Et si la SEC venait à poursuivre des CISO…
Aux Etats-Unis, la SEC envisage de poursuivre le CISO (Chief Information Security Officer) de Solarwinds. Le CEO ne serait donc plus le seul responsable d’une cyberattaque. Un cas spécifique qui laisse à réfléchir
Un CISO est-il autant responsable qu’un CEO en cas de poursuite ? Dans le cadre de la cyberattaque de 2019, le directeur financier de Solarwinds et le responsable de la sécurité informatique pourraient faire l’objet de poursuites par le gendarme boursier. Une position inédite qui ne manque pas de provoquer des remous au sein de la communauté de la cybersécurité
Pour rappel, en 2019, les infrastructures IT de SolarWinds ont été infiltrées par des espions russes qui ont utilisé un accès illicite au réseau afin de compromettre les serveurs du fournisseur. Les pirates ont glissé une porte dérobée dans le logiciel de surveillance Orion de SolarWinds et ont transmis ces « mises à jour » aux clients de SolarWinds. Une fois le code malveillant installé chez les utilisateurs finaux, les espions ont eu accès à des centaines d’organismes clients de SolarWinds. La faille de sécurité a été découverte par Mandiant en décembre 2020.
A l’heure de NIS2…
Reste la question : un CISO est-il autant responsable qu’un CEO en cas de poursuite ? Cet avis de la SEC ciblant le CISO serait une première. Une décision inhabituelle qui accroît la responsabilité de ces professionnels en cas d’incident.
Pour l’heure, on peut parler d’un cas particulier. N’empêche. En Europe, à l’heure de NIS2, la question ne manquera pas de faire réfléchir. D’emblée, on pense à la non-divulgation d’informations matérielles, comme le fait de ne pas informer sur la gravité d’un incident ou ne pas le faire en temps voulu. Même si cela ne signifie pas que le CISO soit inculpé, ce serait une nouvelle étape. Cela veut dire, encore, que le CISO pourrait se voir plus souvent tenu pour responsable des décisions qu’il a prises… ou pas prises.
Est-ce justifié ? Dans des organisations de plus en plus globales, peut-on attribuer la responsabilité au seul CISO ? Ce serait négliger le fait que, pour gérer efficacement la cybersécurité, l’entreprise adopte une approche à plusieurs niveaux impliquant divers acteurs et départements. En d’autres termes, il y a une responsabilité collective.
Qui plus est, il est difficile pour les individus ou les entreprises de prévenir toutes les cyberattaques en raison des techniques sophistiquées et de l’évolution rapide du paysage des menaces. Que faire, en effet, contre une attaque d’un Etat aux moyens extrêmement puissants ?
Négligence ?
C’est précisément la défense de SolarWinds pour qui « Sunburst », nom donné par la firme à la violation, « était une attaque hautement sophistiquée et imprévisible qui, selon le gouvernement américain, a été menée par une superpuissance mondiale utilisant des techniques que les experts en cybersécurité n’avaient jamais vues auparavant ». SolarWinds fait également remarquer que les poursuites judiciaires contre la société et ses employés pourraient avoir un effet « dissuasif » sur les divulgations de failles. « Le seul moyen de prévenir les attaques sophistiquées et généralisées par des Etats, comme Sunburst, est de mettre en place des partenariats public-privé avec le gouvernement », a déclaré la société.
En attendant, la SEC peut chercher à démontrer une négligence, par exemple si le CISO n’a pas mis en œuvre des mesures de sécurité adéquates, a négligé les politiques, les lignes directrices et les pratiques ou a ignoré des vulnérabilités connues. D’un autre côté, la violation de SolarWinds, comme l’attaque du Colonial Pipeline d’ailleurs, sont des attaques systémiques et endémiques qui, par-delà les entreprises, impactent des secteurs entiers. C’est tout le sujet de NIS2 !
Protéger les investisseurs
De toute évidence, la SEC est de plus en plus sensible au sujet. L’année dernière, elle a presque doublé la taille de son unité Crypto Assets and Cyber, ajoutant 20 nouveaux postes pour porter le personnel à 50. Le travail de l’unité vise à protéger les investisseurs qui pourraient être touchés par les marchés de la cryptographie ou les cybermenaces.
La SEC a également proposé des modifications à ses règles de cybersécurité pour les entreprises publiques. Celles-ci obligeraient les entreprises à divulguer périodiquement des informations sur leurs politiques et procédures liées à l’identification et à la gestion des risques de cybersécurité. Les entreprises devraient également fournir des mises à jour sur les incidents de cybersécurité qu’elles ont connus.