Responsabilités d'Atlassian en cas d'incident de sécurité


Introduction

Comme tout fournisseur de services cloud qui se respecte, nous faisons de notre mieux pour nous assurer que nos clients ne rencontrent pas de panne ou d'incident de sécurité. Cependant, nous sommes conscients qu'un incident de sécurité est tout à fait possible. Pour nous, il est essentiel que les clients comprennent leur intégration dans notre processus de réponse aux incidents de sécurité et leurs responsabilités au cours d'un incident. Nous prévoyons le pire scénario, donc s'il se produit, nous sommes prêts et nous ne baratinons pas notre client.

Nous nous efforçons de gérer l'intégralité des incidents de sécurité affectant nos services et notre infrastructure. Nous prendrons les mesures nécessaires, de la détection de violations à leur maîtrise, voire à leur divulgation. Mais nous n'avons pas l'œil partout. Nous avons parfois besoin d'un coup de main de nos clients pour signaler un incident, ou encore d'un consultant externe pour mettre à profit des compétences d'enquête ou judiciaires spécialisées.

Rôles

Nous avons examiné et utilisé un certain nombre de modèles de gestion des incidents de sécurité pour nous assurer que nos processus de réponse aux incidents sont à la fois complets et de premier ordre. Nous avons extrait les principales activités de ces modèles et décrit la responsabilité de chacun.

 

Partie

Rôle

Description

 

Partie

Atlassian

Rôle

Coordinateur de la réponse aux incidents de sécurité

Description

Chaque incident de sécurité est géré par un coordinateur d'incident principal au sein de notre équipe de sécurité Atlassian. Celui-ci prend les décisions de sécurité, supervise le processus et répartit les tâches.

 

Partie

Atlassian

Rôle

Analyste des incidents de sécurité

Description

Les analystes de sécurité effectuent la majorité des analyses sur les incidents. Pour les petits incidents, ces tâches sont souvent assurées par le coordinateur de la réponse aux incidents de sécurité.

 

Partie

Atlassian

Rôle

Responsable de la communication avec les clients

Description

Un responsable de la communication avec les clients est assigné à chaque incident pour prendre des décisions concernant l'implication des clients. En règle générale, cette personne s'occupe également en grande partie de la communication client.

 

Partie

Atlassian

Rôle

Équipe rouge

Description

L'équipe rouge d'Atlassian imite les hackers du monde réel, et exécute des scénarios de test définis conçus pour évaluer et identifier les améliorations de nos propres capacités de détection et de réponse.

 

Partie

Atlassian

Rôle

Conseiller de soutien

Description

Les équipes de gestion des incidents de sécurité Atlassian sollicitent les conseils de divers experts internes dans différents domaines (par exemple, juridique, confidentialité, risques, ressources humaines, et bien plus). Ces conseillers dispensent des conseils spécialisés sur des questions qui ont un impact sur leurs domaines d'expertise.

 

Partie

Conseils en sécurité

Rôle

Conseiller

Description

Atlassian recourt aux services d'un conseil spécialisé en cybersécurité en cas d'incident. En général, les services de conseils permettent de fournir des ressources supplémentaires en cas de pénurie, des compétences spécialisées si elles ne sont pas disponibles en interne, ainsi que des conseils indépendants et un examen des incidents.

 

Partie

Client

Rôle

Rapporteur

Description

Nous encourageons les clients à signaler tout accès non autorisé ou comportement malveillant aux ressources Atlassian.

 

Partie

Client

Rôle

Contact de sécurité

Description

Si un incident affectant un client est confirmé, le contact de sécurité de ce dernier sera informé. Le contact de sécurité est généralement le contact technique du compte, mais peut changer si le client dispose d'une équipe de sécurité dédiée. Le contact de sécurité s'assure que le client gère correctement l'incident en dehors du périmètre des ressources Atlassian.

Responsabilités

Nous définissons nos responsabilités en matière de gestion des incidents de sécurité à l'aide du modèle RACI. Bien que nous nous efforcions de remplir nos responsabilités définies, les clients sont finalement responsables de la sécurité de leurs données conformément au Contrat client Atlassian.

  • Responsible (En charge) : la partie accomplira la tâche.
  • Accountable (Responsable) : la partie est en fin de compte responsable de la réalisation adéquate et complète de l'activité.
  • Consulted (Consulté) : la partie dont les opinions sont sollicitées et avec laquelle il existe une communication bilatérale.
  • Informed (Informé) : la partie qui est tenue informée de l'avancement et avec qui il n'existe qu'une communication à sens unique.

 

Activité

Atlassian

Client

 

Activité

Détection

Atlassian

En charge

Client

 

 

Activité

Triage

Atlassian

En charge

Client

 

 

Activité

Examen

Atlassian

En charge

Client

 

 

Activité

Confinement

Atlassian

En charge

Client

 

 

Activité

Éradication

Atlassian

En charge

Client

Informé

 

Activité

Reprise

Atlassian

En charge

Client

Informé

 

Activité

Notification (au client)

Atlassian

En charge

Client

Informé

 

Activité

Notification (à Atlassian)

Atlassian

Informé

Client

En charge

 

Activité

Amélioration

Atlassian

En charge

Client

 

 

Activité

Tests

Atlassian

En charge

Client

 

 

Activité

Rapports externes (application de la loi et conformité)

Atlassian

Responsable En charge

Client

Informé

 

Activité

Publication de données agrégées

Atlassian

En charge

Client

Informé