Au cas où la nouvelle passerait sous votre radar, le 5 octobre 2022, un verdict a été rendu par le tribunal de district américain du district nord de Californie qui pourrait s’avérer très impactant pour les CISO/CSO (Chief Information Security Officers/Chief Security Officers ) dans un avenir proche et lointain. Joe Sullivan, l’ancien CSO de la société de covoiturage Uber, a été reconnu coupable d’avoir entravé les tentatives de la Federal Trade Commission (FTC) des États-Unis d’enquêter sur une importante violation de données qui a touché l’entreprise en 2016. En bref, il s’agissait d’une enquête visant à déterminer si la violation qui exposé plus de 50 millions d’enregistrements attachés aux clients d’Uber a été sciemment dissimulé.
Le plus important est le fait que les avocats de Sullivan et Uber risquent désormais une peine de prison importante. Bien qu’aucune date de condamnation n’ait été fixée, chacun risque jusqu’à 5 ans de prison fédérale.
Dans notre objectif permanent de maintenir un dialogue ouvert avec nos clients et de comprendre les problèmes et les préoccupations qui affectent leur entreprise, Radware a demandé aux CISO/CSO de notre clientèle comment ils pensaient que le verdict affecterait le rôle du CISO/CSO à l’avenir.
Avant d’en venir à leurs réponses, voici un bref aperçu de l’affaire Uber et de ce qui a conduit au verdict.
Une histoire intéressante
La violation d’Uber s’est produite lorsqu’un pirate informatique de 18 ans s’en est attribué le mérite sous un nom d’entité supposé. Il a effrontément annoncé la violation avec ce message sur une chaîne Uber Slack – “Salut @here, j’annonce que je suis un pirate informatique et Uber a subi une violation de données.” Il a affirmé que la violation – une attaque par épuisement – était le résultat d’un hameçonnage. C’est un autre exemple du rôle essentiel que jouent les employés dans la lutte contre l’ingénierie sociale. Malheureusement, il suffit d’une seule personne pour exposer un vecteur d’attaque.
Le lendemain, Uber a publié une déclaration disant que “les outils logiciels internes que nous [Uber] retirées par précaution hier reviennent en ligne. Cependant, l’attaquant a publié des captures d’écran indiquant que la violation était plus profonde que ne l’avait admis Uber. Il a insisté sur le fait qu’avec plus de temps, la brèche aurait pu être considérable.
Le verdict
Le verdict de la violation d’Uber découle du fait que Sullivan et d’autres, y compris son ancien PDG et avocat interne, ont décidé de payer le pirate avec du bitcoin. Mais ils ont payé plus que la garantie du pirate de ne pas publier les données volées. Ils ont payé son silence.
Au moment de la violation, la FTC enquêtait sur une autre violation d’Uber qui s’était produite 2 ans plus tôt. Uber ne voulait pas que des informations sur la nouvelle violation soient divulguées à ce moment sensible. Alors, ils ont décidé d’acheter le silence du hacker et de débourser plus de 100 000 $ en bitcoins. Pour ajouter au gâchis, ils ont caché le paiement dans le programme de primes aux bogues d’Uber, qui récompense les non-employés qui découvrent et divulguent des bogues dans leurs systèmes et applications. Cependant, le programme paie 10 000 $ par divulgation, bien en dessous du paiement en bitcoins. Il s’agissait clairement d’une tentative de cacher la violation, de la dissimuler et d’empêcher que la nouvelle n’atteigne la FTC.
« Comment le verdict d’Uber affectera-t-il les RSSI à l’avenir ? »
Tous les CISO/CSO interrogés de la clientèle de Radware, sauf deux, pensaient que le verdict de la violation d’Uber affecterait considérablement le rôle à l’avenir. Comme toujours, nous avons trouvé leurs réponses aux questions sur des sujets d’actualité affectant le paysage technologique intéressantes, engageantes et très perspicaces.
La majorité des réponses se répartissent en 3 domaines de réflexion :
- Les effets que le verdict peut avoir sur attirer les meilleurs talents informatiques pour pourvoir des postes de RSSI,
- La nécessité de s’assurer que des méthodologies de conformité sont établies et suivieset
- Le besoin de protéger le personnel informatique et signaler toutes les violationsmême ceux qui peuvent sembler insignifiants et/ou présenter peu de menace.
Attirer les meilleurs talents :
“Il est important de considérer que les dirigeants peuvent rejeter la faute sur leur RSSI car, au fond d’eux-mêmes, ils savent que la sécurité à 100 % n’existe pas.”
“Ce [the verdict] aura certainement un impact. Si les gens craignent la responsabilité personnelle des violations de données, moins de gens vont envisager cette position. En conséquence, il y aura moins de talents pour occuper ces postes.
“Désormais, les victimes d’une violation de données d’entreprise savent qu’elles peuvent poursuivre non seulement l’entreprise, mais également les dirigeants qui assument cette responsabilité.”
« Avec la responsabilité personnelle et la culpabilité, nous sommes maintenant dans un territoire quelque peu inexploré pour les responsables de la sécurité. Cela conduira certainement à un manque d’intérêt pour notre domaine et à un scepticisme accru à propos d’InfoSec dans son ensemble.
S’assurer que les mandats de conformité sont respectés et que la transparence est promue :
« La transparence est essentielle pour les questions financières et de cybersécurité. Cela va de pair avec les nouvelles exigences de signalement des incidents de cybersécurité de la SEC (US Securities and Exchange Commission). »
« Le verdict souligne la nécessité d’une plus grande transparence entre le conseil d’administration, les comités des risques et l’échelon exécutif. La transparence doit porter sur les rapports d’incidents ainsi que sur les lacunes de la posture de sécurité et les données d’audit. Dans la surface d’attaque de cybersécurité d’aujourd’hui, il n’y a pas d’autre choix que de lever le capot et de mesurer en permanence l’exposition à la sécurité.
« Cela va changer la donne pour les RSSI et la manière dont ils gèrent les signalements de violation de données. La conformité prendra un nouveau sens et une nouvelle gravité.
“La responsabilité et la nécessité de niveaux accrus de celle-ci exigeront que tout soit ouvert à l’audit et à des niveaux de contrôle élevés.”
Protéger le personnel informatique et signaler toutes les violations, quelle que soit leur taille et leur portée :
“Désormais, les RSSI devront réfléchir et porter une plus grande attention aux petites vulnérabilités et aux risques résiduels.”
“Il y aura certainement une norme plus élevée en place pour les RSSI.”
“Le verdict affectera définitivement le rôle du RSSI car il se sentira désormais plus responsable de son équipe, de ses actions et de ses décisions.”
“Alors que les RSSI qui tentent de dissimuler les violations devraient assumer un niveau de responsabilité important, le verdict affectera également considérablement InfoSec et les équipes de sécurité.”
“La responsabilité personnelle étant désormais une réalité, les RSSI doivent mieux tenir compte de l’importance de chaque violation et de la nécessité de les signaler immédiatement, avec précision et ouvertement.”
Renforcez la posture de sécurité de votre organisation
Il ne fait aucun doute que le verdict d’Uber affectera la sécurité organisationnelle et le rôle du RSSI à l’avenir. Un précédent a été créé. Il n’a jamais été aussi important de s’assurer que votre organisation a mis en place des solutions de sécurité pour se protéger contre la myriade de menaces qui guettent. Que vous ayez besoin de sécurisez vos applications critiques et orientées client, améliorez la sécurité de votre cloud ou protéger contre les attaques DDoSIl est temps d’agir.
Tendez la main au professionnels de la cybersécurité chez Radware. Leur expérience empirique et leurs compétences ont permis de protéger les employés et les données critiques des clients pendant des années. C’est pourquoi tant d’entreprises parmi les plus réputées au monde font confiance à Radware.
Un grand merci aux clients de Radware dont les réponses sont incluses : Paul Vrdoljak, Raymond Tung, Rainer Schmier, Howard Taylor, Bikash Kumar Dash, Kiran Dhondkar, Daniel Cheung, Drew Peterson, Aung Bo, Andres Vergara, Anthony Simpson, Clint Boylan et Horacio Quiteno .
