Notre approche de la gestion des incidents de sécurité
Notre approche de la gestion des incidents de sécurité
Nous avons mis en place un ensemble complet de mesures de sécurité pour garantir que nous protégeons les données client, et que nous proposons les services les plus fiables et les plus sécurisés possible. Cependant, nous reconnaissons également que des incidents de sécurité peuvent tout de même se produire, et il est donc tout aussi important de disposer de méthodes efficaces pour les gérer, le cas échéant.
Par conséquent, nous adoptons une approche clairement définie pour répondre aux incidents de sécurité affectant nos services ou notre infrastructure. Cette approche de la réponse aux incidents comprend la journalisation et la surveillance complètes de nos produits et de notre infrastructure pour nous assurer de détecter rapidement les incidents potentiels. Elle est appuyée par des processus soigneusement définis, qui garantissent la clarté de la marche à suivre à chaque étape d'un incident. Une équipe de gestionnaires d'incident d'astreinte hautement qualifiés, qui possèdent une solide expérience en matière de coordination efficace de la réponse, se tient à vos côtés. Nous avons également accès à un panel d'experts externes qui nous aident à examiner les incidents et à y répondre aussi efficacement que possible. Nous avons structuré notre approche de la gestion des incidents sur les conseils du guide NIST 800-61 (Computer Security Incident Handling Guide), et nous cataloguons nos incidents selon le framework Verizon VERIS.
En savoir plus sur notre philosophie et notre approche
Nous considérons comme incident de sécurité toute situation qui affecte ou qui affectera sous peu la confidentialité, l'intégrité ou la disponibilité des données de nos clients, ou encore des données ou services d'Atlassian.
Auparavant, l'impact était considéré comme « intentionnel », mais nous avons supprimé cet adjectif afin d'inclure les fuites de données accidentelles, etc.
Dans le cadre de notre méthode de réponse aux incidents de sécurité, nous mettons un point d'honneur à respecter nos valeurs et, en particulier, à « ne pas baratiner le client ». Nous nous efforçons de mettre en place les meilleurs processus afin de gérer les incidents de sécurité, tout en protégeant au mieux les intérêts de nos clients et en veillant à ce que ces derniers continuent de bénéficier d'une expérience exceptionnelle dans nos produits. À cette fin, nous avons développé un processus de réponse aux incidents solide, qui intègre plusieurs des fonctionnalités décrites ci-dessous.
Plusieurs options pour détecter rapidement les incidents potentiels
Nous avons mis en place plusieurs mécanismes de surveillance pour détecter les défaillances et anomalies dans nos produits et notre infrastructure susceptibles d'indiquer un incident de sécurité potentiel. Ces systèmes nous alertent immédiatement si une activité nécessitant une analyse plus approfondie est détectée. Nous disposons d'une plateforme agrégée de consignation et d'analyse de journaux, qui rassemble ces derniers à un emplacement unique. Nos analystes peuvent ainsi procéder à un examen rapide et approfondi, et nos ingénieurs chargés de la fiabilité du site surveillent la plateforme pour s'assurer qu'elle est toujours disponible. Nous créons également des alertes dans nos informations de sécurité et notre application d'événements pour prévenir nos équipes de manière proactive.
Nous tenons également à jour des canaux de rapport externes par lesquels nous pouvons prendre connaissance des vulnérabilités ou des incidents, y compris notre programme Bug Bounty, notre portail de support client, ainsi que des boîtes de réception et des numéros de téléphone de sécurité définis.
Définition d'un framework pour gérer les incidents de sécurité
Pour nous assurer que notre processus de réponse aux incidents est cohérent, reproductible et efficace, nous avons mis en place un framework interne clairement défini, qui couvre les mesures à prendre à chaque phase du processus de réponse aux incidents. Nos playbooks documentés sont continuellement mis à jour et définissent en détail les étapes à suivre pour répondre efficacement aux différents types d'incidents. Dans les grandes lignes, notre framework de réponse couvre les points suivants :
Détection et analyse des incidents : il s'agit des mesures que nous prenons suite à la réception des notifications initiales concernant un incident potentiel, y compris confirmer la survenue d'un incident de sécurité (afin de limiter les faux positifs), ainsi que comprendre les vecteurs d'attaque, le périmètre de compromission, et l'impact sur Atlassian et ses clients.
Catégorisation de la gravité de l'incident : une fois que nous comprenons ce qui s'est passé grâce à une analyse appropriée, nous utilisons ces informations pour déterminer la gravité de l'incident. Nous attribuons l'un des quatre niveaux de gravité suivants à un incident :
Description de la gravité de l'incident | |
Gravité | Description |
0 | Incident de crise ayant un impact maximal |
1 | Incident critique ayant un impact très élevé |
2 | Incident majeur ayant un impact significatif |
3 | Incident mineur ayant un faible impact |
Nous utilisons différents indicateurs pour déterminer la gravité d'un incident. Ils varient en fonction du produit concerné, mais incluront l'examen d'une éventuelle interruption complète du service (et du nombre de clients affectés), d'une panne de fonctionnalité principale et d'une perte de données.
Maîtrise, éradication et reprise : ensuite, en tenant compte de la gravité de l'incident, nous déterminons et mettons en œuvre les étapes nécessaires pour maîtriser l'incident, éradiquer les causes sous-jacentes et lancer nos processus de reprise afin de reprendre au plus vite le cours normal des activités. Naturellement, les mesures prises au cours de cette phase varieront considérablement en fonction de la nature de l'incident. Dans la mesure où cette démarche profitera à nos clients (ou conformément aux obligations légales ou contractuelles), nous leur enverrons des informations concernant l'incident et ses répercussions potentielles sur leurs activités au cours de cette phase du processus de réponse aux incidents.
Notification : nous nous efforçons d'informer chaque client dans un délai raisonnable si leurs données sont impliquées dans un incident avéré. Dans un premier temps, cette notification pourra être brève, mais nous fournirons tous les détails requis dès qu'ils seront disponibles.
Processus éprouvé de revue post-incident : une fois l'incident résolu, nous examinons les leçons à tirer de cet événement afin d'orienter le développement de solutions techniques, l'amélioration des processus et l'établissement de bonnes pratiques pour continuer de fournir à nos clients la meilleure expérience possible et compliquer encore la tâche des personnes malintentionnées.
Rôles et responsabilités clairement définis
Chaque incident rencontré est géré par l'un de nos responsables de la gestion des incidents majeurs (ou MIM) hautement qualifiés et expérimentés. Les MIM prennent généralement les décisions en matière de sécurité, supervisent le processus de réponse et répartissent les tâches en interne pour le faciliter. Ils sont en outre soutenus par des analystes d'incidents qui pilotent les enquêtes et analyses sur les incidents, ainsi que par d'autres rôles qui contribuent au processus de réponse. Bien souvent, si un incident a un impact sur plusieurs régions, deux MIM lui sont assignés pour s'assurer qu'une personne est toujours responsable de faire avancer notre processus de réponse, et que les activités de confinement ou de reprise ne sont pas ralenties ou affectées par le décalage horaire.
Dans le cas d'incidents à très grande échelle, un MIM d'une autre équipe (normalement celle des ingénieurs chargés de la fiabilité du site) devra peut-être être appelé pour aider à gérer le processus de réponse. Des informations supplémentaires concernant les rôles et les responsabilités assignés en cas d'incidents de sécurité sont à votre disposition.
Recours à des experts externes, si nécessaire
Nous devons parfois faire appel à un expert externe pour nous aider à examiner un incident. Nous recourons aux services de conseillers spécialisés en cybersécurité et d'experts judiciaires dans les cas où nous pourrions avoir besoin d'analyses ou de gardes judiciaires approfondies pour une investigation informatique à l'appui d'un litige.
Comment utilisons-nous nos propres outils pour gérer les incidents de sécurité ?
Nous utilisons des versions spécialement configurées de bon nombre de nos propres produits pour nous assurer d'être aussi méthodiques, cohérents et dynamiques que possible lors de la gestion d'incidents, notamment :
Confluence : nous utilisons Confluence pour créer, renseigner et mettre à jour conjointement nos processus de réponse aux incidents à un emplacement central, mais aussi pour nous assurer que ces processus sont communiqués à l'ensemble du personnel et qu'ils peuvent être rapidement mis à jour en fonction des leçons tirées d'incidents passés. Nous l'utilisons également pour consigner nos réflexions et nos recherches.
Jira : nous utilisons Jira pour créer des tickets afin de gérer l'examen initial des incidents potentiels, et de simplifier et suivre notre processus de réponse si nos examens initiaux confirment la survenue d'un incident. Ces tickets nous permettent de regrouper les informations relatives à un incident, d'élaborer des résolutions et d'effectuer d'autres tâches logistiques (par exemple, déléguer des tâches dans le cadre du processus de réponse et contacter d'autres équipes de l'entreprise si nécessaire). Nous utilisons également Jira pour suivre les recherches effectuées, ainsi que pour évaluer la réussite ou l'échec de chacune d'elles.
Bitbucket : nous utilisons Bitbucket comme outil de contrôle du code source lorsque nous développons des solutions basées sur le code pour résoudre des problèmes périphériques uniques qui surviennent dans certains types d'incidents. Les solutions que nous développons peuvent ensuite faire l'objet d'une collaboration interne et être testées, tout en restant privées et en facilitant des itérations rapides, si nécessaire. Nous utilisons Bitbucket avec un plan d'intégration/de livraison continue, nous déployons du code pour tenter d'éliminer la cause d'un incident, ou encore aider à la détection ou la prévention de futurs incidents.
En fin de compte, ces outils nous permettent d'établir un framework de réponse qui garantit que tous les incidents, quel que soit leur type, présentent un certain niveau de structure et de familiarité, afin de pouvoir trouver une solution le plus rapidement possible.
En résumé
Atlassian adopte une approche solide et complète pour gérer les incidents de sécurité. Celle-ci repose sur l'utilisation des outils que nous mettons à la disposition de nos clients. Nous pouvons ainsi répondre aux incidents avec un degré élevé de cohérence, de prévisibilité et d'efficacité, et réduire les risques de dommages non seulement pour nos clients et nos partenaires, mais aussi pour Atlassian.
Vous voulez aller plus loin ?
Nous avons publié un certain nombre d'autres ressources auxquelles vous pouvez accéder pour découvrir notre approche de la gestion des incidents de sécurité et notre approche générale de la sécurité.