Les RSSI sous la loupe : se préparer à la responsabilité des dirigeants
Table des matières:
L'ancien RSSI d'Uber, Joe Sullivan, n'a pas réussi à blanchir son nom le mois dernier, rouvrant ainsi un débat sur les risques personnels auxquels sont confrontés les cadres supérieurs en cas de failles de cybersécurité.
Sullivan avait fait appel d'une condamnation prononcée en octobre 2022 pour dissimulation d'un crime après avoir payé des cybercriminels qui avaient piraté les comptes clients de son ancien employeur. Le piratage de 2016 avait compromis les données personnelles de 57 millions de clients et de 600,000 100,000 chauffeurs Uber. Sullivan avait versé aux criminels 2014 XNUMX dollars provenant du programme de chasse aux bugs de l'entreprise et leur avait fait signer un accord de confidentialité. Il avait également omis d'informer la Federal Trade Commission (FTC), comme il y était tenu en vertu d'un accord de XNUMX suite à un autre piratage.
Sullivan, condamné à trois ans de probation et à une amende de 50,000 2023 dollars pour sa condamnation en mai XNUMX, avait fait appel du jugement. Il soutenait qu'il n'avait pas commis de « misprision » (le fait de dissimuler un crime aux autorités gouvernementales) car la NDA autorisait rétroactivement le piratage. Le tribunal a rejeté cet argument, ainsi que certaines allégations d'erreurs de procédure.
La fermeté de la Cour sur cette question soulève une fois de plus le spectre de la responsabilité personnelle des dirigeants pour les atteintes à la cybersécurité et/ou la mauvaise gestion des incidents. Ces transgressions perçues ont pris diverses formes.
Certaines lacunes perçues du RSSI concernent des déclarations trompeuses. La SEC a personnellement poursuivi Timothy G. Brown, RSSI de SolarWinds, après les violations de données de 2019 et 2020, arguant qu'il avait fait de fausses déclarations sur la cybersécurité de l'entreprise dans des documents publics, alors même qu'elle était consciente de ses faiblesses. Un tribunal a ensuite rejeté ses accusations contre M. Brown.
D'autres portent sur le manque de cybersécurité lui-même. James Rellas, PDG du service de livraison d'alcool Drizly, n'avait pas de responsable dédié à la cybersécurité lorsqu'une faille de sécurité dans son entreprise a exposé les données de 2.5 millions de clients. Rapport de la FTC de 2022 de commander Il a tenu non seulement l'entreprise responsable de comportements prétendument négligents en matière de cybersécurité, mais aussi lui-même personnellement.
Une sanction personnelle a été infligée à un RSSI pour comportement frauduleux. Jun Ying, ancien RSSI d'Equifax US Information Solutions, a été condamné à quatre mois de prison Après avoir exercé ses options d'achat d'actions avant qu'une violation de la sécurité informatique survenue en 2017 au sein de l'entreprise ne soit révélée publiquement, Ying, qui était au courant de la violation lorsqu'il a encaissé ses options, a évité plus de 117,000 XNUMX dollars de pertes grâce à ce délit d'initié. Le ministère de la Justice l'a contraint à rembourser ces pertes, ainsi qu'à une amende, et il a été condamné à quatre mois de prison.
Responsabilité des dirigeants en dehors des États-Unis
Les dirigeants américains ne sont pas les seuls à être personnellement tenus responsables de la gestion des incidents de cybersécurité. Kim Jin-Hwan, responsable de la confidentialité de l'agence de voyages sud-coréenne Hana Tour Service, a été personnellement mis en cause. amende 10 millions de wons coréens pour négligence dans une violation survenue en 2017 qui a affecté 465,000 XNUMX clients.
La réglementation a également mis l'accent sur la responsabilité personnelle des dirigeants. La stratégie de l'UE pour 2022 Directive NIS2 (2022) impose aux dirigeants la responsabilité du non-respect des réglementations en matière de cybersécurité, autorisant des sanctions individuelles. Celles-ci incluent la suspension temporaire des dirigeants jugés incapables d'assumer leurs responsabilités en matière de cybersécurité.
Un autre règlement de l'UE, le Digital Operational Resilience Act (DORA), vise à garantir que les organismes financiers puissent maintenir leurs services essentiels face aux menaces systémiques. Il prévoit des amendes pouvant aller jusqu'à un million d'euros pour les dirigeants négligents.
Défis pour les RSSI
Le problème pour les RSSI réside dans l'« effet dissuasif » que représente le danger de la responsabilité personnelle, ont averti de nombreuses personnes dans des lettres adressées au juge William Orrick III, qui a présidé l'affaire Uber initiale. On craint que les RSSI ne se sentent incapables d'exercer leur métier sous la menace de leur responsabilité personnelle.
Cette préoccupation est justifiée si l'on considère la surface d'attaque croissante de l'entreprise moyenne. Les entreprises sont encouragées à rester compétitives en testant des technologies en constante évolution, notamment l'IA, la mobilité et le cloud computing. Cela alourdit la charge de travail de la direction. Si une personne agissant de bonne foi court le risque d'engager sa responsabilité personnelle face à des cybermenaces massives, cela peut la décourager d'assumer ce rôle.
Cependant, les incidents punitifs semblent ici reposer moins sur les failles de cybersécurité elles-mêmes que sur la gestion des informations de réponse aux incidents avant et après les faits. Sullivan n'a pas été sanctionné pour la faille. Il l'a été pour avoir tenté de la dissimuler. D'autres connaissaient leurs vulnérabilités depuis des années avant les failles et n'ont pris que peu, voire aucune mesure préventive. Et diffuser l'information concernant une faille à des fins de trading sur actions est clairement une pratique de mauvaise foi.
Comment protéger les dirigeants
À mesure que le risque de responsabilité personnelle augmente, les entreprises qui suivent des cadres de cybersécurité et de gestion des risques bien établis seront en mesure de se protéger – et de protéger leur haute direction – des ramifications réglementaires ou juridiques.
La norme ISO 27001 est un outil essentiel dans ce contexte, car elle est reconnue internationalement comme une preuve de diligence raisonnable proactive. La loi sur la protection des données de l'Ohio offre même une protection juridique explicite aux programmes de cybersécurité raisonnablement conformes à la norme ISO 27001.
La norme ISO 27001 propose des pratiques clés permettant de démontrer la diligence raisonnable et le sérieux avec lesquels les mesures de cybersécurité sont appliquées. Celles-ci incluent l'établissement d'un cadre de gouvernance de la cybersécurité clair et documenté, impliquant la direction générale, et la mise en œuvre de plans de réponse aux incidents documentés et fondés sur des normes. D'autres mesures incluent la mise en place régulière de formations, d'audits et de processus d'amélioration continue.
Il est recommandé de conserver une documentation complète afin de fournir la preuve d'une supervision exécutive et d'une gestion des risques, effectuées au mieux des capacités de l'équipe de direction.
Cependant, le mot « équipe » est crucial. Les dirigeants doivent soutenir efficacement les responsables de la cybersécurité, et des attentes raisonnables doivent être placées en eux. Trop souvent, on attend des RSSI qu'ils stoppent toutes les attaques sans investissement significatif et sans le soutien adéquat d'une entreprise entièrement focalisée sur le lancement du prochain produit et la maximisation des profits. C'est un malaise qui nécessite un changement culturel.
