IR-09 - Intervention en cas de fuite d’information (Pa--)
Énoncés :
Réagir aux fuites d’information en :
a. désignant [Affectation : personnel ou rôles définis par l’organisation] à titre de personnes responsables de l’intervention cas de fuite d’information
b. déterminant, de manière précise, quelle information a fait l’objet de la contamination du système
c. avertissant [Affectation : personnel ou rôles définis par l’organisation] de la fuite d’information au moyen d’un mode de communication n’étant pas lié à la fuite
d. isolant le système ou le composant du système contaminé
e. supprimant l’information du système ou le composant du système contaminé
f. déterminant si d’autres systèmes ou composants de systèmes avaient pu être contaminés subséquemment
g. effectuant les mesures supplémentaires suivantes : [Affectation : actions définies par l’organisation]
Les fuites d’information sont des situations où de l’information est transmise à des systèmes pour lesquels le traitement de ce type d’information n’a pas été autorisé. Les fuites d’information se produisent lorsqu’on croit faussement que la classification de l’information transmise à un système est moins élevée qu’elle ne l’est réellement et que cette correction est apportée après la transmission. À ce stade, il est nécessaire de mettre en place des mesures correctives. La nature de l’intervention est fondée sur la classification ou le niveau d’incidence de l’information faisant l’objet de la fuite, sur les capacités de sécurité du système, sur la nature précise du support de stockage contaminé et sur les autorisations d’accès des personnes autorisées à accéder au système contaminé. Les méthodes utilisées pour communiquer l’information relative à la fuite après le coup ne sont pas directement liées à la méthode de transmission de l’information faisant l’objet de la fuite de sorte à réduire le risque d’élargissement de la contamination avant que celle-ci ne soit isolée et l’information supprimée Si les fuites d’information touchent à des renseignements personnels, les responsables devraient passer en revue la situation pour évaluer si une atteinte à la vie privée s’est produite, et les protocoles sur les atteintes à la vie privée de l’organisation doivent être suivis, tel qu’il est précisé dans l’IR-08.