Stratégies et procédures de gestion des incidents Dropbox
Dropbox a mis en place des stratégies et procédures de gestion des incidents afin de résoudre les problèmes de disponibilité, d'intégrité, de sécurité et de confidentialité. Nos procédures de gestion des incidents s'appuient sur des équipes dédiées et formées pour assurer les actions suivantes :
- Réaction rapide aux alertes (incident potentiel)
- Évaluation de la gravité de l'incident
- Exécution de mesures de correction et de confinement (si nécessaire)
- Communication avec les bonnes personnes, en interne et en externe, notamment en informant les clients concernés qu'ils doivent remplir leurs obligations contractuelles en matière de notification des incidents et des failles, et se conformer aux lois et réglementations en vigueur
- Collecte et archivage de preuves dans le cadre d'enquêtes
- Création de rapports d'incident et mise en place d'un système de tri permanent
Les stratégies et procédures de gestion des incidents sont auditées conformément aux normes de sécurité SOC 2+ et ISO/IEC 27001, entre autres.
Dropbox suit le cycle de vie de gestion des incidents standard ci-dessous :
- Découverte ;
- Notification ;
- Réponse ;
- Évaluation ;
- Mesure de correction.
Après le signalement d'un incident affectant les clients, qu'il soit causé par des acteurs externes ou des personnes ayant un accès autorisé, une évaluation de l'impact est réalisée afin d'élaborer un plan d'action visant à remédier aux problèmes identifiés. Lorsque la législation en vigueur, les obligations contractuelles ou d'autres obligations appropriées l'exigent, Dropbox informe ses clients de l'incident selon les modalités décrites dans le contrat de traitement des données de Dropbox.
Les problèmes identifiés dans le cadre d'un incident sont classés en deux catégories principales :
- Les mesures ponctuelles, qui correspondent à des mesures à court terme visant à atténuer les risques et à mettre fin à un incident ;
- Les problèmes de sécurité, qui correspondent à des projets à plus long terme liés à des technologies ou à des systèmes spécifiques visant à atténuer les répercussions négatives sur les risques liés à la sécurité.
Les mesures ponctuelles sont attribuées aux personnes pertinentes au sein de l'entreprise, qui se coordonnent pour atténuer le problème, communiquent avec les intervenants internes et veillent à garantir la disponibilité des ressources nécessaires.
Le problème s'entend résolu lorsque toutes les activités du plan d'action ont été portées à terme.
Une fois l'incident atténué, une analyse rétrospective est effectuée pour comprendre pleinement la ou les causes profondes d'un problème, identifier les mesures ponctuelles et les problèmes de sécurité, et achever tout travail en suspens afin d'éviter que les problèmes ne se reproduisent. Les incidents font l'objet d'une série d'enquêtes visant à recueillir des informations et suggestions à différents niveaux de l'organisation. Plus le problème est grave, plus le niveau d'enquête sur l'incident sera élevé. Les projets à plus long terme sont ajoutés à des sprints et des feuilles de route, et les enseignements tirés sont transmis aux équipes concernées.
Cette approche progressive permet à Dropbox de se concentrer sur les travaux les plus importants au moment opportun, afin d'éviter les problèmes futurs.