Vulnérabilités cyber : se préparer aux nouvelles obligations de transparence

En France, depuis le 24 avril 2023, la loi d'orientation et de programmation du ministère de l'Intérieur (Lopmi) impose aussi aux entreprises victimes de cyberattaques par rançongiciel de déposer plainte dans les 72 heures si elles souhaitent bénéficier d’une assistance et d’un remboursement d’une cyber-rançon par leur assurance.

Par ailleurs, la directive européenne NIS 2 qui doit entrer en vigueur dans les états membres de l’UE au deuxième semestre 2024 impose un nouveau cadre réglementaire pour la gestion des risques cyber, notamment en termes d’analyse des mesures mises en place pour la sécurité des systèmes d’information, la continuité des activités, la gestion des sauvegardes et la reprise après sinistre, ainsi que la gestion des crises.

La question des données critiques et sensibles, de leur identification claire et des mesures de protection mises en place sera donc au cœur de ce nouveau cadre règlementaire. Aux États unis, la SEC va plus loin, imposant aux entreprises touchées de divulguer l’impact matériel de l’attaque, notamment en termes de données les plus critiques, et de soumettre les informations suivantes :

• La date de détection de l'incident, et s'il est en cours
• Une description de la nature de l'incident, de son étendue et de sa portée
• Toutes les données susceptibles d'avoir été volées, modifiées, consultées ou utilisées à des fins non autorisées.
• L'effet de l'incident sur les activités de l'entreprise
• Des informations sur les efforts de confinement en cours ou achevés de l'entreprise.

Le problème des données sombres

 Les entreprises seront en mesure de répondre rapidement aux deux premiers et aux deux derniers points. Lorsqu’une cyberattaque compromet un secteur d'activité ou un système spécifique, les responsables connaissent l’importance de l'activité affectée et les dommages potentiels.

Cependant, le troisième point mérite une attention particulière. En effet, la plupart des entreprises auront du mal à évaluer correctement la valeur des données volées, modifiées, consultées ou utilisées à d'autres fins non autorisées, car beaucoup sont cachées. Gartner parle ici de « Dark Data » qui représenteraient jusqu’à 75 % des données totales de l’entreprise.

Afin de se préparer au mieux à ce nouveau cadre législatif, les entreprises doivent s’équiper d’un système de sauvegarde et de classification des données moderne, robuste et intelligent, qui répond aux exigences de conformité et de transparence en vigueur. Au-delà des obligations réglementaires, ce type de système est essentiel pour contrer la menace exponentielle de cyberattaques, toujours plus sophistiquées et pernicieuses.

Les applications modernes de sécurité et de gestion des données classent correctement les données, les font correspondre aux stratégies d'enregistrement pertinentes des entreprises et peuvent également fournir une analyse des menaces, notamment en identifiant les vulnérabilités exploitées par les attaquants, en recherchant continuellement les indicateurs de compromission dans l'écosystème et en fournissant des snapshots à des fins d'analyse. Pour les entreprises, il s'agit d'informations précieuses sur les données accessibles et sur celles qui ont pu être compromises.

Les équipes de sécurité doivent être prêtes à collecter les informations requises dans le rapport lorsqu'elles enquêtent sur un incident de cybersécurité. Cela implique une coordination entre les équipes de sécurité et IT, et il peut être nécessaire de créer une équipe spécifique dédiée à l'incident pour respecter les délais fixés par la SEC.

Ce processus n'a pas encore été pleinement adopté dans la plupart des centres opérationnels de sécurité, mais l'annonce de la SEC devrait inciter à accélérer sa mise en place.

Analyser l'historique

 Si vous connaissez bien vos données grâce à la classification, vous pouvez les utiliser à votre avantage dans d'autres secteurs de l’entreprise. Des règles de cyber-résilience plus strictes peuvent être définies pour les données importantes, et garantir que les données sont sauvegardées régulièrement et sécurisées dans d'autres lieux tels qu'un coffre-fort virtuel. Les entreprises peuvent également faire des « copies de sécurité » des données qui seront utilisées par leurs équipes de sécurité dans le cadre d'enquêtes.

Si les données sont ensuite modifiées lors d'une cyberattaque, les équipes de sécurité peuvent rechercher dans des dizaines de copies de sécurité historiques des preuves d'une attaque et ainsi identifier l'écart, la méthode et les vulnérabilités exploitées par les attaquants. Ces mécanismes avancés de récupération et de confinement peuvent être mentionnés par les entreprises dans le rapport soumis à l’autorité des marchés financiers, et montrer aux investisseurs que la situation est sous contrôle.  

Alors que ces nouvelles règles sont assorties de sanctions notoires – la SEC ayant infligé des amendes de 6,4 milliards de dollars pour la seule année 2022 – les entreprises cotées aux États-Unis doivent se mettre en ordre de marche. L’Europe elle n’est pas en reste, particulièrement à l’approche de l’entrée en vigueur de la directive NIS 2.