Intelligence de données générative

Cyber sécurité

SolarWinds 2024 : où vont les cyber-divulgations à partir d’ici ?

Réédité par Platon
Réédité par Platon

Date :

Vues: 0

COMMENTAIRE

Dans une  article précédent, j'ai expliqué ce que les actes d'accusation de SolarWinds et la règle des quatre jours de la Securities and Exchange Commission (SEC) signifient pour DevSecOps. Aujourd’hui, posons une question différente : où vont les cyber-divulgations ?

Avant de rejoindre le secteur de la cybersécurité, j'étais avocat en valeurs mobilières. J'ai passé beaucoup de temps à parcourir les règles de la SEC et j'ai travaillé régulièrement avec la SEC. Cet article ne constitue pas un conseil juridique. Il s’agit de conseils pratiques donnés par quelqu’un ayant une connaissance réelle, quoique lointaine, de la SEC.

L’acte d’accusation de la SEC en bref

Le 30 octobre 2023, le La SEC a déposé une plainte contre SolarWinds et son responsable de la sécurité de l'information, accusant « des défaillances de fraude et de contrôle interne » et « des inexactitudes, des omissions et des stratagèmes qui dissimulaient à la fois les mauvaises pratiques de cybersécurité de la société et ses risques de cybersécurité accrus – et croissants », y compris l'impact d'un véritable attaque contre ses systèmes et ses clients. 

Mettre de côté la question du « devrait » 

Je veux mettre de côté la question de savoir si la SEC aurait dû prendre des mesures. Il y a déjà beaucoup de voix sur ce sujet. Certains soutiennent que les déclarations publiques de SolarWinds en matière de cybersécurité étaient des aspirations et non des faits. D'autres estiment que le RSSI ne devrait pas être ciblé parce que son service n'a pas pu assurer les défenses requises. Il comptait sur les autres pour le faire. Enfin, les mémoires d'amicus déposés en faveur de SolarWinds et de son RSSI ont fait valoir que l'affaire aurait une effet dissuasif sur l’embauche et la rétention des postes de RSSI, la communication interne, les efforts visant à améliorer la cybersécurité, etc. 

Le problème de la cyberdivulgation 

La SEC a commencé sa plainte en soulignant que la société avait déposé sa déclaration d'enregistrement d'introduction en bourse en octobre 2018. Ce document contenait une divulgation passe-partout et hypothétique des facteurs de risque de cybersécurité. Le même mois, la plainte de la SEC se lit comme suit : « Brown a écrit dans une présentation interne que SolarWinds »l'état actuel de la sécurité nous laisse dans un état très vulnérable pour nos actifs critiques. '»

Cet écart est important et la SEC a déclaré qu'il ne faisait qu'empirer. Même si les employés et les dirigeants de SolarWinds étaient conscients des risques, des vulnérabilités et des attaques croissants contre les produits de SolarWinds au fil du temps, « les divulgations des risques de cybersécurité de SolarWinds ne les ont en aucun cas divulgués ». Pour illustrer son propos, la SEC a répertorié tous les dépôts publics auprès de la SEC après l’introduction en bourse qui comprenaient la même divulgation standard, inchangée et hypothétique, des risques de cybersécurité. 

Pour paraphraser la plainte de la SEC : « Même si certains des risques et incidents individuels évoqués dans cette plainte n'ont pas atteint le niveau d'exigence de divulgation à eux seuls… collectivement, ils ont créé un risque tellement accru… » que les divulgations de SolarWinds sont devenues « matériellement trompeuses ». .» Pire encore, selon la SEC, SolarWinds a répété les divulgations génériques standard alors même qu'un nombre croissant de signaux d'alarme s'accumulaient. 

L'une des premières choses que vous apprenez en tant qu'avocat en valeurs mobilières est que les informations, les facteurs de risque et les modifications des facteurs de risque dans les documents déposés par une entreprise auprès de la SEC sont extrêmement importants. Ils sont utilisés par les investisseurs et les analystes en valeurs mobilières pour évaluer et recommander l'achat et la vente d'actions. J'ai été surpris de lire dans l'un des mémoires d'amicus que « les RSSI ne sont généralement pas responsables de la rédaction ou de l'approbation » des divulgations publiques. Peut-être qu’ils devraient l’être. 

Proposer une sphère de sécurité pour l’assainissement 

Je souhaite proposer quelque chose de différent : une sphère de sécurité pour la remédiation des risques et des incidents de cybersécurité. La SEC n'était pas aveugle à la question de la réparation. À cet égard, il a déclaré :

« SolarWinds n’a pas non plus réussi à résoudre les problèmes décrits ci-dessus avant son introduction en bourse en octobre 2018, et pour beaucoup d’entre eux, pendant des mois ou des années après. Ainsi, les acteurs malveillants ont ensuite pu exploiter la vulnérabilité VPN non corrigée pour accéder aux systèmes internes de SolarWinds en janvier 2019, éviter d'être détectés pendant près de deux ans et finalement insérer un code malveillant entraînant la cyberattaque SUNBURST.

Dans ma proposition, si une entreprise remédie aux lacunes ou à l'attaque dans le délai de quatre jours, elle devrait être en mesure (a) d'éviter une réclamation pour fraude (c'est-à-dire, rien à dire) ou (b) d'utiliser les normes 10Q et 10K. processus, y compris la section Commentaires et analyses de la direction, pour divulguer l'incident. Cela n’a peut-être pas aidé SolarWinds. Lorsqu'il a révélé la situation, son 8K a déclaré que le logiciel de l'entreprise « contenait du code malveillant qui avait été inséré par des acteurs malveillants » sans aucune référence à des mesures correctives. Pourtant, pour d’innombrables autres entreprises publiques confrontées à la bataille sans fin entre l’attaquant et le défenseur, une sphère de sécurité de remédiation leur donnerait un délai complet de quatre jours pour évaluer et répondre à l’incident. Ensuite, si la situation est corrigée, prenez le temps de divulguer correctement l'incident. L'autre avantage de cette approche « remédier d'abord » est qu'elle mettra davantage l'accent sur la cyber-réponse et aura moins d'impact sur les actions publiques d'une entreprise. Les 8K pourraient toujours être utilisés pour des incidents de cybersécurité non résolus. 

Conclusion

Quelle que soit votre position sur la question de savoir si la SEC aurait dû agir ou non, la question de savoir comment, quand et où nous divulguons les incidents de cybersécurité sera une question importante pour tous les cyberprofessionnels. Pour ma part, je pense que le RSSI devrait contrôler ou, à tout le moins, approuver les divulgations de l'entreprise lorsque des incidents de cybersécurité surviennent. Plus encore, le RSSI doit rechercher des plateformes offrant une interface unique pour « le voir et le résoudre » rapidement, avec le moins de dépendances possible. Si nous pouvons encourager la SEC à adopter un état d’esprit axé sur les mesures correctives, nous pourrions bien ouvrir la porte à une meilleure divulgation de la cybersécurité pour tous. 

spot_img

Dernières informations

spot_img

Copyright @ 2024 Platon Technologies Inc.

Discutez avec nous

Salut! Comment puis-je t'aider?