Responsabilités d'Atlassian en cas d'incident de sécurité
Introduction
Comme tout fournisseur de services cloud qui se respecte, nous faisons de notre mieux pour nous assurer que nos clients ne rencontrent pas de panne ou d'incident de sécurité. Cependant, nous sommes conscients qu'un incident de sécurité est tout à fait possible. Pour nous, il est essentiel que les clients comprennent leur intégration dans notre processus de réponse aux incidents de sécurité et leurs responsabilités au cours d'un incident. Nous prévoyons le pire scénario, donc s'il se produit, nous sommes prêts et nous ne baratinons pas notre client.
Nous nous efforçons de gérer l'intégralité des incidents de sécurité affectant nos services et notre infrastructure. Nous prendrons les mesures nécessaires, de la détection de violations à leur maîtrise, voire à leur divulgation. Mais nous n'avons pas l'œil partout. Nous avons parfois besoin d'un coup de main de nos clients pour signaler un incident, ou encore d'un consultant externe pour mettre à profit des compétences d'enquête ou judiciaires spécialisées.
Rôles
Nous avons examiné et utilisé un certain nombre de modèles de gestion des incidents de sécurité pour nous assurer que nos processus de réponse aux incidents sont à la fois complets et de premier ordre. Nous avons extrait les principales activités de ces modèles et décrit la responsabilité de chacun.
| | Partie | Rôle | Description |
|---|---|---|---|
|
| Partie Atlassian | Rôle Coordinateur de la réponse aux incidents de sécurité | Description Chaque incident de sécurité est géré par un coordinateur d'incident principal au sein de notre équipe de sécurité Atlassian. Celui-ci prend les décisions de sécurité, supervise le processus et répartit les tâches. |
|
| Partie Atlassian | Rôle Analyste des incidents de sécurité | Description Les analystes de sécurité effectuent la majorité des analyses sur les incidents. Pour les petits incidents, ces tâches sont souvent assurées par le coordinateur de la réponse aux incidents de sécurité. |
|
| Partie Atlassian | Rôle Responsable de la communication avec les clients | Description Un responsable de la communication avec les clients est assigné à chaque incident pour prendre des décisions concernant l'implication des clients. En règle générale, cette personne s'occupe également en grande partie de la communication client. |
|
| Partie Atlassian | Rôle Équipe rouge | Description L'équipe rouge d'Atlassian imite les hackers du monde réel, et exécute des scénarios de test définis conçus pour évaluer et identifier les améliorations de nos propres capacités de détection et de réponse. |
|
| Partie Atlassian | Rôle Conseiller de soutien | Description Les équipes de gestion des incidents de sécurité Atlassian sollicitent les conseils de divers experts internes dans différents domaines (par exemple, juridique, confidentialité, risques, ressources humaines, et bien plus). Ces conseillers dispensent des conseils spécialisés sur des questions qui ont un impact sur leurs domaines d'expertise. |
|
| Partie Conseils en sécurité | Rôle Conseiller | Description Atlassian recourt aux services d'un conseil spécialisé en cybersécurité en cas d'incident. En général, les services de conseils permettent de fournir des ressources supplémentaires en cas de pénurie, des compétences spécialisées si elles ne sont pas disponibles en interne, ainsi que des conseils indépendants et un examen des incidents. |
|
| Partie Client | Rôle Rapporteur | Description Nous encourageons les clients à signaler tout accès non autorisé ou comportement malveillant aux ressources Atlassian. |
|
| Partie Client | Rôle Contact de sécurité | Description Si un incident affectant un client est confirmé, le contact de sécurité de ce dernier sera informé. Le contact de sécurité est généralement le contact technique du compte, mais peut changer si le client dispose d'une équipe de sécurité dédiée. Le contact de sécurité s'assure que le client gère correctement l'incident en dehors du périmètre des ressources Atlassian. |
Responsabilités
Nous définissons nos responsabilités en matière de gestion des incidents de sécurité à l'aide du modèle RACI. Bien que nous nous efforcions de remplir nos responsabilités définies, les clients sont finalement responsables de la sécurité de leurs données conformément au Contrat client Atlassian.
- Responsible (En charge) : la partie accomplira la tâche.
- Accountable (Responsable) : la partie est en fin de compte responsable de la réalisation adéquate et complète de l'activité.
- Consulted (Consulté) : la partie dont les opinions sont sollicitées et avec laquelle il existe une communication bilatérale.
- Informed (Informé) : la partie qui est tenue informée de l'avancement et avec qui il n'existe qu'une communication à sens unique.
| | Activité | Atlassian | Client |
|---|---|---|---|
|
| Activité Détection | Atlassian En charge | Client
|
|
| Activité Triage | Atlassian En charge | Client
|
|
| Activité Examen | Atlassian En charge | Client
|
|
| Activité Confinement | Atlassian En charge | Client
|
|
| Activité Éradication | Atlassian En charge | Client Informé |
|
| Activité Reprise | Atlassian En charge | Client Informé |
|
| Activité Notification (au client) | Atlassian En charge | Client Informé |
|
| Activité Notification (à Atlassian) | Atlassian Informé | Client En charge |
|
| Activité Amélioration | Atlassian En charge | Client
|
|
| Activité Tests | Atlassian En charge | Client
|
|
| Activité Rapports externes (application de la loi et conformité) | Atlassian Responsable En charge | Client Informé |
|
| Activité Publication de données agrégées | Atlassian En charge | Client Informé |