Crédit : Dreamstime
Le procès de l’ancien CISO d’Uber Joe Sullivan marque la toute première fois un chef de la cybersécurité a effectivement traité de la responsabilité pénale potentielle. Sullivan est accusé d’avoir tenté de cacher aux détectives fédéraux les détails d’un piratage d’Uber en 2016 qui a révélé les adresses e-mail et le numéro de téléphone de 57 millions d’automobilistes et de passagers.
Les deux chefs d’accusation contre Sullivan, blocage de la justice et non-déclaration d’un crime, sont passibles d’une peine de prison potentielle de cinq et trois ans, respectivement, dans une affaire décisive qui a en fait attiré l’attention des experts en sécurité.
Par une coïncidence sardonique, le procès de Sullivan a commencé quelques jours avant que la nouvelle n’apprenne qu’Uber avait de nouveau été piraté. Uber dit qu’un groupe de piratage dirigé par des adolescents appelé LAPSUS$ a probablement pris les informations d’identification d’un membre du personnel pour obtenir un accès complet aux systèmes internes d’Uber, y compris la console Amazon Web Services (AWS) de l’entreprise, les fabricants virtuels VMware vSphere/ESXi, le tableau de bord d’administration Google Workspace pour la gestion les comptes de messagerie Uber, le serveur Slack et le portail du programme Bug Bounty.
Uber a validé la violation et a déclaré qu’il n’avait aucune preuve que le pirate ait eu accès à des informations délicates sur l’utilisateur.
La dernière violation d’Uber ne semble pas inclure de malversation de la part du groupe de sécurité d’Uber. Son timing met en évidence que les chefs de la cybersécurité des entreprises restent dans un domaine juridique incertain concernant les piratages importants.
La question d’une certaine forme de couverture d’assurance responsabilité civile, ou d’assurance des administrateurs et dirigeants (D&O), pour les RSSI a été soulevée dans le contexte des malheurs de Sullivan, les professionnels disent qu’ils ne voient pas la demande pour le moment.
Les avocats de Sullivan affirment qu’il n’est pas responsable
La violation de 2016 comprenait les pirates avoués Vasile Mereacre, qui s’est fait passer le nom de John Doughs, et Brandon Glover piratage d’un dossier Uber S3 contenant plus de 200 fichiers d’informations privées d’utilisateurs.
Ils ont pris les noms, adresses e-mail et numéros de téléphone de 57 millions d’utilisateurs de l’application, en plus de 600 000 numéros de permis de conduire. Ils ont ensuite appelé Uber à la recherche d’une rançon. Les pirates ont principalement interagi avec Rob Fletcher, un employé de l’action de sécurité de l’entreprise, bien qu’ils aient également contacté Sullivan.
Uber a finalement accepté de payer 100 000 $ à la paire pour supprimer les données en tant que « prime de bogue » et a demandé signer un contrat de non-divulgation (NDA), prétendument pour dissimuler toute l’affaire au public et aux régulateurs. L’événement est resté secret jusqu’en 2017, lorsque Dara Khosrowshahi est devenue la toute nouvelle directrice générale d’Uber et a licencié Sullivan.
L’été dernier, Uber a conclu un accord de non-poursuite avec les procureurs de district fédéraux pour résoudre une affaire criminelle. enquête sur la dissimulation de la violation de 2016, étant donné que la Federal Trade Commission (FTC) avait un examen en cours sur les pratiques de sécurité des données de l’entreprise à l’époque.
Les procureurs soutiennent qu’en tant que chef de la sécurité d’Uber, Sullivan était obligé de divulguer l’infraction à la FTC. Les avocats de Sullivan soutiennent que l’équipe juridique d’Uber, et non Sullivan, était obligée de signaler l’infraction à la FTC.
Andrew Dawson, un avocat adjoint aux États-Unis, a déclaré : « Il s’agit d’une affaire de dissimulation, de Les preuves révéleront que M. Sullivan a payé pour le silence des pirates en raison du fait qu’Uber était examiné par la FTC. »
Des zones grises telles que les rançongiciels pourraient disparaître RSSI responsables
Face au pic rapide des attaques de rançongiciels au cours des 3 dernières années, de nombreuses organisations ont en fait choisi de payer la rançon aux agresseurs d’une manière qui n’est pas différente de ce que Sullivan a fait.
Même Anne Neuberger, consultante adjointe en sécurité nationale pour la cybersécurité et les technologies émergentes, a déclaré, malgré les conseils du FBI de ne jamais payer de rançon, « nous reconnaissons… que les entreprises sont souvent dans une position difficile si leurs les données sont cryptées et ils n’ont pas de sauvegardes et ne peuvent pas récupérer les données.
« C’est pourquoi – à condition que les ransomwares augmentent et offrent, honnêtement, le schéma désagréable que nous voyons de cibler généralement les entreprises qui ont assurance et peut-être des cibles plus riches– que nous avons besoin d’examiner attentivement ce domaine. «
Bien que la majorité des organisations ne soient pas examinées par la FTC et n’iraient pas jusqu’à ce qu’Uber ait fait pour dissimuler un paiement aux pirates, des emplacements gris pourraient éventuellement émerger, selon les scénarios, qui pourraient laisser un RSSI exposé à des actions en justice ultérieures, et éventuellement à des frais juridiques coûteux, s’il a pris part à une décision de payer une rançon ou de gérer un incident de cybersécurité de manière non conventionnelle.
Les RSSI n’apparaissent pas à la recherche d’une couverture d’assurance supplémentaire
Alors que les RSSI regardent sans aucun doute nerveusement le procès de Sullivan pour déterminer s’ils doivent exiger une assurance D&O, le même type de protection en responsabilité que les administrateurs et dirigeants d’entreprise reçoivent chez grandes entreprises, » aujourd’hui, les RSSI se concentrent principalement sur le front de l’assurance de base en cyber-responsabilité », a déclaré Steven Aiello, directeur des pratiques de sécurité chez Ahead, CSO.
« Avec les RSSI avec qui j’ai des conversations, plus types d’assurance ne sont pas un sujet de préoccupation pour le moment. Je ne dis pas qu’ils ne devraient pas l’avoir. Ce que je dis, c’est que les RSSI avec qui j’ai des discussions, ce n’est certainement pas quelque chose qu’ils présentent comme une préoccupation. »
Il n’est pas surprenant que la couverture d’assurance générale de cybersécurité soit une centre d’attention actuel, étant donné que les polices souscrites sur le marché de l’assurance finissent par devenir progressivement précaires.
L’un des principaux souscripteurs, Lloyds of London, exemptera bientôt les attaques soutenues par l’État de leur couverture. les entreprises abandonnent complètement la couverture suite à une augmentation de 74 % des primes de couverture de cyber-assurance.
La couverture d’assurance A&D pourrait également être exagérée pour de nombreux RSSI car, « Lorsque vous regardez une structure organisationnelle, le RSSI fonction est toujours plus un poste de VP, SVP qu’un véritable poste de niveau C », déclare Aiello. « Malheureusement, ce n’est toujours pas un véritable poste de niveau C. Si vous jetez un coup d’œil aux structures organisationnelles, un grand nombre d’OSC passent à un directeur financier ou à un directeur informatique. »
À mesure que la cybersécurité devient plus sophistiquée et que les entreprises du gouvernement fédéral fournissent davantage d’aide pour assurer la sécurité et la résilience de leurs organisations, les RSSI ont le droit de s’inquiéter, étant donné les éventuelles allégations qui pourraient surgir à l’avenir s’ils cessent de travailler pour suivre l’assistance émergente aujourd’hui.
« Prenez le cas avec Uber. Cela a eu lieu après l’attaque, ce que nous appelons, le meilleur du boum. Si vous l’avez dissimulé, cela semble être quelque chose qui, bien sûr, vous expose », Ian Bramson, responsable international de la cybersécurité commerciale chez la société de conformité ABSG Consulting, informe CSO.
« Cependant, à mesure que les réglementations entrent en vigueur et stipulent que vous devez signaler un événement dans un délai X, ou que vous devez faire X, Y et Z. Lorsqu’ils commencent à faire plus autorité et que les entreprises ne suivent pas cela, alors les dirigeants seront plus exposés au fur et à mesure », déclare Bramson.
« Il existe une mesure d’effet générale, suggérant qu’avez-vous fait pour vous préparer ? Vous n’avez pas bien préparé ? Vous pourriez en être responsable. »
Bramson pense que les RSSI du côté OT de l’entreprise peuvent faire face à des menaces plus importantes que les purs leaders de la cybersécurité informatique en raison du fait que la défense en responsabilité est moins mature dans les environnements industriels, et « Je peux arrêter des trucs. Je peux faire exploser les choses du côté OT. »
Le meilleur pari pour les RSSI est une politique de gouvernance protectrice
Aiello pense que de nombreuses organisations ne paieront pas pour l’assurance D&O, ou tout autre type de couverture d’assurance responsabilité civile d’expert, pour leurs RSSI, car ces polices peuvent coûter 100 000 $ ou plus par an. Il est peu probable que les RSSI paient pour ce type d’assurance de leur propre poche « pour s’absoudre d’un danger personnel . »
Si cela était vrai, de nombreux RSSI n’accepteraient pas le poste, « puisque vous pouvez être une ressource de niveau inférieur et gagner tout simplement autant d’argent et ne pas avoir à supporter ce danger et ne pas avoir à supporter cela dépenses », déclare Aiello.
Le meilleur pari pour les RSSI est de s’assurer que les politiques de gouvernance d’entreprise leur offrent une protection. « Je m’assurerais absolument que lorsque l’organisation choisit d’accepter une menace en n’assumant pas la responsabilité assurance ou en arrêtant de travailler pour payer une tâche, il doit être documenté que ce n’est pas l’OSC qui a sélectionné accepter ce danger; c’est le PDG ou le directeur financier ou le directeur de l’exploitation qui a choisi d’accepter cette menace. »
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
