FR 
EN 
NL Politique et procédure de gestion des incidents de sécurité et des violations de données
Politique et procédure de gestion des incidents de sécurité et des violations de données
14 avril 2025
Plan de gestion des incidents
Introduction
Ce plan décrit les procédures d'identification, de réaction, d'atténuation et de récupération des incidents de cybersécurité qui affectent la vie des citoyens. monecopote.com. L'objectif est d'assurer le bon fonctionnement de la plateforme dans le respect des lois et règlements en vigueur et de la protéger contre les cybermenaces.
Baticlick s'engage à faire preuve de diligence et d'attention pour (i) prendre des mesures préventives contre les cyberincidents, (ii) les traiter de manière appropriée lorsqu'ils se produisent, (iii) fournir des informations au personnel et aux autres parties concernées (utilisateurs, vendeurs, clients, partenaires, contractants, fournisseurs, autorités) si nécessaire, et (iv) rétablir l'accès et les opérations dès que possible.
Catégories d'incidents
Les menaces potentielles comprennent :
Attaques DDoS - Perturbation de la disponibilité des sites web.
Infections par des logiciels malveillants - Injection d'un code malveillant dans la plate-forme.
Accès non autorisé - Violation de données ou prise de contrôle de comptes.
Fraude au paiement - Fausses transactions affectant les utilisateurs.
Phishing/Social Engineering - Attaques contre les administrateurs ou les utilisateurs.
Mesures préventives à prendre en compte dans ce contexte comprennent :
Audits de sécurité réguliers - Effectuer des tests de pénétration périodiques.
Contrôles d'accès stricts - Utiliser l'accès multifonctionnel et les autorisations basées sur les rôles.
Cryptage des données - Sécuriser les informations sensibles.
Web Application Firewall (WAF) - Protection contre les attaques.
Sauvegarde et reprise après sinistre - Veiller à ce que les sauvegardes quotidiennes soient stockées en toute sécurité.
Détection et signalement des incidents se fait comme suit :
Surveillance du trafic et des journaux par un prestataire de services externe
Signalement par l'utilisateur au moyen d'un formulaire de contact permettant de signaler des activités suspectes
Alertes automatiques en cas de trafic anormal ou de tentatives de connexion
Étapes de la réponse à un incident
Lorsqu'un incident est détecté, il est essentiel de suivre une approche structurée pour contenir et atténuer efficacement la menace. Le processus de réponse en cinq phases suivant sera mis en œuvre :
- Identification et classification (pour déterminer si un incident s'est produit et en évaluer la gravité).
Détection initiale par la surveillance du système et l'examen des rapports des utilisateurs sur les activités suspectes (par exemple, connexions non autorisées, transactions frauduleuses).
Consigner et analyser les données en rassemblant les journaux des systèmes concernés, y compris les journaux d'accès, les journaux d'erreurs et le trafic réseau, et en identifiant les vecteurs d'attaque (par exemple, hameçonnage, logiciels malveillants, injection SQL).
Classer l'incident : Faible gravité pour les problèmes de sécurité mineurs (par exemple, tentatives de connexion infructueuses) ; gravité moyenne pour les incidents ayant un impact potentiel (par exemple, infection par un logiciel malveillant à petite échelle) ; gravité élevée pour les menaces actives affectant les utilisateurs ou les activités de l'entreprise ; gravité critique pour les violations de sécurité majeures (par exemple, fuite de données, attaque par un logiciel rançonneur).
Activer l'équipe d'intervention en informant le responsable de la réponse à l'incident et la sécurité informatique.
2. Confinement (jusqu'à llimiter la propagation et les dégâts de l'incident tout en préservant les preuves médico-légales.
Actions à court terme :
Confinement du réseau (bloquer les adresses IP malveillantes ou restreindre l'accès en fonction de la géographie si nécessaire ; isoler les systèmes affectés du réseau principal)
Confinement des comptes (désactiver les comptes utilisateur/administrateur compromis ; imposer la réinitialisation des mots de passe pour les utilisateurs concernés)
Confinement des applications (désactiver temporairement les fonctionnalités du site web concerné (par exemple, passerelle de paiement, traitement des commandes) ; mettre à jour les règles du pare-feu pour bloquer le trafic malveillant.
Actions à long terme :
Sécuriser les sauvegardes (vérifier que les sauvegardes récentes ne sont pas compromises ; si nécessaire, transférer le trafic vers un serveur de sauvegarde).
Conserver les preuves (faire des copies des journaux du système affecté pour une analyse criminalistique ; documenter toutes les actions prises pendant le confinement).
3. Eradication et récupération (pour éliminer la cause première de l'incident et rétablir les opérations normales).
Étapes de l'éradication :
Identifier le vecteur d'attaque (analyser les journaux, les signatures de logiciels malveillants et les schémas d'attaque ; déterminer si une erreur humaine, une vulnérabilité du système ou une attaque externe en est la cause).
Corriger les vulnérabilités (appliquer les mises à jour logicielles, les correctifs de sécurité et les corrections de configuration ; renforcer le pare-feu, l'authentification et la sécurité de l'API).
Suppression des logiciels malveillants (exécution d'analyses antivirus/logiciels malveillants sur les systèmes concernés ; suppression ou mise en quarantaine des fichiers infectés)
Les étapes du rétablissement:
Services de restauration (réinstallation des applications concernées si nécessaire ; restauration des données à partir des sauvegardes, en veillant à ce qu'il n'y ait pas de réinfection par des logiciels malveillants)
Surveiller les menaces résiduelles (effectuer des tests de pénétration après la récupération, augmenter la surveillance des journaux pour détecter les comportements inhabituels).
4. Communication et notification (pour assurer une communication transparente et en temps utile avec les parties prenantes)
Communication interne (informer la direction, les équipes informatiques et juridiques ; organiser une réunion de mise à jour avec l'équipe d'intervention)
Communication externe (informer les utilisateurs concernés ; conseiller aux utilisateurs de réinitialiser leurs mots de passe et d'activer le 2FA ; si la loi l'exige, signaler les violations aux autorités chargées de la protection des données ; informer les fournisseurs tiers si leurs services ont été affectés).
5. Examen post-incident et enseignements tirés (pour améliorer les défenses de sécurité afin de prévenir de futurs incidents)
Actions:
Procéder à un examen de l'incident (analyser les journaux, les vecteurs d'attaque et l'efficacité de la réponse ; identifier les lacunes dans les processus de détection, d'endiguement et de récupération).
Documenter les résultats (créer un rapport détaillé comprenant une analyse des causes profondes et des mesures de réponse ; recommander des améliorations pour les politiques de sécurité).
Renforcer les contrôles de sécurité (mettre à jour les règles des pare-feu, les paramètres IDS/IPS et les contrôles d'accès ; mettre en place une formation supplémentaire pour le personnel afin qu'il reconnaisse les cyber-menaces).
Équipe de contact et de réponse
Responsable de la réponse aux incidents : Gaëtan Bio
Contact sécurité informatique :Gaëtan Bio
Contact juridique : Gaëtan Bio
Annexe 2 : Instructions de réponse aux incidents pour les systèmes informatiques
DOs
Isolez immédiatement le système affecté pour éviter tout autre problème. Préférez les communications téléphoniques aux courriels. Sauvegardez tous les journaux, tels que les journaux du pare-feu et du système. Créez des copies de sauvegarde de tous les fichiers endommagés et stockez-les en toute sécurité. Déterminez l'emplacement du système affecté dans le réseau. Dressez la liste de tous les systèmes connectés au système affecté. Identifier les programmes fonctionnant sur le système, l'impact du problème et les temps d'arrêt admissibles. Si le système est recueilli comme preuve, assurez-vous que les services continuent en utilisant des sauvegardes ou un système redondant.
À NE PAS FAIRE
Ne discutez pas du problème avec d'autres personnes que votre responsable ou des personnes de contact désignées. Ne supprimez pas et ne modifiez pas les fichiers du système concerné. Ne contactez pas la personne suspectée. N'effectuez aucune analyse médico-légale.
Annexe 3 : Vue d'ensemble de l'évaluation des risques d'atteinte à la vie privée
| Facteur | NOTE DE RISQUE | ||
| LOW | MOYEN | HAUT | |
| Nature des informations personnelles | Informations personnelles accessibles au public et non associées à d'autres informations | Informations personnelles propres à l'organisation qui ne sont pas des informations médicales ou financières | Informations médicales, psychologiques, de conseil ou financières ou identification unique d'un organisme public nombre |
| Les relations | Divulgation accidentelle au contractant qui a signalé la violation et confirmé la destruction ou la restitution des informations | Divulgation accidentelle à un étranger qui a signalé la violation et confirmé la destruction ou la restitution des informations | Divulgation à une personne ayant une relation quelconque à la connaissance de la ou des personnes concernées, en particulier les divulgations à des membres motivés de la famille, à des voisins ou à des collègues de travail |
| Vol | |||
| Cause de la violation | Erreur technique résolue | Perte ou divulgation accidentelle | Violation intentionnelle. Cause inconnue Erreur technique - si non résolue |
| Champ d'application | Très peu de personnes touchées | Groupe identifié et limité de personnes affectées | Le grand groupe ou l'ensemble du groupe n'est pas identifié (plus de 100) |
| Efforts de confinement | Les données ont été cryptées de manière adéquate Le dispositif de stockage portable a été effacé à distance et il est prouvé que le dispositif n'a pas été consulté avant l'effacement. Les fichiers ou dispositifs sur support papier ont été récupérés presque immédiatement et tous les fichiers semblent intacts et/ou non lus. | Le dispositif de stockage portable a été effacé à distance dans les heures qui ont suivi la perte, mais aucun élément ne permet de confirmer que le dispositif n'a pas été consulté avant l'effacement. Les fichiers ou dispositifs sur support papier ont été récupérés, mais il s'est écoulé suffisamment de temps entre la perte et la récupération. la récupération que les données auraient pu a été consulté | Les données n'étaient pas cryptées Les données, les fichiers ou l'appareil n'ont pas été récupérés Données risquant d'être divulguées ultérieurement, notamment par les médias ou en ligne |
| Préjudice prévisible résultant de la violation | Absence de préjudice prévisible résultant de la violation | Perte d'opportunités commerciales ou d'emploi, blessure, humiliation, atteinte à la réputation ou aux relations, préjudice social/relationnel Perte de confiance dans My Eco Best Friend Perte des actifs de My Eco Best Friend Perte de contrats ou d'activités de My Eco Best Friend Exposition financière |
