Stratégies et procédures de gestion des incidents Dropbox

Mis à jour Dec 16, 2024
person icon

Les informations contenues dans cet article s’appliquent à tous les clients disposant d’un forfait Dropbox payant.


Dropbox dispose de politiques et de procédures de réponse aux incidents pour résoudre les problèmes de disponibilité, d’intégrité, de sécurité et de confidentialité des services. Dans le cadre de nos procédures de réponse aux incidents, nous disposons d’équipes dédiées qui sont formées pour :

  • Réaction rapide aux alertes (incident potentiel)
  • Évaluation de la gravité de l’incident
  • Exécution de mesures de correction et de confinement (si nécessaire)
  • Communication avec les bonnes personnes, en interne et en externe, notamment en informant les clients concernés qu’ils doivent remplir leurs obligations contractuelles en matière de notification des incidents et des failles, et se conformer aux lois et réglementations en vigueur
  • Collecte et archivage de preuves dans le cadre d’enquêtes
  • Création de rapports d’incident et mise en place d’un système de tri permanent

Les stratégies et procédures de gestion des incidents sont auditées conformément aux normes de sécurité SOC 2+ et ISO/IEC 27001, entre autres.

Dropbox suit le cycle de vie de gestion des incidents standard ci-dessous :

  1. Découverte ;
  2. Notification ;
  3. Réponse ;
  4. Évaluation ;
  5. Mesure de correction.

Après le signalement d’un incident affectant les clients, qu’il soit causé par des acteurs externes ou des personnes ayant un accès autorisé, une évaluation de l’impact est réalisée afin d’élaborer un plan d’action visant à remédier aux problèmes identifiés. Lorsque la législation en vigueur, les obligations contractuelles ou d’autres obligations appropriées l’exigent, Dropbox informe ses clients de l’incident selon les modalités décrites dans le contrat de traitement des données de Dropbox.

Les problèmes identifiés dans le cadre d’un incident sont classés en deux catégories principales :

  1. Les mesures ponctuelles, qui correspondent à des mesures à court terme visant à atténuer les risques et à mettre fin à un incident ;
  2. Les problèmes de sécurité, qui correspondent à des projets à plus long terme liés à des technologies ou à des systèmes spécifiques visant à atténuer les répercussions négatives sur les risques liés à la sécurité.

Les mesures ponctuelles sont attribuées aux personnes pertinentes au sein de l’entreprise, qui se coordonnent pour atténuer le problème, communiquent avec les intervenants internes et veillent à garantir la disponibilité des ressources nécessaires.

Le problème s’entend résolu lorsque toutes les activités du plan d’action ont été portées à terme. 

Une fois l’incident atténué, une analyse rétrospective est effectuée pour comprendre pleinement la ou les causes profondes d’un problème, identifier les mesures ponctuelles et les problèmes de sécurité, et achever tout travail en suspens afin d’éviter que les problèmes ne se reproduisent. Les incidents font l’objet d’une série d’enquêtes visant à recueillir des informations et suggestions à différents niveaux de l’organisation.  Plus le problème est grave, plus le niveau d’enquête sur l’incident sera élevé. Les projets à plus long terme sont ajoutés à des sprints et des feuilles de route, et les enseignements tirés sont transmis aux équipes concernées.  

Cette approche progressive permet à Dropbox de se concentrer sur les travaux les plus importants au moment opportun, afin d’éviter les problèmes futurs.

Cet article vous a-t-il été utile ?

Let us know how why it didn't help:

Thanks for letting us know!

Merci d'avoir donné votre avis !

Autres options pour obtenir de l'aide