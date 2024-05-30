En mars 2022, l’administration Biden a promulgué la loi CIRCIA (Cyber Incident Reporting for Critical Infrastructure Act). Cette législation historique charge la Cybersecurity and Infrastructure Security Agency (CISA) d’élaborer et de mettre en œuvre des réglementations obligeant les entités concernées à signaler les cyberincidents et les paiements de ransomware.
Les rapports d’incidents CIRCIA sont destinés à permettre à la CISA de :
Comme on le dit souvent, le diable est dans les détails. Début avril, la CISA a publié un avis de projet de réglementation (NPRM) de 447 pages en réponse aux responsabilités qui lui ont été confiées dans le cadre de la loi CIRCIA. Le document est désormais ouvert aux commentaires du public via le registre fédéral.
Compte tenu de la CIRCIA et de son NPRM récemment publié, à quoi pourrait ressembler à l’avenir le signalement des incidents liés aux attaques par ransomware ? Découvrons-le.
Selon la CISA, « un ransomware est un type de logiciel malveillant en constante évolution, conçu pour chiffrer les fichiers d’un appareil, rendant ainsi inutilisables tous les fichiers et les systèmes qui en dépendent. Les acteurs malveillants exigent ensuite une rançon en échange du déchiffrage. »
Les groupes de ransomware ciblent souvent et menacent de vendre ou de divulguer les données ou les informations d’authentification volées si la rançon n’est pas payée. Les attaques par ransomware sont de plus en plus fréquentes parmi les entités gouvernementales étatiques, locales, tribales et territoriales et les organisations d’infrastructures critiques.
Le NPRM de la CISA propose quatre types d’impacts qui feraient qu’un incident cyber soit classé comme substantiel et donc à signaler. Voici les quatre types d’impact :
La CISA propose en outre que les cyberincidents importants comprennent tout incident, quelle qu’en soit la cause, qu’il implique ou non un ransomware. Il peut s’agir d’une compromission d’un fournisseur de services cloud, d’un fournisseur de services gérés ou d’un autre fournisseur tiers d’hébergement de données ; d’une compromission de la chaîne d’approvisionnement ; d’une attaque par déni de service ; d’une attaque par ransomware ; ou de l’exploitation d’une vulnérabilité zero-day.
La CIRCIA exige des entités concernées qu’elles signalent à la CISA tout cyberincident couvert dans les 72 heures suivant le moment où l’entité a raisonnablement lieu de croire que le cyberincident couvert s’est produit.
Parallèlement, les paiements de rançon effectués en réponse à une attaque par ransomware doivent être signalés dans les 24 heures suivant le paiement de la rançon. De toute évidence, la CIRCIA considère les ransomwares comme une priorité en matière de signalement.
En ce qui concerne le signalement des ransomwares, le NPRM de la CISA décrit quatre étapes :
La CISA explique également que le temps ne dispense pas de l’obligation de signalement. Ainsi, supposons que votre entreprise découvre qu’elle a été victime d’un cyberincident il y a deux ans et que cet incident est toujours en cours. Vous seriez toujours tenu de soumettre un rapport de cyberincident couvert en vertu de la règle proposée, car l’incident n’est pas terminé et n’a pas été entièrement atténué et résolu.
Selon la CISA, les incidents à signaler excluent « tout événement où le cyberincident est perpétré de bonne foi par une entité en réponse à une demande spécifique du propriétaire ou de l’opérateur du système d’information ».
Que sont exactement les scénarios « de bonne foi » ? Il peut s’agir d’un fournisseur de services tiers agissant dans le cadre d’un contrat qui a involontairement mal configuré les appareils d’une entreprise, entraînant une interruption de service. Un autre exemple serait un test d’intrusion dûment autorisé qui entraîne par inadvertance un cyberincident ayant des répercussions réelles.
D’autres exclusions de bonne foi peuvent inclure les incidents liés à des tests de recherche en matière de sécurité. Les chercheurs peuvent avoir été autorisés à tenter de compromettre des systèmes, par exemple conformément à une politique de divulgation des vulnérabilités ou à des programmes de prime aux bogues. Cela dit, la CISA prévoit que ces exemptions seront rares. La recherche en matière de sécurité de bonne foi s’arrête généralement au moment où la vulnérabilité peut être démontrée et ne devrait normalement pas entraîner d’incident ayant un impact réel.
Dans certains cas, une entité concernée, en réponse à un véritable ransomware ou à un autre incident malveillant, peut décider de prendre des mesures contre elle-même, entraînant des impacts devant être signalés, tels que l’arrêt des systèmes ou des opérations. Par exemple, une victime d’une attaque par ransomware en tant que service pourrait agir ainsi pour éviter un impact plus large dû à une cyberattaque. Ce scénario est toujours considéré comme un cyberincident important devant être signalé.
Dans un tel cas, l’incident lui-même n’a pas été perpétré de bonne foi, et les impacts de seuil n’auraient pas eu lieu s’il n’y avait pas eu d’attaque. Par conséquent, la CISA ne considérerait pas que les mesures prises par l’entité concernée répondent à l’exception de « bonne foi ». Il est clair que l’entité concernée a intentionnellement déclenché un événement ayant un impact (par exemple, la mise hors ligne des systèmes) afin de minimiser les dommages potentiels d’un cyberincident. Cependant, ce type d’activité ne serait pas exempté des obligations de déclaration.
Le débat sur les obligations de signalement des ransomwares se poursuit. Et lorsque même les entités dotées d’une solide cyber-résilience se retrouvent menacées, les conclusions finales de la CIRCIA figureront sur le radar de tous.
