Note de l'éditeur : cet article a été publié à l'origine sur darkreading.com et comprend un commentaire d'Alastair Parr, premier vice-président des produits et services mondiaux.
En ce début d'année, les RSSI se réunissent avec leurs équipes de sécurité et la direction de l'entreprise pour définir les principales priorités pour 2024 et les moyens d'y répondre. Cette année, avec une multitude de nouvelles lois sur la protection de la vie privée, de réglementations de la Securities and Exchange Commission (SEC), de menaces sur le site cyber et de nouvelles technologies promettant de résoudre ces menaces, ils risquent de perdre le sommeil en essayant d'empiler de manière optimale les proverbiales pièces de Tetris de la stratégie de cybersécurité.
De tous les défis qui se disputent l'attention du RSSI, la responsabilité personnelle et légale des violations de données que la SEC a imposée aux RSSI pourrait être la plus difficile à relever au cours de la nouvelle année, déclare Nicole Sundin, Chief Product Officer chez Axio.
"Les RSSI étant amenés à discuter de ces risques dans la salle du conseil d'administration, ils auront besoin d'un système d'enregistrement pour se protéger et démontrer leur devoir de diligence", fait-elle remarquer. "Actuellement, les RSSI ont ces conversations, font des choix difficiles et agissent comme ils le jugent nécessaire, mais ces décisions peuvent ou non être documentées. En disposant d'une source unique de vérité ou d'un système d'archivage, les RSSI peuvent mieux se protéger".
Ceux qui ne consignent pas les événements et les raisons pour lesquelles ils ont eu lieu seront ceux qui "porteront le chapeau", ajoute Sundin.
Sundin compare les RSSI aux cadres du secteur de la santé, qui tiennent un registre détaillé de toutes les actions qu'ils entreprennent afin de pouvoir se défendre en cas d'accusation de malversation. Étant donné que de nombreux RSSI ne sont pas couverts par les polices d'assurance des administrateurs et dirigeants d'entreprise, ils seraient personnellement responsables en vertu des nouvelles règles de la SEC en cas de violation. Cette responsabilité personnelle s'applique aussi bien en cas de violation avec perte de données qu'en cas de violation de la vie privée sans perte de données.
Sundin recommande aux RSSI de prendre les mesures suivantes dès que possible :
Les RSSI doivent également participer activement à la négociation des polices d'assurance cyber , précise M. Sundin. En règle générale, les RSSI doivent approuver ce que le directeur juridique ou le directeur financier négocie en fin de compte, mais s'ils n'ont pas leur mot à dire, et si leurs recommandations ne sont pas consignées par écrit, ils pourraient être tenus légalement responsables de la protection d'une clause d'exclusion non assurable.
Cyber Les assureurs se concentreront sur les violations de la vie privée en 2024, prédit David Anderson, vice-président de cyber liability chez Woodruff Sawyer, une société nationale de courtage d'assurance. Selon Anderson, les souscripteurs de l'assurance cyber devraient durcir les réglementations sur la façon dont les organisations mettent en œuvre la sécurité des données privées et des comptes privilégiés, y compris les comptes de service, qui, selon lui, ont tendance à être surprivilégiés et dont les mots de passe n'ont souvent pas été changés depuis des années.
"Si vous ne respectez pas les lois et les statuts relatifs à la protection de la vie privée qui s'appliquent à votre entreprise, à votre juridiction, et auxquels votre norme raisonnable s'applique, nous ne couvrirons pas le fait que vous partagez des données d'une manière qui n'est pas conforme à votre politique de protection de la vie privée ou qui n'est pas conforme à la loi", explique M. Anderson.
Citant le durcissement des lois sur la protection de la vie privée dans des États tels que la Californie et l'État de Washington, il explique que les assureurs ( cyber ) exigent des organisations non seulement qu'elles aient mis en place des politiques complètes en matière de protection de la vie privée, mais aussi qu'elles soient en mesure de prouver qu'elles respectent ces politiques. Si les organisations ne protègent pas les données protégées par leur politique de confidentialité, elles risquent de se retrouver sans couverture.
"Il peut s'agir d'un risque non assurable. Ces sinistres sont extrêmement coûteux du point de vue de la défense et du règlement", explique M. Anderson. "Le souscripteur va chercher plus qu'une simple case à cocher oui ou non [sur une proposition d'assurance cyber ]. Vous allez devoir montrer où ces contrôles sont intégrés [et] où vous obligez vos fournisseurs à adhérer au même niveau de soin" que les politiques de protection de la vie privée de votre organisation.
Si les menaces liées à la protection de la vie privée figureront en bonne place parmi les priorités des conseils d'administration en 2024 grâce aux nouvelles réglementations de la SEC et aux exigences des assureurs cyber , il en ira de même pour d'autres menaces liées à la chaîne d'approvisionnement. Alastair Parr, vice-président senior des produits et services mondiaux chez le fournisseur de gestion des risques des tiers (TPRM) Prevalent, affirme que les organisations devraient élaborer leurs programmes d'approvisionnement en identifiant les partenaires du point de vue de la question suivante : "Comment ce tiers peut-il offrir des avantages en termes de résilience opérationnelle ? Comment cette tierce partie peut-elle nous apporter des avantages en termes de résilience opérationnelle ?
Selon M. Parr, les visionnaires tournés vers l'avenir s'intéressent au TPRM et aux données dans leur ensemble, ainsi qu'à la signification des violations de données sur la base d'une conformité réglementaire émergente et croissante. Plutôt que de se concentrer sur les données elles-mêmes, il suggère d'adopter une approche holistique, qu'il qualifie de cadre interfonctionnel de gestion des risques liés aux fournisseurs.
"Dès que le conseil d'administration commence à envisager la question sous l'angle de la transversalité, d'un programme plus complet et d'un cycle de vie, les questions qu'il doit se poser changent", explique-t-il. "Ils devraient être enthousiastes à l'idée d'impliquer les achats. Ils ne doivent pas être effrayés par les données pour les données".
Selon M. Parr, la grande majorité des entreprises éprouvent aujourd'hui des difficultés avec le TPRM, car elles se concentrent davantage sur le coût de la gouvernance des données que sur la conformité réglementaire, la résilience opérationnelle, l'impact sur la marque ou le risque de réputation associé aux violations de données.
Dans un contexte de réglementation accrue, les RSSI sont désormais tenus personnellement responsables des violations de données, qu'il s'agisse de pertes de données ou d'atteintes à la vie privée. En réponse, cyber les assureurs renforcent leurs règles sur la façon dont les organisations doivent protéger les données privées et les comptes privilégiés. Tout cela se produit alors que les régulateurs, les assureurs et les chefs d'entreprise accordent une attention accrue aux menaces qui pèsent sur la chaîne d'approvisionnement.
Pour relever ces défis au cours de l'année à venir, les RSSI doivent protéger leur organisation et se protéger eux-mêmes en créant un système de documentation des actions et décisions pertinentes, en établissant et en appliquant des politiques de protection de la vie privée complètes et cohérentes, et en évaluant leurs partenaires tiers en termes de résilience opérationnelle.
En collaborant avec les équipes chargées des achats, des affaires juridiques et de la sécurité, les RSSI peuvent atténuer l'impact potentiel des menaces pesant sur la chaîne d'approvisionnement et des coûts d'assurance sur leur entreprise, tout en se protégeant eux-mêmes.