Alors que les législateurs poussent à la divulgation obligatoire des violations, des obstacles apparaissent

  • FrançaisFrançais


  • Après deux auditions majeures sur Solarigate, une proposition de politique intérieure a attiré l’attention: obligeant les organisations à alerter le gouvernement des cyberincidents majeurs dans l’intérêt de la sécurité nationale. Les experts disent que l’idée a du mérite – si seulement les législateurs peuvent équilibrer la promesse avec la responsabilité et le fardeau potentiels imposés à l’industrie.

    L’affaire SolarWinds, où un acteur soupçonné d’être russe a utilisé des mises à jour malveillantes de la plate-forme informatique SolarWinds et d’autres vecteurs pour pirater plusieurs agences gouvernementales et entreprises privées, a été révélée lorsque FireEye s’est publiquement présenté comme victime.

    Mais que se passerait-il s’ils avaient choisi de ne pas le faire? Il n’y a actuellement aucune loi qui oblige FireEye ou toute entreprise à alerter le gouvernement publiquement ou en privé. Beaucoup pensent qu’il devrait y en avoir.

    «Cette question a déjà été examinée. Et je pense qu’il y a beaucoup plus d’élan maintenant », a déclaré Christian Auty, associé de Bryan Cave Leighton Paisner dans le domaine de la confidentialité et de la sécurité.

    En effet, les législateurs des deux chambres et des deux parties suggèrent une forme de législation. Les témoins de FireEye, Microsoft, CrowdStrike et SolarWinds ont tous convenu que c’était une idée solide. Mais plusieurs problèmes sont immédiatement évidents: responsabilité, anonymat, ampleur et confiance. SC Media s’est entretenu avec des experts juridiques, gouvernementaux et de sécurité pour comprendre les obstacles et les solutions potentielles.

    Progresser vers une facture

    Le représentant Michael McCaul, R-Texas, a déclaré lors de l’audience de février à la Chambre que lui et le sénateur Jim Langevin, DR.I., travaillaient déjà sur un projet de loi sur la divulgation.

    “M. Langevin et moi travaillons sur les notifications obligatoires de violations [or] toute cyber-intrusion », a-t-il déclaré. «Cela peut être fait en prenant des sources, des méthodes et des noms d’entreprises pour les protéger. Comme vous avez un devoir envers les actionnaires, ils enverraient simplement eux-mêmes des informations sur les menaces “à la Cybersecurity and Infrastructure Security Agency”, a-t-il expliqué.

    Le bureau de Langevin a déclaré à SC Media qu’il y aurait probablement deux factures de notification, correspondant à deux recommandations du rapport Cybersecurity Solarium. L’un se concentrerait étroitement sur les incidents liés à la sécurité nationale, fournissant le type de renseignement spécifique que la CISA pourrait utiliser pour parer aux campagnes des États-nations en cours. L’autre exigerait une notification générale des violations à la Federal Trade Commission pour obtenir une assistance conforme aux réglementations et aux lois sur la protection de la vie privée.

    Le premier serait la dernière itération du type de notification d’incident fédérale que les législateurs espèrent étouffer la prochaine attaque à l’échelle SolarWinds. Mais ce ne serait pas le premier. Un autre projet de loi destiné à faciliter la divulgation de telles violations au gouvernement fédéral est venu en 2012, présenté par Susan Collins, R-Maine, puis-Sen. Joe Lieberman, I-Conn.

    Cet effort a finalement échoué. Mais les événements récents pourraient inspirer des solutions alternatives, a déclaré Auty, pour encourager les organisations à se manifester sans fournir une protection complète contre la responsabilité. McCaul a spécifiquement mentionné le signalement anonyme en fait. Mais les organisations pourraient ne pas trouver ces solutions suffisantes à elles seules.

    “Il y aura toujours des inquiétudes de la part de la société que non, cela va me revenir”, a déclaré Auty. «Et quand c’est le cas, j’aurai des responsabilités contractuelles et autres. Le signalement anonyme est précieux en tant que solution partielle, mais le signalement anonyme fonctionnellement peut ne pas être possible dans toutes les situations. »

    Identifier un centre d’échange

    Les législateurs peuvent se heurter au scepticisme de l’industrie quant à la façon dont le gouvernement utilise les données, a déclaré Tobias Whitney, vice-président de l’énergie chez Fortress, une entreprise qui facilite les solutions de partage d’informations de l’industrie. Cela est plus probable si la législation exige la notification d’un organisme d’application de la loi ou d’un organisme de réglementation, par opposition à CISA ou à la sécurité intérieure, qui peut être considérée comme un arbitre plus neutre.

    Même CISA n’a pas le niveau de confiance avec les industries détenues par les centres de partage et d’analyse d’informations spécifiques au secteur, a déclaré Whitney.

    «À l’heure actuelle, je ne sais pas si l’industrie considère que CISA a la capacité de servir de plaque tournante.»

    La perception de l’industrie – et très probablement la réalité, selon Whitney – est que les groupes sectoriels sont mieux placés pour comprendre le contexte de toutes les données qui sont partagées. Les ISAC sont aussi traditionnellement plus aptes à remettre les informations utilisables entre les mains de leurs membres que le gouvernement. Whitney suggère que la meilleure solution serait peut-être d’exiger des rapports non pas à Washington, mais aux groupes de l’industrie qui transmettraient les informations le cas échéant.

    «Peut-être que CISA n’est pas nécessairement une roue entière. Ils sont peut-être plus un rayon, fournissant une conductivité à travers la roue, garantissant une communication horizontale avec les autres secteurs », a-t-il déclaré.

    L’utilisation des ISAC comme premiers centres d’échange d’informations pourrait résoudre un autre problème soulevé à l’audience: toutes les organisations ne sont pas capables de comprendre la nuance de savoir si leur cyberincident spécifique atteint un niveau de calamité pour la sécurité nationale. Étant donné le nombre de cyber-incidents chaque année, quelqu’un doit filtrer le signal du bruit pour que cela soit un outil utile. Les ISAC pourraient être ce filtre.

    Le problème du filtrage est le revers d’un autre problème soulevé à l’audience: limiter le fardeau réglementaire des entreprises. Le reporting a un coût commercial. Si certaines données sont sans valeur, ce coût a été dépensé pour peu de raisons.

    Brad Smith, président de Microsoft, a suggéré lors de l’audience qu’il serait plus judicieux de limiter les exigences de reporting aux industries et infrastructures ciblées. Les grandes entreprises technologiques, comme la sienne, a-t-il dit, seraient une évidence.

    Kevin Mandia, directeur général de FireEye, a ajouté à l’audience qu’une obligation pour les «premiers intervenants» de faire rapport serait également utile. Les premiers intervenants – sous-traitants qui interviennent en cas d’incident ou analysent des données télémétriques – ont une bonne compréhension de ce que l’activité pourrait signifier un État-nation.

    Mandia a également suggéré que tout le monde pourrait bénéficier de l’exemption de l’obligation de déclaration pour les petites et moyennes entreprises. Les entreprises sans grande capacité défensive peuvent ne pas savoir ce qu’elles regardent pendant une brèche et peuvent causer plus de panique que d’avantages en se manifestant.

    Mais Kiersten Todt, directeur général du groupe de défense de la cybersécurité des petites entreprises, le Cyber ​​Readiness Institute, a repoussé cet argument.

    «Aucune entité ne devrait être encouragée, invitée ou réglementée à partager des informations lorsqu’elles ont été violées», a-t-elle déclaré à SC Media. Avec des chaînes d’approvisionnement de plus en plus interconnectées, exclure les cibles les plus vulnérables créerait des angles morts qui pourraient se répercuter dans les industries.

    Todt, un vétéran de plusieurs postes consultatifs gouvernementaux sur la sécurité intérieure et la cybersécurité, a fait valoir que le risque de panique n’existe que si les entreprises s’adressent à la presse – pas si les entreprises font un rapport anonyme et secret au gouvernement.

    Elle suggère d’investir dans l’infrastructure pour aider les petites entreprises à évaluer les réseaux afin de mieux identifier les violations. Cela pourrait prendre la forme d’une aide gouvernementale ou de groupes industriels.

    «Vous pouvez dire que les petites entreprises n’ont pas besoin de ce fardeau supplémentaire. Je conviens qu’ils n’ont pas besoin d’un fardeau supplémentaire. Mais nous devons en faire une opportunité pour eux de faire partie de l’infrastructure mondiale », a-t-elle dit, ajoutant qu’un soutien approprié favoriserait également l’adhésion universelle.

    «Je ne pense pas qu’une entreprise apprendrait l’existence d’un État-nation et voudrait le garder près de sa poitrine», a-t-elle déclaré.

    Source

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *