Réduire le temps - Tout s'accélère
L'ère numérique se caractérise par une vérité incontestable : le changement. Qu'il s'agisse des progrès rapides de l'intelligence artificielle, de la découverte surprenante de nouvelles vulnérabilités en matière de sécurité ou de la publication rapide de correctifs pour atténuer ces menaces, le rythme du changement dans le domaine de l'informatique est implacable.
Suivre le rythme
Pour ceux qui travaillent dans ce domaine, il est exaltant d'assister à de tels progrès. À condition que vous et votre organisation puissiez suivre le mouvement.
Malheureusement, nous ne savons que trop bien que les organisations ont du mal à appliquer les correctifs en temps voulu, malgré les exigences de conformité qui imposent des délais de 30 jours - et dans certains cas de 14 jours - pour corriger les vulnérabilités connues. C'est une vérité alarmante qui illustre une préoccupation croissante dans le paysage de la cybersécurité.
En outre, il devient évident qu'il est humainement impossible de suivre le flot constant d'informations sur la cybersécurité et les nouveaux exploits. L'industrie se tourne vers l'automatisation pour faire face à l'assaut, mais même cette solution n'est pas sans poser de problèmes.
De nouvelles règles à l'horizon
Des réglementations plus strictes apparaissent, notamment de la part de la Securities and Exchange Commission (SEC). Nous avons précédemment discuté de l'approche de la SEC en matière d'attribution des responsabilités dans les situations où les "meilleures pratiques" n'ont pas été suivies. Aujourd'hui, elle va encore plus loin.
À partir du mois d'août, les organisations devront fournir des informations spécifiques sur les incidents de cybersécurité dont elles ont fait l'objet, y compris tout "incident matériel de cybersécurité" dont elles ont été victimes dans un délai de quatre jours. Elles devront également divulguer des informations annuelles agrégées sur la gestion, la stratégie et la gouvernance des risques liés à la cybersécurité.
Si vous vous souvenez bien, la divulgation obligatoire d'informations relatives à la cybersécurité en cas d'incident est à l'ordre du jour depuis le début de l'année dernière, lorsque la Maison Blanche a annoncé de nouvelles réglementations. la Maison Blanche a annoncé une nouvelle réglementation dans de telles situations. Ces dernières règles de la SEC ne font qu'enfoncer le clou.
Le 26 juillet 2023, la SEC a annoncé qu'elle avait "adopté des règles exigeant que les déclarants divulguent les incidents de cybersécurité importants qu'ils subissent et qu'ils divulguent chaque année des informations importantes concernant leur gestion des risques de cybersécurité, leur stratégie et leur gouvernance." Ces règles entreront en vigueur 30 jours après la date de publication.
La logique qui sous-tend cette décision est une approche provisoire de la divulgation des incidents, semblable à celle qui existe déjà dans des situations telles que les perturbations de la production, les catastrophes naturelles et d'autres événements susceptibles d'avoir un impact direct sur l'évaluation d'une entreprise ou sur sa position sur le marché.
Mieux vaut tard que jamais, semble-t-il, pour ces nouvelles règles. Depuis des années, nous assistons à des incidents se chiffrant en millions de dollars dans tous les secteurs d'activité et dans des entreprises de toutes tailles. Tout récemment, Western Digital a fermé son infrastructure en nuage à la suite d'un piratage informatique. Il est évident que ces incidents peuvent avoir, et ont, un impact direct sur les résultats.
Toutefois, il reste encore beaucoup de choses à identifier clairement. Un incident de cybersécurité peut aller d'une tentative d'hameçonnage à une violation réussie qui passe inaperçue pendant des mois, en fonction de la façon dont vous abordez la sécurité. L'exposition d'une adresse IP sur l'internet attire des robots malveillants en quelques minutes. Si tous ces éléments doivent être signalés, il est fort probable que l'équipe informatique soit débordée. Si la barre est relevée pour ne prendre en compte que la divulgation involontaire d'informations ou le vol de données, les entreprises disposent d'une certaine marge de manœuvre pour contourner le règlement, en affirmant simplement qu'elles n'ont pas connaissance d'une telle fuite d'informations - ce qui peut être vrai jusqu'à preuve du contraire, pendant bien plus longtemps que quatre jours.
Réflexions finales
Ces nouvelles réglementations marquent un tournant dans la manière dont les organisations gèrent la cybersécurité. La conformité ne sera plus une suggestion, mais une exigence stricte. La complexité et les responsabilités croissantes qui incombent aux entreprises ne manqueront pas d'alourdir le fardeau que représente l'évolution rapide du monde des technologies de l'information.
Toutefois, l'objectif principal est clair : garantir la transparence et la responsabilité dans un environnement où les enjeux ne cessent de croître. La réduction des délais pour répondre aux vulnérabilités, évaluer les risques et mettre en œuvre les meilleures pratiques est à la fois un défi et une opportunité.
Les organisations doivent saisir cette occasion pour affiner leurs stratégies de cybersécurité et s'aligner sur ces nouvelles normes. L'avenir de la cybersécurité dépend de notre capacité à nous adapter, à innover et à maintenir les plus hauts niveaux d'intégrité et de vigilance. En fin de compte, cet effort permettra non seulement de protéger les organisations individuelles, mais aussi de fortifier l'écosystème dans son ensemble contre les cybermenaces en constante évolution.