Gouvernance d’entreprise en matière de cybersécurité : trois étapes essentielles pour former une équipe d’intervention en matière de cybersécurité

Écrit par Duncan C. Card

L’an dernier, le magazine Canadian Lawyer InHouse¹ a posé la question suivante : « Les avocats internes devraient-ils poser plus de questions sur la force des cybersyst systèmes de leur entreprise? » et ils ont cité l’enquête de 2012 de l’Association of Corporate Counsel qui a rapporté que 28% de leurs entreprises avaient subi une violation de la cybersécurité au cours des 12 mois précédents et « des violations de données et de la protection » comme l’un des principaux problèmes les empêchant de rester la nuit. ² À mon avis, la meilleure réponse à cette question est la suivante : les avocats internes devraient participer activement à la prestation d’un leadership en matière de gouvernance d’entreprise et d’une orientation en matière de gestion des risques en matière de cybersécurité, y compris des conseils juridiques et de conformité.

Quel que soit votre secteur d’activité ou votre secteur d’activité, qu’il s’agisse de la vente au détail, du transport, des services financiers, de la fabrication, de l’énergie ou autre, il y a maintenant des reportages quotidiens (sinon horaires) sur des cyberattaques agressives, ciblées et dommageables qui causent un préjudice financier, commercial et de réputation important à l’entreprise touchée, que ce soit par le biais de violations de données, de vols de secrets commerciaux ou de perturbations commerciales autrement. Il y a de fortes chances que plus votre entreprise est grande ou visible, plus votre entreprise est internationale ou plus votre entreprise est proche de notre infrastructure critique, plus votre entreprise est susceptible d’être la cible d’une cyberattaque. Par exemple, en mars de cette année, le département de la Sécurité intérieure des États-Unis a rapporté³ la déclaration suivante du président de la Commission de l’énergie de la Californie: « Si vous êtes un service public aujourd’hui, selon votre taille, vous êtes attaqué en ce moment. » ⁴ De même, le journal canadien Globe and Mail a récemment rapporté ^que5,

le réseau électrique de l’Amérique du Nord fait face à un risque croissant de cyberattaques de la part de criminels, de terroristes et d’États étrangers, et les services publics doivent consacrer des ressources croissantes pour défendre le système ... Dans un rapport publié l’année dernière, la société de cybersécurité Mandiant ^Corp.6 a exposé une menace d’espionnage informatique pluriannuelle à grande échelle (dans de nombreux secteurs) provenant d’un groupe en Chine ayant des liens étroits avec l’Armée populaire de libération... Robert Gordon, conseiller spécial de Sécurité publique Canada sur les cybermenaces, a cerné trois risques distincts qu’Ottawa travaille avec l’industrie pour lutter : la criminalité, l’espionnage et l’activisme.

Par conséquent, en ce moment, avant que votre entreprise ne soit frappée par une autre cyberattaque (oui, ... un autre), que ce soit par des pirates, des agents d’espionnage IP, des logiciels malveillants, des activistes lançant une attaque par déni de service ou par un employé mécontent, vous devez formuler de manière proactive les pratiques et les ressources dont votre organisation a besoin afin de gérer la réponse à de telles attaques. Je crois qu’il est possible de résumer les engagements de gouvernance qui sont nécessaires pour gérer raisonnablement le risque de cyberattaque en un processus en trois étapes, qui peuvent toutes conduire à l’assemblage, à l’organisation et à la formation d’une équipe d’intervention en cybersécurité SWAT (Special Weapons and Tactics) composée de gestionnaires (professionnels internes et / ou externes) qui sauront exactement quoi faire, et qui peut être appelé à l’action à tout moment, en cas de cybermenace.

PREMIÈRE ÉTAPE : Tout d’abord, assurez-vous que le conseil d’administration, la direction et les gestionnaires de l’infrastructure informatique et Web de votre entreprise comprennent et apprécient le monde trépidant de la cybersécurité enmatière de sécurité, y compris toutes les sources de menaces pertinentes, la vulnérabilité générale de votre organisation et les risques financiers, juridiques et de réputation commerciaux potentiels auxquels votre entreprise est confrontée de manière unique. Dans le cadre de cet exercice, tous les experts en la matière de votre organisation devraient être identifiés et affectés pour aider et contribuer à cet exercice de sensibilisation essentiel, ainsi qu’à toutes les entreprises qui suivront. Les experts en gouvernance d’entreprise informatique, en gestion de réputation et de crise, en cybertechnologie, en pratiques rh avancées et en ce qui concerne les obligations uniques de conformité juridique et réglementaire de votre entreprise devraient tous jouer un rôle essentiel dans la compréhension de la nature et de la portée des menaces de cybersécurité.

DEUXIÈME ÉTAPE : La deuxième étape de la préparation comporte deux aspects distincts.

Premièrement, les entreprises devraient entreprendre un examen, une évaluation et une vérification détaillés de leurs antécédents en matière de cybersécurité (soit leurs expériences directes, soit par analyse comparative sectorielle), de leur vulnérabilité et des risques et des principales responsabilités commerciales potentielles auxquels elles peuvent être confrontées – à la fois de nature commerciale et réglementaire (conformité). Chaque entreprise s’appuie sur Internet et l’infrastructure informatique et l’utilise de manière très différente, et ces différentes combinaisons d’utilisation et de dépendance créeront une matrice unique de risque, de responsabilité potentielle et de posture de défense. C’est pourquoi une évaluation complète de la façon dont votre entreprise est particulièrement bien placée (ou non) pour faire face aux cybermenaces est un aspect essentiel de la préparation à la sécurité. De plus, cette évaluation doit comprendre un examen exhaustif des obligations juridiques, réglementaires et de conformité uniques de votre entreprise afin que votre plan d’action en cas de cyberincident soit conçu de manière à inclure toutes les exigences de votre organisation en matière de notification, de rapports et de divulgation.

Deuxièmement, sur la base de l’évaluation unique des cyberrisques de votre entreprise, une stratégie globale de cybersécurité doit être formulée et mise en œuvre. Cet examen de la stratégie tiendra probablement compte des

• améliorations nécessaires à la sécurité de la technologie et des processus opérationnels;
• les contributions et les tests de sécurité de tiers (y compris les fournisseurs de services de cryptage, les services de piratage éthique, etc.);
• un examen de tous les programmes de sécurité des RH pertinents;
• les connexions et les pratiques en ligne de votre organisation avec ses principaux partenaires commerciaux, tels que les fournisseurs, les clients et les fournisseurs de services dont elle dépend pour exercer ses activités;
• la nécessité d’une assurance contre les cyberrisques;
• la continuité des activités et les plans d’urgence; et
• la formulation de politiques, de procédures et de pratiques en matière de cybersécurité (y compris un plan d’action pour les cyberincidents) qui traiteront de la prévention des cyberincidents, du signalement, de l’intervention et de l’atténuation des préjudices.

Ces politiques de cybersécurité d’entreprise comprennent généralement : les

• systèmes d’information (sensibilisation) pour rester « à jour de la menace » (y compris les avertissements des associations commerciales et des services de sécurité du secteur public tels que la police, les alertes de sécurité du secteur public et l’accès à toute la gamme des systèmes de soutien gouvernementaux⁷);
• les programmes de formation des employés;
• Les politiques de sécurité informatique, y compris éventuellement des restrictions d’accès aux données et aux TI, des données séparées et des stipulations de sécurité SaaS ou Cloud ;
• les pratiques de sécurité des fournisseurs, des clients et du commerce électronique;
• la gestion et l’affectation des ressources des employés pour les activités de gouvernance de la sécurité en cours; et
• les politiques de gestion interne, y compris la création d’une équipe d’intervention et de gestion en cas de cyberattaque.

TROISIÈME ÉTAPE : Sur la base de votre évaluation de la vulnérabilité et des risques en matière de cybersécurité, et conformément aux politiques et procédures de cybersécurité qui en résultent directement, votre entreprise devrait envisager de manière proactive de mettre en place une équipe spécialisée de gestionnaires formés pour superviser les capacités de préparation et d’intervention en matière de cybersécurité de l’organisation, ainsi que pour soutenir l’équipe de gestion de crise en cas de cyberattaque, y compris :

• superviser les politiques et procédures existantes pour s’assurer qu’elles sont correctement mises en œuvre et que toutes les pratiques connexes sont constamment améliorées (au besoin);
• s’assurer que l’état de préparation de l’entreprise est adéquat (par le biais de tests et autres) et avoir le pouvoir de gestion pour corriger toute lacune; et
• être formé, coordonné et prêt à agir immédiatement sur plusieurs fronts en cas de cybermenace, conformément à un plan d’action détaillé sur les cybermenaces.

Fondamentalement, cette équipe de gestion ciblée peut être considérée comme une équipe swat de cybersécurité.

Dès qu’elle est avisée pour la première fois d’une cyberattaque, le rôle de l’équipe d’intervention en matière de cybersécurité comprendra les efforts chorégraphiés suivants :

• identifier/ découvrir et diagnostiquer la cybermenace spécifique;
• mettre fin à la menace le plus rapidement possible;
• évaluer sa poursuite (ou son encouragement) et déterminer (si possible) l’étendue de tout préjudice et de toute activité non autorisée (évaluation d’impact);
• agir pour atténuer ou éviter les préjudices potentiels;
• travailler avec des tiers (police, organismes de réglementation, compagnies de téléphone, fournisseurs, distributeurs, etc.) pour répondre à tous les intérêts pertinents des parties prenantes;
• gérer les problèmes de réputation précipités, les communications avec les intervenants et les relations publiques; et
• s’occuper de toutes les activités juridiques, réglementaires et de conformité (y compris les rapports requis ou avantageux, que ce soit aux assureurs, aux organismes de réglementation ou autrement) tout en préservant les droits et les défenses juridiques de l’entreprise face à d’éventuels litiges ou préoccupations réglementaires.

En règle générale, de telles équipes d’intervention en matière de cybersécurité seraient composées (au moins) des compétences clés suivantes :

1. un chef de file en gestion de crise pour prendre (ou guider) des décisions d’affaires critiques et urgentes;
2. un gestionnaire des TI hautement qualifié doté d’une expertise technique en cybersécurité;
3. un conseiller juridique pour assurer la conformité, pour aider à évaluer les sources de responsabilité (y compris pour identifier les plaignants possibles ou les catégories de plaignants) et pour entreprendre toute action en justice requise (immédiate ou autre); et
4. (selon la nature de la cyberattaque) un expert en gestion de la réputation pour faire face aux risques d’atteinte à la réputation et pour s’occuper de toute relation publique (avec les intervenants); les relations avec les médias, et même les questions de relations gouvernementales qui peuvent survenir.

La cybersécurité est maintenant un aspect essentiel de la gouvernance d’entreprise, de la gestion des risques commerciaux et de la conformité légale (réglementaire) - et une équipe swat de cybersécurité pourrait servir d’excellent catalyseur pour la surveillance et la gestion de la gouvernance descendante de cette menace croissante de l’entreprise.

Notes

1. : Jennifer Brown, « Managing Cyber Risk », vol. 8, numéro 3, juin 2013, à la page 36.
2. Ibid., à la page 36.
3. Homeland Security News Wire, 25 mars 2014, « Rendre le réseau plus intelligent le rend plus vulnérable aux pirates informatiques »
4. M. Robert Weisenmiller, président de la CCE, à la page 1.
5. Shawn McCarthy, « Utilities Face Growing Cyberattack Risk », jeudi 8 mai 2014, ROB, page B5.
6. Mandiant Intelligence Center Report, APT1: Exposing One of China’s Cyber Espionage Units (http://intelreport.mandiant.com/).
7. Voir la liste des publications du Centre de la sécurité des télécommunications Canada sur la TI et la cybersécurité, comme les Lignes directrices sur la sécurité du CSTA, les 35 principales mesures d’atténuation des cybermenaces du CSTC, etc.; et le Centre canadien de réponse aux incidents cybernétiques (CCRIC), exploité par Sécurité publique Canada – et de nombreuses autres ressources accessibles.