Support technique
Documentation
Connexion
Nous contacter
- Les incidents de cybersécurité sont plus que des problèmes de disponibilité
- Les acteurs malveillants utilisent la procédure judiciaire à leur avantage
- La responsabilité personnelle en cas de mauvaise gestion de la cybersécurité est de plus en plus fréquente
Les incidents de cybersécurité, autrefois considérés comme des perturbations mineures, sont devenus des menaces importantes aux conséquences considérables. Considérés au départ comme des revers temporaires, leur impact sur le fonctionnement des entreprises a été sous-estimé. Au fil du temps, on a pris conscience de leurs implications financières, telles que les paiements de rançons et les amendes réglementaires. Ce changement de perception s'est encore accentué lorsque la responsabilité juridique des défaillances en matière de cybersécurité s'est étendue aux responsabilités pénales, ce qui a considérablement modifié le paysage et augmenté les enjeux de la gestion de la cybersécurité.
Contexte historique : Une "mauvaise journée au bureau
Historiquement, les incidents de cybersécurité étaient considérés comme des "mauvais jours au bureau", perturbant les activités mais n'entraînant pas de dommages durables. Cette perspective a entraîné une déconnexion entre le domaine numérique du cyberespace et les conséquences dans le monde réel. Les organisations se sont concentrées sur le rétablissement à court terme, négligeant souvent la nécessité de stratégies de cybersécurité à long terme. Cette approche s'est traduite par des incidents répétés, chacun étant traité comme un événement isolé plutôt que comme le symptôme d'une vulnérabilité systémique.
Situation actuelle : Des risques opérationnels aux responsabilités pénales
La tendance à considérer les défaillances en matière de cybersécurité comme des motifs potentiels de poursuites pénales est illustrée par le cas de l'ex-PDG de Vastaamo en Finlande. l'ex-PDG de Vastaamo en Finlande. À la suite d'une violation massive de données compromettant des données sensibles de patients, l'ex-PDG a été inculpé et condamné à une peine de prison (avec sursis). peine de prison (avec sursis).
La violation a exposé les données personnelles et les notes de séances de thérapie de dizaines de milliers de patients, dont certaines ont été publiées sur le dark web. Le tribunal a estimé que l'ex-PDG n'avait pas respecté les exigences du GDPR en ne cryptant pas les données des patients, qu'il était conscient des lacunes en matière de cybersécurité depuis des années et qu'il avait tenté de dissimuler les violations, ce qui a engagé sa responsabilité pénale.
Nouvelles tactiques des cybercriminels : Exploiter les systèmes juridiques
Les cybercriminels deviennent de plus en plus sophistiqués et exploitent les systèmes juridiques pour renforcer leurs attaques. Un gang de ransomwares, ALPHV/BlackCat, a déposé une plainte auprès de la SEC contre MeridianLink, ALPHV/BlackCat, a déposé une plainte auprès de la SEC contre MeridianLink, sa propre victime, pour n'avoir pas signalé une importante violation de données - causée par ALPHV/BlackCat eux-mêmes.pour ne pas avoir signalé une importante violation de données - causée par ALPHV/BlackCat eux-mêmes. Cette tactique innovante consistant à utiliser les exigences légales en matière de divulgation obligatoire des incidents de cybersécurité contre les victimes met en évidence une tendance inquiétante où les cybercriminels utilisent les vides juridiques pour accroître la pression sur leurs cibles, redéfinissant ainsi les règles de l'extorsion numérique.
Pour rappel, il s'agit du même acteur de menace qui serait à l'origine du piratage des casinos de Las Vegas (incidents MGM et Caesars en septembre).
Si la SEC n'a pas donné suite au rapport de l'auteur de la menace, c'est en partie parce qu'une décision récente n'était pas encore en vigueur (un nouveau délai de notification a été approuvé par la SEC, mais il n'entrera en vigueur qu'à la mi-décembre). Cela soulève des inquiétudes quant à la faille exploitée par l'acteur de la menace, mais aussi quant à l'efficacité de l'autorité de régulation - il semblait y avoir des éléments factuels derrière la plainte qui auraient dû conduire à une action de la part de l'autorité de régulation, dans une situation que l'on pourrait décrire par une citation de film mémorable : "(...)chiens et chats vivant ensemble(...)".
De manière quelque peu inattendue, tous ces incidents peuvent conduire à une réduction du nombre de déclarations (obligatoires). (obligatoire), car les PDG/CIO/CISO(obligatoire), car les PDG/CIO/CISO évaluent la responsabilité juridique potentielle par rapport aux risques potentiels de ne pas faire de déclaration du tout.
Ces éléments sont également étroitement liés à un autre problème, à savoir le temps pendant lequel une violation n'est pas détectée après l'accès initial (selon les estimations, ce chiffre s'élève à plus de 270 jours). 270 jours, selon un rapport d'IBM datant de 2022). Si cette lacune juridique est maintenue, cette période non détectée est plus que suffisante pour qu'une plainte soit déposée au sujet d'une violation non signalée - et elle sera exacte dans les faits.
Étude de cas : SolarWinds et la surveillance juridique accrue
L'affaire SolarWinds est un excellent exemple de la surveillance juridique accrue dans le domaine de la cybersécurité. La La SEC a accusé SolarWinds et son RSSI d'avoir dissimulé des pratiques et des risques médiocres en matière de cybersécurité. C'est la première fois que la SEC intente une action en justice contre une personne dans le domaine de la cybersécurité.
La plainte allègue que, depuis son introduction en bourse en 2018 et au moins jusqu'en décembre 2020, SolarWinds a fait des déclarations publiques trompeuses sur ses pratiques de cybersécurité, n'a pas divulgué les vulnérabilités et les violations connues en matière de cybersécurité et n'a pas maintenu de contrôles adéquats pour protéger ses actifs critiques. Cette affaire met l'accent sur les attentes en matière de divulgation précise des risques de cybersécurité et sur la responsabilité personnelle des dirigeants et des responsables de la sécurité.
Une nouvelle ère de responsabilité en matière de cybersécurité
L'évolution des incidents de cybersécurité, qui sont passés de risques opérationnels à des motifs de responsabilité pénale, marque un changement important dans la manière dont les entreprises et leurs dirigeants doivent aborder la cybersécurité. Il s'agit d'un message clair adressé aux organisations et à leurs dirigeants pour qu'ils donnent la priorité à des mesures de cybersécurité solides, qu'ils respectent les exigences réglementaires et qu'ils fassent preuve de transparence dans leurs pratiques de cybersécurité. Tout manquement à ces règles peut avoir de graves répercussions juridiques et financières, non seulement pour l'organisation, mais aussi pour les personnes à la tête de l'entreprise. Alors que le paysage des menaces de cybersécurité continue d'évoluer, les stratégies pour les combattre doivent elles aussi évoluer, en mettant l'accent sur la prévention, la transparence et la responsabilité.
Il s'agit peut-être de l'impulsion qui fera enfin passer les questions de cybersécurité au premier plan dans tous les secteurs d'activité.
