Sécurité des entreprises
La divulgation appropriée d’un cyber-incident peut contribuer à protéger votre entreprise contre de nouveaux dommages financiers et de réputation, et les cyber-assureurs peuvent intervenir pour vous aider.
18 septembre 2024
•
,
4 minutes. lire
« Demander un avis juridique », ceci doit être ma principale recommandation si vous avez subi un cyber-incident qui pourrait être considéré comme important, implique des informations personnellement identifiables, ou si votre entreprise est classée comme infrastructure critique.
Les équipes de cybersécurité du monde entier sont en première ligne pour se défendre contre les cyberattaques et sécuriser les actifs de l’entreprise. Dans le même temps, ils sont également en première ligne pour traiter avec les régulateurs et éviter les amendes. Par exemple, au Royaume-Uni, une faille de sécurité peut devoir être signalée à l’Information Commissioner’s Office (ICO), où le signalement d’un incident comporte plusieurs options :
- Violation de données personnelles selon le RGPD au Royaume-Uni (DPA 2018)
- Violation du fournisseur de services de confiance (eIDAS),
- Faille de sécurité des services de communication (PECR)
- Rapports d’incidents des fournisseurs de services numériques (NIS)
Si vous êtes une organisation financière, vous devrez peut-être également signaler l’incident à la Financial Conduct Authority (FCA). Pour les infrastructures et services critiques, il existe d’autres obligations ; par exemple, les opérateurs de services de transport essentiels doivent signaler les incidents au ministère des Transports. Ensuite, bien sûr, vous devrez contacter votre cyber-assureur et l’informer de l’incident, sans oublier le conseil d’administration, les investisseurs, la banque, les partenaires commerciaux, potentiellement vos clients et votre famille pour leur faire savoir que la journée risque d’être longue. .
Toutes les réglementations de divulgation obligatoire ci-dessus sont requises dans le ou les premiers jours suivant l’identification d’un incident, alors que l’incident fait encore l’objet d’une enquête et que le rétablissement est la priorité commerciale. Les exemples ci-dessus sont des réglementations britanniques, et les exigences de divulgation obligatoire dans la plupart des pays sont tout aussi strictes. Dans certains pays, il peut même être exigé de divulguer l’incident publiquement, par exemple en déposant une notification d’un cyberincident auprès d’une bourse, qui en publie ensuite les détails pour informer les investisseurs.
Si vous disposez d’une police d’assurance contre les cyberrisques, les services fournis dans le cadre de la police peuvent inclure des services juridiques et des dépôts réglementaires. Il s’agit d’un service dont il faut profiter, car les avocats spécialisés dans ces divulgations obligatoires comprendront quelles informations sont nécessaires et le processus pour déposer la notification. Le dépôt en temps opportun des bonnes informations peut aider à éviter les sanctions réglementaires. Si aucune police d’assurance n’est en place, je recommande de faire appel à un avocat spécialisé dans les cyberincidents.
Ce blog est le sixième d’une série consacrée à la cyberassurance et à sa pertinence dans cette ère de plus en plus numérique – voir également les parties 1, 2, 3, 4 et 5. Apprenez-en davantage sur la manière dont les organisations peuvent améliorer leur assurabilité dans notre dernier livre blanc, Prevent, Protéger. Assurer.
Comprendre les obligations réglementaires devrait être un élément essentiel de la planification des cyberincidents, qui en elle-même s’inscrit dans un plan de cyber-résilience plus large. Une tâche recommandée, et à mon avis obligatoire, devrait être un exercice de simulation sur les cyberincidents. Cela permet d’identifier qui doit être impliqué et d’affiner le processus de gestion d’un incident si celui-ci se produit.
Une telle préparation doit être approfondie et ne pas être simplement considérée comme une tâche relevant du cadre de cybersécurité. Ces résultats et ce post-mortem sont essentiels pour se préparer à un cyber-incident. Contrairement à d’autres professionnels de la cybersécurité, je ne crois pas qu’un incident ne soit pas un « si » mais un « quand ». Avec une bonne posture, des processus, des solutions adaptées et une équipe adéquate, cela peut encore rester un « si ».
Un autre point de reporting devrait être l’application de la loi. Bien que cela ne soit pas obligatoire, cela peut être utile d’une manière qui n’est pas évidente. Les forces de l’ordre peuvent avoir accès à des informations sur le groupe cybercriminel et disposer d’une expérience susceptible de faciliter leur récupération : elles peuvent même savoir si un décrypteur est disponible sans payer la demande. (Si un fournisseur de cybersécurité ou une autre partie dispose d’un décrypteur, il garde souvent ces informations secrètes pour éviter que les cybercriminels ne changent de tactique.) Le signalement des incidents informe également les forces de l’ordre de la portée et du volume de l’incident et permet au niveau de ressources approprié de le faire. être attribué.
Sachez que l’adversaire peut comprendre les exigences en matière de reporting. Fin 2023, un groupe de ransomware a dénoncé une société cotée en bourse qui avait refusé de payer une demande d’extorsion et n’avait pas divulgué obligatoirement une violation à la SEC américaine. Cette militarisation de la divulgation obligatoire constitue un autre point de pression exercé par le mauvais acteur pour amener une entreprise à payer la demande.
En conclusion, divulguer tout cyberincident est dans le meilleur intérêt de l’organisation concernée, que ce soit en évitant des amendes et des pénalités, ou en obtenant une assistance supplémentaire auprès des organismes juridiques et réglementaires notifiés. Les cyber-assureurs sont extrêmement précieux dans ce cas, non seulement financièrement, mais également par d’autres moyens, par exemple en s’assurant que les bonnes personnes soient informées afin de garantir la conformité et de réduire l’ensemble des dommages.
- Prof. Leslie Wilcox, professeur à la London School of Economics
- Lord Francis Maude, ancien ministre d’État chargé du Commerce et de l’Investissement
- Prof. Keith Martin, directeur du Centre EPSRC de formation doctorale en cybersécurité au quotidien
- Professeur Neil Barrett, ancien conseiller en matière de cybercriminalité auprès du ministre du Travail de l’Intérieur de l’époque
- Jack Paille ; Martin Borrett, directeur technique d’IBM Security au Royaume-Uni
- David Chavez, chef de produit cyberassurance
- Tushar Nandwana, directeur du segment technologique de contrôle des risques chez Intact Assurance Solutions spécialisées, et
- Dr Constance Dierickx, fondatrice et présidente de CD Consulting Group
Apprenez-en davantage sur la façon dont l’assurance contre les cyberrisques, combinée à des solutions avancées de cybersécurité, peut améliorer vos chances de survie si ou quand une cyberattaque se produit. Téléchargez notre livre blanc gratuit : Prévenir. Protéger Assurer, ici.