Mettre en place un journal d'incidents qui convainc les auditeurs

Un journal d'incidents vide est un signal d'alarme pour les auditeurs. Cela ne signifie pas qu'il n'y a pas eu d'incidents — cela signifie que vous ne les consignez pas. Voici comment mettre en place un journal opérationnel.

« Nous n'avons eu aucun incident l'année dernière » est une phrase qui fait lever un sourcil aux auditeurs. Presque toutes les organisations connaissent des incidents — qu'il s'agisse d'un e-mail de phishing détecté ou d'un mot de passe partagé accidentellement collé dans Slack. Les consigner prouve que vous y prêtez attention.

Qu'est-ce qu'un incident ?

Tout événement qui compromet (ou risque de compromettre) la confidentialité, l'intégrité ou la disponibilité des informations de l'entreprise. Les incidents ne sont pas synonymes de violations de données — beaucoup restent mineurs et sont résolus rapidement, mais ils méritent néanmoins d'être enregistrés.

Que consigner pour chaque incident ?

• Date + heure de détection
• Brève description (« e-mail de phishing provenant d'un prétendu PDG »)
• Catégorie (phishing, appareil perdu, malware, divulgation involontaire, violation de données, autre)
• Gravité (faible / moyenne / élevée)
• Qui l'a signalé
• Qui l'a pris en charge
• Statut (ouvert, en cours, clôturé)
• Actions entreprises
• Cause racine + leçon tirée (à la clôture)
• Notification de violation de données GDPR requise ? Oui/Non + justification

Où consigner les incidents ?

Un tableau Airtable, une base de données Notion ou une simple feuille de calcul conviennent parfaitement, à condition que la structure soit cohérente. Au-delà de 50 incidents par an, un outil dédié vaut l'investissement.

Lien avec le registre des risques

Tout incident à fort impact doit être répercuté dans le registre des risques : relevez le score de probabilité, mettez à jour la mesure corrective et réduisez le risque résiduel une fois l'action menée.

Notification de violation de données (GDPR)

Toute violation de données doit être signalée à l'autorité de protection des données dans les 72 heures suivant sa découverte. Consultez la procédure de notification GDPR. Votre journal d'incidents est la principale preuve que vous avez respecté ce délai.