes ;
–      L’application de mesures appropriées pour garantir le maintien de la sécurité des réseaux et des systèmes d’information en situation de crise.
Aux fins du point b), le flux d’informations entre les entités concernées et les autorités compétentes pertinentes comprend à la fois les communications obligatoires, telles que les rapports d’incident et les délais correspondants, et les communications non obligatoires.

ORIENTATIONS

• Pour la communication de crise, il convient de prendre en considération (liste indicative et non exhaustive) :
  • Les obligations légales en matière de communication, telles que le calendrier de communication, en particulier en ce qui concerne les exigences en matière de notification ;
  • La manière dont les informations seront diffusées aux parties prenantes internes et externes (employés, clients, fournisseurs directs et prestataires de services, services d’urgence, etc.) en cas de crise ;
  • Les modèles de communication ;
  • Les canaux de communication à utiliser pour chaque type de partie prenante, en tenant compte du fait que :
• (39) Selon la norme ISO 22361, une crise est un « événement ou une situation anormale ou extraordinaire qui menace une organisation ou une communauté et qui nécessite une réponse stratégique, adaptative et rapide afin de préserver sa viabilité et son intégrité ».
  • Les parties prenantes internes et externes peuvent utiliser différents canaux de communication ;
  • Les canaux de communication habituels peuvent ne pas être sûrs en situation de crise ;
  • Les canaux utilisés pour informer les autorités compétentes et communiquer avec elles doivent également être indiqués ;
• Coordonnées à jour des parties prenantes internes et externes.

EXEMPLES DE PREUVES

• Processus de gestion de crise documenté.
• Liste des membres de l’équipe de gestion de crise, y compris leurs rôles, leurs coordonnées et leurs suppléants.

4.3.3. Relation avec CSIRT

4.3.3. Les entités concernées mettent en œuvre un processus de gestion et d’utilisation des informations reçues des CSIRT ou, le cas échéant, des autorités compétentes, concernant les incidents, les vulnérabilités, les menaces ou les mesures d’atténuation possibles.

ORIENTATIONS

• Mettre en œuvre un processus de gestion et d’utilisation des informations reçues des CSIRT. Envisager les étapes suivantes (liste indicative et non exhaustive) :
  • Désigner un point de contact avec le CSIRT ;
  • Veiller à ce que le point de contact dispose de connaissances suffisantes en matière d’incidents et de renseignements sur les menaces.
  • Classer les informations reçues en catégories telles que les incidents, les vulnérabilités, les menaces et les mesures d’atténuation.
  • Attribuer des niveaux de priorité en fonction de la gravité et de l’impact potentiel sur l’entité, si les informations sont pertinentes ou applicables
  • Demander au point de contact du CSIRT d’examiner les informations pour en déterminer la pertinence et l’urgence.
  • Valider les informations par rapport aux journaux internes, aux flux de renseignements sur les menaces et aux politiques de sécurité existantes.
  • Pour les vulnérabilités et les menaces, le cas échéant, collaborer avec les équipes concernées (informatique, sécurité, opérations) afin d’élaborer une stratégie d’atténuation ;
  • Mettre à jour ou créer des plans d’intervention en cas d’incident en fonction de la nature des menaces ou des incidents signalés conformément au point 3.5 de l’annexe du règlement.
  • Le cas échéant, mettre en œuvre les mesures d’atténuation et communiquer avec les parties prenantes concernées conformément au point 3.5 de l’annexe du règlement.
  • Partager volontairement avec le CSIRT les informations et les retours d’expérience sur les incidents et les mesures d’atténuation.

EXEMPLES DE PREUVES

• Communications antérieures avec les CSIRT ou, le cas échéant, les autorités compétentes, par exemple courriels, correspondance et procès-verbaux de réunions.
• Preuves que le point de contact dispose de connaissances suffisantes en matière d’incidents et de renseignements sur les menaces.
• 3.4. Les entités concernées testent, révisent et, le cas échéant, actualisent le plan de gestion de crise à intervalles réguliers ou à la suite d’incidents importants ou de changements significatifs dans les opérations ou les risques.

GUIDANCE

• Tester le processus de gestion de crise chaque année.
• Tester le processus de gestion de crise, par exemple au moyen d’un exercice ou d’une simulation, en (liste indicative et non exhaustive):
  • Tenant compte des situations de crise passées ;
  • Comparant les résultats des tests aux objectifs définis, par exemple les objectifs de reprise figurant au point 4.1.2, point f), de l’annexe du règlement (par exemple, les RTO, les RPO et les SDO) ; et
  • En utilisant les résultats de la comparaison pour mettre à jour et améliorer la procédure de gestion de crise.
• Réviser et mettre à jour, si nécessaire, le processus de gestion de crise après un test ou à la suite d’incidents importants ou de changements significatifs dans les opérations ou les risques.
• Réviser et mettre à jour la politique en matière de sécurité des réseaux et des systèmes d’information et les mesures organisationnelles de gestion de crise après un test ou à la suite d’incidents importants ou de changements significatifs dans les opérations ou les risques.

EXEMPLES DE PREUVES

• Documentation montrant comment la gestion de crise s’intègre dans les plans d’intervention en cas d’incident de l’entité (annexe du règlement, point 3.5), en particulier pour les incidents liés aux TIC.
• Documents identifiant les crises antérieures et évaluant leur probabilité de récurrence et leur impact potentiel sur les activités commerciales.
• Documentation relative aux tests de gestion de crise antérieurs, y compris les scénarios testés, les participants impliqués et les résultats.
• Rapports ou évaluations postérieurs aux tests de gestion de crise, identifiant les points forts, les points faibles et les domaines à améliorer.
• Registres des examens et audits internes ou externes du plan de gestion de crise, y compris les conclusions et les mesures correctives prises.

ORIENTATIONS

• Les organes de direction devraient approuver le processus de gestion de crise et, le cas échéant, définir leurs rôles et responsabilités en cas de crise.
• Outre les éléments visés au point 4.3.2 de l’annexe du règlement, le processus de gestion de crise pourrait identifier (liste indicative et non exhaustive) :
  • Les procédures de déclaration d’une crise ;
  • L’activation de l’équipe de gestion de crise ;
  • Les procédures d’escalade ;
  • Les procédures d’urgence, qui décrivent les mesures à prendre en cas de crise ; et
  • Les procédures de secours, qui décrivent les mesures à prendre pour protéger les activités essentielles ou les services de soutien (par exemple, des sites temporaires de remplacement pour rétablir le fonctionnement normal, la reprise ou la restauration).

EXEMPLES DE PREUVES

• Inventaire des ressources nécessaires à la gestion de crise, y compris les systèmes de secours, les outils de communication alternatifs et les fournitures d’urgence.
• Processus de gestion de crise approuvé.
• Plan de communication de crise documenté et approuvé par les organes de direction en place et communiqué à l’ensemble du personnel.
• Outre les éléments visés au point 4.3.2 de l’annexe du et aux éléments des lignes directrices ci-dessus, le plan comprend au moins (liste indicative et non exhaustive):
  • La manière dont les informations seront diffusées aux parties prenantes en cas de crise ;
  • Des modèles de communication ;
  • Les coordonnées à jour des parties prenantes internes et externes, y compris les employés, les clients, les fournisseurs et les services d’urgence.
• Preuve que le personnel connaît les processus et sait qui contacter en cas de crise.
• Comptes rendus des simulations périodiques et des activités de sensibilisation visant à évaluer l’état de préparation du personnel et l’adéquation des procédures de gestion de crise