Naviguer dans la nouvelle ère de l’application de la cybersécurité

COMMENTAIRE

Le 30 octobre 2023, la Securities and Exchange Commission (SEC) a ébranlé les hypothèses des leaders de la sécurité de tous les secteurs en a déposé une plainte historique à opposer à SolarWinds et son responsable de la sécurité de l'information (RSSI). Beaucoup assimilent cette décision à une bombe qui explose pour les personnes travaillant dans le rôle de RSSI. C’est également la première fois qu’un procès auprès de la SEC exclut de cette manière un individu d’une entreprise.

Alors que l’affaire se déroule actuellement, comprenez-vous votre responsabilité personnelle en tant que RSSI ? Une chose est claire : cette affaire envoie un message. Les RSSI sont désormais confrontés à des risques de responsabilité potentiels sans précédent, ce qui nécessite une approche proactive en matière d'exposition juridique pour les responsables de la sécurité. Pour faire la lumière sur cette question complexe, nous avons réuni plus de 60 RSSI, anciens membres de la SEC et experts juridiques pour une table ronde. L’expérience et la crédibilité ont été essentielles au recrutement de panélistes pour discuter de ce sujet aux enjeux élevés. Notre objectif était simple : fournir à la communauté des RSSI des conseils faisant autorité et des éclaircissements sur la gestion de la responsabilité.

Le panel a analysé l’affaire SolarWinds, notant que la SEC semble se concentrer sur la négligence plutôt que sur la fraude flagrante. Même si l’affaire est décrite comme agressive, le fond n’est peut-être pas aussi solide. Les experts suggèrent que les RSSI prennent cette affaire comme un signal d’alarme, soulignant la nécessité de mesures proactives et d’une approche de bonne foi en matière de cybersécurité.

Les informations recueillies lors de cette discussion offrent aux RSSI une feuille de route pour naviguer dans cette nouvelle ère de mise en œuvre de la cybersécurité. Voici quelques-uns des conseils les plus importants que nous avons appris du panel.

Construire des alliances solides avec l'avocat général

L’un des premiers points à retenir – et peut-être le plus important – de la table ronde est l’importance pour les RSSI d’établir des relations solides avec le directeur juridique (GC). Selon les experts, le GC peut être un allié crucial en temps de crise, en fournissant des conseils et un soutien juridiques précieux. À la suite de l'affaire SolarWinds, il est conseillé aux RSSI de s'aligner de manière proactive avec leur GC, garantissant une réponse collaborative et bien préparée aux éventuelles contestations juridiques.

Établir des connexions avec le FBI

Un autre conseil essentiel du panel est d’établir une relation avec le bureau local du FBI dès que possible. Un représentant du FBI lors de la discussion a souligné l'importance des relations préexistantes avec le FBI. Avoir un contact au sein du FBI peut être déterminant pour naviguer dans des situations similaires à l’affaire SolarWinds. Tout est question de confiance, selon le représentant du FBI du panel. Ils ont également noté que le FBI considère les entreprises dans de telles situations comme des victimes, c'est pourquoi les RSSI sont encouragés à établir une relation avec leur bureau local du FBI bien avant qu'une crise ne survienne.

Soyez prudent en respectant les normes

Le panel a également souligné l'importance d'aligner les pratiques de cybersécurité sur des normes objectives, telles que celles définies par le National Institute of Standards and Technology (NIST). La SEC, comme l’a démontré l’affaire SolarWinds, peut exiger une preuve du respect de ces normes. "Chaque fois que vous vous alignez sur une norme objective, comme le NIST, la SEC en demandera la preuve", a noté l'un de nos représentants à la SEC. Ainsi, si vous envisagez d’annoncer publiquement que vous utilisez un ensemble de normes, assurez-vous également de respecter les normes que vous choisissez. Les RSSI doivent conserver une documentation complète pour fournir des preuves si nécessaire.

Coordonner les conseils juridiques et les enquêtes internes

En ce qui concerne les conseillers juridiques, la question de savoir si un RSSI a besoin ou non de son propre avocat a suscité diverses opinions au sein du panel. Alors, que doit faire un RSSI ? Le panel a convenu qu'un avocat personnel, en particulier lors d'un entretien avec la SEC ou le ministère de la Justice (DOJ), est probablement nécessaire. Avoir une représentation juridique lors des enquêtes internes et des interactions avec les avocats internes peut également être une décision judicieuse.

Envisagez l’assurance D&O

Comprendre et investir dans l'assurance des administrateurs et dirigeants (D&O) était un autre aspect crucial souligné par le panel. Face à d’éventuelles poursuites judiciaires, la couverture D&O peut offrir une protection financière aux RSSI. Les experts recommandent de vous familiariser avec la couverture, de vérifier les réclamations existantes et même d’envisager une couverture autonome pour une protection supplémentaire.

Adoptez les trois piliers : aligner, clarifier, intensifier

Dans cette nouvelle ère de renforcement de la cybersécurité, il est conseillé aux RSSI d’adhérer à trois piliers clés : aligner, clarifier et intensifier. Alignez les pratiques de cybersécurité sur les normes reconnues, clarifiez la communication avec les contacts juridiques et du FBI et faites remonter les préoccupations jusqu'à la chaîne de commandement. Ces piliers constituent le fondement d’une approche proactive et protectrice face aux défis changeants auxquels sont confrontés les responsables de la cybersécurité.

Les RSSI doivent prendre des mesures proactives dès maintenant

Le procès SolarWinds SEC a mis en lumière les risques potentiels auxquels sont confrontés les responsables de la cybersécurité. Les RSSI sont invités à prendre des mesures proactives pour se protéger des risques juridiques. Construire des alliances solides avec l'avocat général, établir des liens avec le FBI, adhérer aux normes de cybersécurité, obtenir une assurance D&O et adopter les trois piliers que sont l'alignement, la clarification et l'escalade sont des étapes clés pour relever les défis de cette nouvelle ère de mise en application de la cybersécurité. Alors que le paysage continue d’évoluer, les RSSI doivent rester vigilants et bien préparés pour assurer la sécurité de leur organisation et préserver leur propre statut professionnel.

• Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
• PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
• PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
• PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
• PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
• La source: https://www.darkreading.com/cyberattacks-data-breaches/navigating-new-age-cybersecurity-enforcement