Qu'est-il advenu de la loi sur la divulgation des rançons et de vos obligations ?
Oui, la vie en matière de conformité devient de plus en plus compliquée, car chaque secteur est soumis à de nouvelles exigences de conformité. Tout cela pour une bonne raison, bien sûr, mais il est alarmant de constater que quelque chose de nouveau apparaît chaque fois.
C'est ce qui s'est passé lorsque l'on a appris, fin 2021, que la représentante Deborah Ross et la sénatrice Elizabeth Warren avaient rédigé le Ransom Disclosure Act, une tentative d'introduire une loi obligeant les entreprises à déclarer les paiements effectués dans le cadre d'un ransomware au ministère américain de la sécurité intérieure.
Qu'est-il advenu de cette obligation d'information et quelles sont les autres obligations d'information sur les ransomwares que les entreprises doivent connaître ?
Dans cet article, nous examinerons la proposition de loi sur la divulgation des rançongiciels (Ransom Disclosure Act) ainsi que d'autres tentatives de création de lois fédérales sur la divulgation des rançongiciels. Nous examinerons également rapidement les autres dispositions relatives à la divulgation des informations sur les ransomwares.
Notez qu'il ne s'agit en aucun cas d'un examen approfondi des exigences en matière de divulgation des ransomwares. Le secteur dans lequel vous opérez, vos contrats avec vos clients et vos polices d'assurance peuvent comporter des exigences spécifiques en matière de divulgation des attaques de ransomware et des paiements. Consultez toujours un conseiller juridique pour vous assurer que vous êtes au courant des exigences de conformité qui s'appliquent à vous.
Proposée, mais jamais promulguée
Introduite le 5 octobre 2021, la loi sur la divulgation des rançons est une proposition de loi américaine visant à contrer les menaces liées aux ransomwares en obligeant les organisations à divulguer les détails des paiements de rançon dans les 48 heures suivant le paiement.
Il s'agit notamment du montant payé, de la devise utilisée et de toute information connue sur les attaquants. Ces informations seraient communiquées au ministère de la sécurité intérieure (DHS), qui serait également tenu par la nouvelle loi de les rendre publiques chaque année et de mener une étude sur les schémas de ransomware et le rôle des crypto-monnaies.
La loi a été considérée comme une étape vers la compréhension de l'ampleur du problème des ransomwares et vers l'élaboration éventuelle d'une nouvelle législation.
Cependant, bien que vous puissiez lire des informations sur la loi sur certains sites web consacrés à la technologie, et bien que certains de ces contenus soient formulés comme si la loi avait été promulguée, la loi est restée à l'état de proposition et n'a jamais reçu l'approbation de la Chambre des représentants et du Sénat, la loi est restée à l'état de proposition et n'a jamais été approuvée par la Chambre des représentants et le Sénat. (Ce n'est pas la première fois qu'une proposition de loi sur la divulgation des ransomwares n'a pas été promulguée).
Une autre obligation de divulgation a été adoptée
Cela ne veut pas dire qu'il n'y a pas eu d'évolution sur le plan juridique en ce qui concerne l'obligation de divulguer les ransomwares. En mars 2022, le président Biden a promulgué un projet de loi plus circonscrit, qui s'applique aux organisations exploitant des infrastructures nationales critiques (CNI).
Cette loi introduit de nouvelles exigences importantes en matière de rapports sur la cybersécurité pour les entreprises des secteurs de la santé, des services financiers, de l'énergie, des transports et des installations commerciales. Ces entreprises sont considérées comme des "entités couvertes", qui ont désormais quatre obligations en matière d'information :
- Toute entité couverte qui subit un "incident cybernétique couvert" doit le signaler à la CISA dans les 72 heures suivant le moment où l'entité croit raisonnablement que l'incident s'est produit.
- Une entité couverte qui paie une rançon à la suite d'une attaque par ransomware doit déclarer le paiement à la CISA dans les 24 heures suivant le paiement de la rançon.
- Si des informations substantielles nouvelles ou différentes sont disponibles, par exemple un paiement de rançon après la soumission d'un rapport d'incident cybernétique couvert, l'entité doit soumettre une mise à jour.
- Les entités couvertes doivent conserver les données relatives à l'incident cybernétique couvert ou au paiement de la rançon.
Par conséquent, si vous opérez au sein de la CNI, vous êtes désormais couvert par la loi fédérale et devez signaler les attaques et les paiements de ransomware dans un délai strict.
Avantages et inconvénients de la déclaration forcée
De nombreuses raisons peuvent expliquer pourquoi certains textes législatifs sur la divulgation des ransomwares n'ont pas été adoptés. Après tout, la déclaration obligatoire présente de nombreux avantages.
L'obligation de déclaration par les victimes permet de surmonter le problème d'action collective lié à la sous-déclaration des incidents de ransomware : la déclaration des détails de l'incident contribue à l'intérêt général en fournissant des informations permettant de poursuivre les gangs de ransomware et de se défendre contre de futures attaques.
Les instructions de paiement fournies dans les rapports peuvent aider les forces de l'ordre à récupérer les paiements de rançons et à suivre les transactions, et les rapports peuvent conduire à des indicateurs de compromission pour des gangs de ransomware spécifiques, ce qui facilite les enquêtes.
Mais il y a quelques problèmes. La qualité des données communiquées pourrait varier et les mandats de communication pourraient amener les attaquants à utiliser les données exfiltrées comme mécanisme d'exécution, ce qui entraînerait davantage de souffrances pour les victimes et leurs clients, ou une augmentation des demandes de rançon.
Il existe des lacunes et des incertitudes concernant les exigences de déclaration pour les intermédiaires, les compagnies d'assurance, les sociétés multinationales et les normes de déclaration qui varient d'une entité à l'autre. Les victimes pourraient être confrontées à des choix difficiles : risquer des fuites de données en s'adressant à la police ou payer une pénalité pour ne pas avoir fait de déclaration.
Qu'en est-il des autres exigences en matière de divulgation des ransomwares ?
Les choses se gâtent ici, car les obligations de divulgation sont très diverses. Vous devez demander un avis juridique pour savoir si votre organisation est passible d'une sanction si elle ne divulgue pas une attaque par ransomware.
Par exemple, à la fin de l'année 2021, le ministère de la Justice (DOJ) a annoncé fin 2021, le ministère de la Justice (DOJ) a annoncé qu'il engagerait des poursuites civiles contre les entrepreneurs fédéraux qui ne signalent pas les cyberattaques ou les violations de données. Cette mesure s'inscrit dans le cadre de l'initiative de lutte contre la cyber-fraude civile.
L'initiative s'appuiera sur l'actuelle loi sur les fausses accusations (False Claims Act) pour cibler les fraudes liées à la cybersécurité commises par les contractants du gouvernement et les bénéficiaires de subventions. Les entrepreneurs fédéraux seront tenus pour responsables s'ils fournissent sciemment des produits ou des services de cybersécurité défectueux et s'ils ne surveillent pas et ne signalent pas les incidents et les atteintes à la cybersécurité, ce qui inclut les attaques par ransomware.
En outre, la SEC a mis en place des obligations d'information sur la cybersécurité qui imposent aux entreprises publiques (sociétés cotées en bourse) de signaler les incidents de cybersécurité importants dans les quatre jours ouvrables qui suivent la constatation d'un incident. Cela inclut les incidents liés aux ransomwares - la SEC a d'ailleurs infligé une amende de 3 millions de dollars à Blackbaud à une amende de 3 millions de dollars pour une divulgation trompeuse..
Pour les entités couvertes par le Health Insurance Portability and Accountability Act (HIPAA), la présence d'un ransomware est considérée comme un incident de sécurité. Ces entités sont tenues de mettre en place des procédures de signalement lorsqu'un ransomware est détecté.
Vous pouvez également constater, par exemple, que vous devez vous conformer aux exigences de divulgation des ransomwares dans le cadre de vos polices d'assurance. Par exemple, certaines polices exigent que les entreprises informent leur assureur dans un certain délai après une attaque par ransomware si vous avez l'intention de présenter une demande d'indemnisation.
Indépendamment des exigences - être prêt à répondre
Les attaques de ransomware constituentune menace croissante. Sans un plan complet de réponse aux ransomwares, les organisations risquent de subir de graves perturbations opérationnelles, des pertes financières et une atteinte à leur réputation. Une stratégie bien préparée permet non seulement d'assurer une reprise rapide, mais aussi de garantir la continuité des activités et de préserver la confiance des clients.
Pour vous aider à vous préparer à ces menaces et à les atténuer, nous vous invitons à télécharger notre livre blanc intitulé Comment se remettre d'un ransomware.
Cette ressource donne un aperçu des meilleures pratiques pour répondre à de telles attaques, ainsi que des mesures proactives pour les prévenir. Faites un premier pas vers l'amélioration de la préparation de votre organisation aux ransomwares et téléchargez-la ici dès maintenant.