jeudi, 28 mars 2024

Le verdict de culpabilité dans l’affaire de violation d’Uber rend la responsabilité personnelle réelle pour les RSSI

Crédit : Dreamstime

Hier, un jury fédéral a rendu un verdict de culpabilité à l’encontre de Joe Sullivan, l’ancien CSO, pour « obstruction à la procédure de la Federal Trade Commission et détournement de crime en relation avec la tentative de dissimulation d’un piratage de 2016 sur Uber » selon un avis publié par le ministère de la Justice (DOJ).

L’avocate

US Stephanie Hinds, après avoir pris connaissance du verdict, a averti les entreprises qui stockent des données quant à leur responsabilité de « protéger ces données et d’alerter les clients et les autorités compétentes lorsque ces données sont volées par des pirates ».

« Sullivan s’est efforcé de cacher la violation de données à la Federal Trade Commission (FTC) et a pris des mesures pour empêcher les pirates d’être pris.

« Nous ne tolérerons pas la dissimulation d’informations importantes au public par des dirigeants d’entreprise plus soucieux de protéger leur réputation et celle de leurs employeurs que de protéger les utilisateurs. Si une telle conduite viole la loi fédérale, elle sera poursuivie. »

L’avocat de Sullivan, David Angeli, a déclaré au New York Times : « Bien que nous ne soyons manifestement pas d’accord avec le verdict du jury, nous apprécions leur dévouement et leurs efforts dans cette affaire. » Il a poursuivi : « M. Le seul objectif de Sullivan – dans cet incident et tout au long de sa carrière distinguée – a été d’assurer la sécurité des données personnelles des personnes sur Internet. »

Les ramifications du verdict Uber pour les RSSI

Cependant, la condamnation ne concernait pas les infractions. Les accusations liées à la violation elle-même avaient été abandonnées. Le procès et la condamnation portaient plutôt sur les décisions de Sullivan concernant ses discussions avec la FTC et son omission de signaler un crime criminel.

Son apparente dissimulation à ses collègues cadres comme allégué dans le témoignage témoignait de sa connaissance qu’un crime avait été commis.

En outre, le DOJ a clairement indiqué que les deux auteurs de la violation de données de 2016 chez Uber avaient par la suite été arrêtés et reconnus coupables d’avoir commis des cybercrimes et de ne pas avoir participé à des programmes de primes de bogues, comme l’allègue Sullivan. Tous deux ont plaidé coupable le 30 octobre 2019 à des accusations de complot de fraude informatique et attendent leur condamnation.

« Les plaidoyers de culpabilité distincts déposés par les pirates démontrent qu’après que Sullivan ait aidé à dissimuler le piratage d’Uber, les pirates ont pu commettre une intrusion supplémentaire dans une autre entité corporative—Lynda.com—et tenter de racheter ces données en tant que eh bien », a déclaré le DOJ dans son avis.

Cela dit, le procès de Sullivan portait autant sur sa responsabilité personnelle que sur la création d’un changement radical dans la responsabilité. Les dirigeants responsables de la sécurité d’une entreprise et de ses données se retrouvent désormais à se demander à quel moment d’une violation seront-ils responsables de ses conséquences.

À l’avenir, les OSC et les RSSI peuvent être en désaccord avec leurs groupes de cadres supérieurs et pairs lorsqu’une décision stratégique est prise qui expose l’entreprise à un risque, même un risque mitigé. Comme tous les CSO/CISO le savent, la sécurité à 100 % n’existe pas.

Ce verdict a-t-il ouvert la porte aux victimes d’une violation de données d’entreprise pour poursuivre non seulement l’entreprise à laquelle elles avaient confié leurs informations, mais également les dirigeants qui assument cette responsabilité ?

Qu’il s’agisse d’une tournure des événements bienvenue ou d’un choc pour le système, cela se jouera dans les mois à venir alors que les équipes juridiques des entreprises qui détiennent des données personnelles évalueront leurs positions à la lumière de ce verdict.

Où commence et s’arrête la responsabilité personnelle des RSSI ?

Une autre question qui doit être discutée dans les suites C des entreprises est de savoir jusqu’où la chaîne de responsabilité des dirigeants doit-elle s’étendre et quelles sont les directives fournies par les ressources humaines et juridiques à leurs dirigeants concernant la responsabilité personnelle et leur responsabilité. besoin d’obtenir assurance responsabilité civile personnelle.

David Shackleford a dit le Washington Post, « La responsabilité personnelle pour les décisions d’entreprise avec la participation des parties prenantes de la direction est un nouveau territoire quelque peu inexploré pour les responsables de la sécurité. Je crains que cela ne conduise à un manque d’intérêt pour notre domaine et à un scepticisme accru à l’égard de l’infosec en général. »

L’observation de Shackleford s’est déroulée dans la salle d’audience. L’équipe de direction d’Uber a fait référence aux histoires racontées par Sullivan, tout en précisant qu’Uber s’était distancé des décisions de Sullivan. Et plus clairement, l’équipe juridique d’Uber protégeait Uber et non Sullivan.

Alors que beaucoup peuvent considérer la totalité de la responsabilité qu’un CISO assume lorsqu’il prend le poste comme quelque chose de nouveau et un attribut négatif du poste, les ramifications vont au-delà de l’individu et s’infiltrent dans leurs équipes de sécurité et d’infosec.

Document, document, document

Le principal point à retenir de ce jugement est la nécessité de documenter les décisions, même les décisions les plus infimes, et d’être prêt à défendre la décision, non seulement en interne, mais également auprès des régulateurs et des inspecteurs. Ces documents peuvent empêcher le RSSI d’entrer dans la salle d’audience lorsqu’il traite avec le DOJ, la FTC et la Securities and Exchange Commission (SEC).

Avec les ajustements proposés aux règles de la SEC sur la la cybersécurité La gestion des risques, la stratégie, la gouvernance et la divulgation des incidents, les entreprises publiques et les défendeurs étant invités à défendre leurs décisions opérationnelles, nous pourrions bien évoluer pour attendre de chaque entreprise qu’elle fournisse un rapport sur l’état de la cybersécurité à une cadence régulière.

Edward Amoroso dans sa série de dessins animés Charlie Ciso a capturé cet aspect avec élégance lorsqu’il a décrit les RSSI se conformant aux nouvelles exigences de déclaration et submergeant le système.

Ce qui est clair, le rôle du RSSI a maintenant changé et la responsabilité personnelle est une réalité.

.

Toute l’actualité en temps réel, est sur L’Entrepreneur

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici