Exigences de conformité : les questions des dirigeants aux RSSI
Ce document constitue le quatrième volet d’une série de quatre articles proposant aux RSSI des conseils sur leurs stratégies de communication proactives. Il s’agit notamment de leur montrer comment traduire des informations clés et expliquer leurs actions dans le langage de leur direction, pour leur permettre de se recentrer sur la gestion des incidents, des évènements et des menaces, et ainsi limiter les impacts organisationnels.
Nos trois articles précédents vous ont expliqué comment aborder les questions d’exposition et de réduction des cyber-risques, ou encore de due diligence en cas d’incident. Vient ensuite logiquement la question de la conformité de vos systèmes de cybersécurité aux réglementations en vigueur.
Comme vous le savez, les entreprises sont soumises à toute une série de réglementations imposées par les organismes sectoriels ou les pouvoirs publics dont elles dépendent. Chaque incident détecté (ou chaque menace identifiée) déclenche ainsi un flux de questionnements provenant des différentes entités : quel est l’impact potentiel de cet évènement sur la sécurité de vos opérations ? L’intégrité de vos données a-t-elle été atteinte ? Votre mission en tant que RSSI ? Anticiper ces questions et notamment la plus importante d’entre toutes : « Comment respecter toutes nos obligations réglementaires ? »
Les éventuelles questions subsidiaires à envisager :
- Des données réglementées sont-elles traitées, stockées ou transmises par ou sur des systèmes potentiellement exposés ?
- Si oui, qui devons-nous prévenir ? Avons-nous informé ces personnes ?
- Qu’est-ce que la diligence raisonnable ?
- Quelle trace devons-nous garder de nos activités de remédiation ?
Conformité réglementaire et cybersécurité : que dire et quand ?
Dès lors qu’une vulnérabilité est détectée dans votre environnement, les autorités et autres organes de réglementation voudront connaître les mesures déployées par vos soins pour évaluer votre exposition au risque et réduire votre surface d’attaque. Et elles ne s’arrêteront pas là. Inventaire des ressources, localisation précise de la vulnérabilité, communications entre les différentes parties prenantes… les demandes seront nombreuses, tout comme les questions qu’elles soulèveront. Y a-t-il eu compromission ? Si oui, les autorités compétentes ont-elles été prévenues dans les délais prévus ? Quelles mesures de réduction et de remédiation avez-vous mises en œuvre ? Quelles leçons avez-vous tirées de cet évènement ?
Autant d’interrogations qui leur permettront d’identifier les processus mis en place avant l’incident et les actions engagées pour minimiser son impact sur vos ressources les plus vulnérables. En principe, les autorités de régulation interviennent lorsqu’un évènement de sécurité a atteint vos clients (par exemple, quand leurs données personnelles ont été dérobées) ou lorsque l’incident est symptomatique d’un risque systémique pour votre secteur (par exemple, une attaque ciblant les réseaux électriques). Leurs demandes sont donc tout à fait justifiées et vous vous devez d’y répondre de façon réfléchie et transparente, sans dérobade.
Vous pourrez ainsi minimiser les répercussions de l’incident, à commencer par le préjudice pour votre réputation ou votre image de marque. Un exploit a touché votre entreprise (et vos clients) ? Plutôt que de le cacher, montrez que vous avez su gérer la situation avec calme et efficacité, et que vous en avez tiré les leçons qui s’imposaient. En période de crise, la franchise et l’honnêteté seront toujours vos meilleures armes.
Cyber-incident et procédure de notification : qui informer ?
Certaines réglementations imposent d’informer les clients et certains tiers en cas de compromission. Parfois, ces exigences de notification sont incluses aux contrats qui vous lient à vos partenaires : chaque partie doit alors prévenir l’autre de toute exposition de données. Vous devrez dans tous les cas informer l’équipe responsable du tri des évènements, votre prestataire de services de réponse aux incidents et vos juristes externes pour permettre à chacun de prendre ses dispositions.
Aujourd’hui, la plupart des entreprises font appel à un service d’astreinte pour la réponse aux incidents (IR) En souscrivant ce type de contrat, vous prouvez que vous avez pris toutes les mesures raisonnables pour prévenir l’exposition des données réglementées à la suite d’un incident. Lorsque l’exploitation ou la compromission est suspectée, mais pas totalement avérée, mieux vaut pouvoir compter sur le soutien d’un prestataire IR doté de compétences forensiques pour agir en appui de vos juristes externes.
Il est primordial de garantir l’infaillibilité des protocoles de communication établis entre vos différentes parties prenantes, internes ou externes. N’ayez crainte. Les autorités de régulation n’attendent pas de vous que vous remédiiez instantanément au problème. Ce qu’elles veulent avant tout, c’est s’assurer que vous avez déployé en amont les mesures de due diligence appropriées et que vous n’étiez pas totalement démuni face à cet incident. En d’autres termes, que vous avez pu détecter l’attaque et diagnostiquer rapidement ses répercussions, et que vous avez su collaborer avec tous les acteurs nécessaires pour trouver une solution.
Réponse aux incidents : l’union fait la force
Les relations que vous nouez avec vos juristes externes et votre prestataire de réponse aux incidents trouveront tout leur sens en situation de crise. Leurs conseils et leur expertise seront indispensables pour vous aider à surmonter les épreuves auxquelles vous serez confronté. Il n’est jamais trop tard pour cultiver ces liens. Renseignez-vous sur leurs processus de tri. Notez leurs numéros de portables. Prenez les devants. L’aide qu’ils vous apporteront dans la tourmente sera votre bouée de sauvetage.
Vous pouvez, par exemple, demander l’opinion de votre prestataire concernant votre plan de réponse aux incidents . Considérez-le comme un membre de votre équipe. Lorsque ses spécialistes viendront mener leur enquête, vous vous serez déjà familiarisé avec leurs procédés et aurez la garantie qu’ils sauront trouver la cause du problème.
Assurez-vous que votre contrat d’astreinte IR inclut toutes les opérations nécessaires pour garantir votre conformité aux exigences légales et réglementaires applicables. Communiquez en amont avec votre équipe juridique. Elle est la mieux placée pour vous donner un aperçu des régimes réglementaires qui vous concernent. Ceci est d’autant plus important lorsque votre entreprise opère dans différents pays.
Et pourquoi ne pas vous rapprocher également de vos autorités de régulation ? Elles connaissent parfois mieux que quiconque les menaces en présence et pourront vous apporter de précieux conseils pour mieux vous préparer. Vous pensez peut-être que les autorités de régulation ne s’intéressent qu’au vol de données. C’est faux. Leur devoir de vigilance s’étend également à l’identification des nouvelles menaces et des nouveaux exploits. Elles seront sans doute très intéressées de savoir ce que vous avez mis en œuvre pour neutraliser un attaquant parvenu à s’infiltrer dans vos systèmes, même si ce dernier n’a réussi à faire main basse sur aucune donnée.
Ces échanges seront aussi l’occasion pour vous de leur expliquer votre stratégie. Pourquoi vous avez choisi, par exemple, de prendre tel évènement comme point de départ pour remonter toute la chaîne d’attaque et, de ce point, déterminer ce qui aurait pu se produire et revenir sur ce qui s’est réellement produit. Elles pourront ainsi apprécier la fiabilité de vos processus et de vos mesures. Vos relations futures n’en seront que meilleures.
Visionnez cette vidéo pour en savoir plus sur la manière de présenter les exigences de conformité réglementaires à votre direction :
Get in Touch
Besoin de services de réponse aux incidents ? Faites appel à Unit 42®.
Vous pensez avoir été impacté par la vulnérabilité Log4j ou victime d’une autre attaque majeure ? Contactez l’équipe Unit 42 pour échanger avec l’un de ses membres. L’équipe Unit 42 de réponse aux incidents est disponible 24h/7j/365j. Vous pouvez également demander une évaluation proactive pour mettre en place des mesures préventives.