C’est une période difficile pour être un RSSI. La communauté de la sécurité a suivi avec impatience plusieurs histoires concernant Uber au cours des dernières semaines. Du play-by-play de leur récent hack majeurau verdict de culpabilité de la semaine dernière de l’ancien chef de la sécurité d’Uber, Joe Sullivan, les RSSI sont confrontés à des défis considérables.
Le verdict dans l’affaire Sullivan l’a reconnu coupable d’entrave à une enquête fédérale et de dissimulation d’un crime au gouvernement. Selon le New York Times: “Stephanie M. Hinds, l’avocate américaine du district nord de Californie, a déclaré dans un communiqué : ‘Nous ne tolérerons pas que des dirigeants d’entreprise soient plus intéressés à protéger leur réputation et celle de leurs employeurs qu’à protéger les utilisateurs. Si un tel comportement enfreint la loi fédérale, il sera poursuivi.'”
Le gouvernement envoie un message aux RSSI aux États-Unis : divulguez et risquez de perdre votre emploi, ou couvrez-vous et allez en prison. S’ils divulguent des informations au gouvernement, ils respectent les règles de conformité, mais leur travail sera en jeu. Une violation, en particulier une violation dans laquelle des informations personnellement identifiables (PII) sont compromises, entraînera un procès et le RSSI sera probablement renvoyé.
Mais la sanction pour non-conformité, incapacité à démontrer une divulgation complète ou toute zone grise au milieu est désormais personnelle (contrairement à d’autres réglementations où la non-conformité entraîne des amendes pour l’entreprise). Couvrir une violation, dans l’affaire Uber, puis cacher davantage les détails du piratage dans le cadre d’une enquête fédérale, peut entraîner une peine de prison.
Cette affaire met également en lumière un nouveau défi pour les RSSI : « Que saviez-vous ? La dissimulation d’informations est une partie importante de cette affaire et du verdict. Cacher des informations en disant “Je ne savais pas” n’est pas une réponse pour un RSSI avec une violation de données – cela reflète au mieux une négligence et au pire un mensonge. Les équipes de sécurité doivent savoir – et très probablement fais connaissent leur posture de sécurité, grâce aux nombreux outils de sécurité qu’ils utilisent — et ce qu’ils savent ne peut être dissimulé.
L’affaire Sullivan a une gravité énorme pour l’industrie de la sécurité. Que peut-on attendre des RSSI? Ces attentes sont-elles justes ?
Gérer les attentes des RSSI
Selon le projet de loi, les attentes sont les suivantes. Du Formulaire 8-K (6-K) Divulgation d’incidents matériels de cybersécurité (PDF) — les règles suivantes seront ajoutées :
Continuez à lire sur notre site partenaire Lecture sombre.
:quality(85)/cloudfront-us-east-1.images.arcpublishing.com/infobae/3DRCMMPANVGFRDILCJVDFLVJOA.png?fit=300%2C300&ssl=1)
