Dropbox dispose de politiques et de procédures de réponse aux incidents pour résoudre les problèmes de disponibilité, d’intégrité, de sécurité et de confidentialité des services. Dans le cadre de nos procédures de réponse aux incidents, nous disposons d’équipes dédiées qui sont formées pour :
- Réaction rapide aux alertes (incident potentiel)
- Évaluation de la gravité de l’incident
- Exécution de mesures de correction et de confinement (si nécessaire)
- Communication avec les bonnes personnes, en interne et en externe, notamment en informant les clients concernés qu’ils doivent remplir leurs obligations contractuelles en matière de notification des incidents et des failles, et se conformer aux lois et réglementations en vigueur
- Collecte et archivage de preuves dans le cadre d’enquêtes
- Documenter un post-mortem et élaborer un plan d’atténuation des risques
Les stratégies et procédures de gestion des incidents sont auditées conformément aux normes de sécurité SOC 2+ et ISO/IEC 27001, entre autres.
Dropbox suit le cycle de vie de gestion des incidents standard ci-dessous :
- Détection
- Notification
- Réponse
- Évaluation
- Mesure de correction.
Après le signalement d’un incident affectant les clients, qu’il soit causé par des acteurs externes ou des personnes ayant un accès autorisé, une évaluation de l’impact est réalisée afin d’élaborer un plan d’action visant à remédier aux problèmes identifiés. Lorsque la législation en vigueur, les obligations contractuelles ou d’autres obligations appropriées l’exigent, Dropbox informe ses clients de l’incident selon les modalités décrites dans le contrat de traitement des données de Dropbox.
Les problèmes identifiés dans le cadre d’un incident sont classés en deux catégories principales :
- Actions à entreprendre : mesures à court terme pour atténuer un risque et mettre fin à un incident ; et
- Problèmes de sécurité : projets à plus long terme liés à des technologies ou des systèmes spécifiques pour atténuer l’impact négatif sur les risques de sécurité.
Les mesures ponctuelles sont attribuées aux personnes pertinentes au sein de l’entreprise, qui se coordonnent pour atténuer le problème, communiquent avec les intervenants internes et veillent à garantir la disponibilité des ressources nécessaires.
Le problème s’entend résolu lorsque toutes les activités du plan d’action ont été portées à terme.
Après l’atténuation d’un incident, une analyse post-mortem est effectuée pour comprendre pleinement la ou les causes profondes d’un problème, identifier les actions à entreprendre et les problèmes de sécurité, et terminer tout travail restant pour empêcher les problèmes de se reproduire. Les incidents font l’objet d’une série d’examens visant à recueillir des informations et des idées à différents niveaux de l’organisation. Plus le problème est grave, plus le niveau d’examen de l’incident est élevé. Les flux de travail à plus long terme sont ajoutés aux sprints et aux feuilles de route, et les leçons apprises sont communiquées aux équipes concernées.
Cette approche progressive permet à Dropbox de se concentrer sur les travaux les plus importants au moment opportun, afin d’éviter les problèmes futurs.
