L'un des problèmes les plus difficiles en matière de cybersécurité d'entreprise, avec lequel la Securities and Exchange Commission des États-Unis se débat ouvertement, est de savoir quand une entreprise doit-elle signaler une violation de données ?
La partie la plus simple est la suivante : « combien de temps après que l'entreprise a pris connaissance de la violation doit-elle la divulguer ? » Différents régimes de conformité ont des chiffres différents, mais ils sont relativement proches, depuis les 72 heures du RGPD jusqu'aux quatre premiers jours de la SEC.
La partie difficile consiste à définir à quel moment une personne morale « sait » réellement que quelque chose s’est produit. Quand exactement Walmart ou ExxonMobil ont-ils su quelque chose ? (Si le texte disait « lorsque le directeur financier de l'entreprise est convaincu qu'une violation de données s'est produite », ce serait beaucoup plus simple.)
Pour comprendre ce problème de conscience, il faut d'abord le décomposer en deux éléments distincts :
Commençons par le premier élément. À l'exception des attaques évidentes, telles qu'une attaque de ransomware où une rançon testée par pénétration a été reçue, la plupart des attaques se produisent progressivement. Quelqu'un dans le SOC détecte une anomalie ou quelque chose de suspect. Suffit-il de signaler ? Presque certainement pas. Ensuite, quelqu'un de plus haut placé dans le SOC s'en mêle.
Si les choses semblent toujours mauvaises, cela est signalé au CISO ou au CSO. Ce leader pourrait dire : « Vous m'avez trahi. Je dois le signaler immédiatement au CIO, au CFO et éventuellement au PDG. Si oui, vous n'avez pas encore atteint l'étape de la divulgation. Ces autres dirigeants devraient peser.
Cependant, le CISO/CSO répondra très probablement en disant quelque chose comme : « Vous n'avez pas encore tout compris. Ce sera toujours l'une des centaines de choses différentes. Regardez quelques sauvegardes, faites des comparaisons, consultez le dark web pour une confirmation. Continuez vos recherches.
L'horloge démarre-t-elle déjà ? Encore une fois, probablement pas. Une entreprise ne peut pas déclarer toutes les enquêtes de cybersécurité. Le niveau de preuve requis pour justifier la divulgation publique est élevé. Après tout, honte au pauvre cadre qui signale une violation qui s'avère n'être rien.
Autre facteur : la plupart des cybervoleurs et des cyberterroristes sont doués pour cacher leurs traces et laisser des indices trompeurs. Mono avec journaux est courant, ce qui signifie que la sécurité informatique ne peut faire confiance aux journaux que jusqu'à présent, du moins au début. Rappelez-vous combien de fois le premier rapport médico-légal diffère considérablement du deuxième rapport médico-légal. Il faut juste du temps, même pour des enquêteurs médico-légaux expérimentés, pour séparer la vérité de tout ce que les attaquants trompeurs laissent derrière eux.
Quant au second, qui décide qui doit prendre la décision finale en cas de violation de données ? Un argument peut être avancé pour le meilleur expert en cybersécurité (vraisemblablement le CISO/CSO) ou les personnes les plus responsables de l'entreprise (PDG ou conseil d'administration), mais pour certaines entreprises, le Chief Risk Officer peut être un bon candidat.
Chaque entreprise choisit-elle pour elle-même ? Les régulateurs devraient-ils décider ? Ou les régulateurs devraient-ils laisser chaque entreprise décider elle-même qui sera la personne de contact et signaler ce titre aux régulateurs ?
Jim Taylor, chef de produit chez le fournisseur de cybersécurité SecurID, affirme que le déclencheur devrait se produire directement dans le SOC. « Ce n’est pas parce que quelque chose heurte votre clôture qu’il s’agit d’un élément déclencheur. C'est peut-être l'analyste principal, peut-être le leader du SOC », a déclaré Taylor. "Il doit y avoir de la culpabilité, de la responsabilité pour ces choses."
Mais devoir prendre une décision trop tôt peut s’avérer problématique. Signalez une violation prématurément et vous aurez des ennuis. Signalez une infraction trop tard et vous aurez des ennuis. "Vous êtes damné si vous le faites et damné si vous ne le faites pas", a déclaré Taylor.
La vérité est que c'est difficile et que cela devrait l'être. Chaque violation est différente, chaque entreprise est différente et des règles de définition rigides sont susceptibles de créer plus de problèmes qu'elles n'en résolvent.
"La nature de la manière dont la violation s'est produite est un facteur important pour savoir quand la divulguer", a déclaré Alex Lisle, CTO de Krytowire, une autre société de cybersécurité. "Si vous y réfléchissez suffisamment pour embaucher une équipe médico-légale, vous devriez alors sérieusement envisager de le signaler."
Il y avait une belle réplique dans l'ancienne émission télévisée "Scrubs", dans laquelle un médecin responsable d'un laboratoire de tests demande à quelqu'un qui souhaite refaire le test : "Pensez-vous que j'ai eu tort ou espérez-vous que j'ai eu tort ?". Cette ligne peut souvent entrer en jeu lorsque plusieurs personnes tentent de déterminer si l’entreprise a réellement été attaquée. L'équipe sait-elle d'une manière ou d'une autre qu'elle a été attaquée et espère-t-elle qu'une enquête plus approfondie réfutera cette information ? Ou est-ce que l’équipe ne le sait vraiment pas ?
C'est là qu'un agent de détermination de non-conformité désigné devrait intervenir, en fonction de son expérience et, honnêtement, d'une forte intuition. Certaines parties de la cybersécurité relèvent de la science pure. Décider très tôt si les données ont réellement été affectées ne l'est souvent pas.
Copyright © 2022 IDG Communications, Inc.