Le procès de la SEC contre le CISO de Solarwinds met en évidence les responsabilités juridiques que les CISO peuvent être confrontées lors de la communication. Voici quatre façons dont les CISO peuvent éviter les pièges.
En 2019, les acteurs de la menace russe ont commencé à cibler le fournisseur de logiciels d’entreprise basée au Texas Solarwinds. Ce qui a commencé comme une course à sec pour injecter des logiciels malveillants dans les réseaux de Solarwinds a évolué vers le piratage de chaîne d’approvisionnement de logiciels le plus audacieux, diffusant finalement des déchets malveillants aux clients commerciaux de premier ordre de Solarwinds et marquant une misérable étape dans l’histoire de la cybersécurité.
Les dommages généralisés causés par l’incident ont attiré l’attention des autorités fédérales américaines, notamment la Securities and Exchange Commission (SEC) des États-Unis, qui a lancé une enquête sur la société cotée en bourse.
En octobre 2023, la SEC a déposé des accusations contre Solarwinds et, dans une action sans précédent, son CISO, Timothy G. Brown, pour les investisseurs trompeurs en ne révélant pas de «risques connus» et en ne représentant pas avec précision les mesures de cybersécurité de la société, entre autres délits liés aux communications.
Les accusations contre Solarwinds et Brown étaient complexes, et le juge supervisant l’affaire a rejeté la plupart d’entre eux l’année dernière. À la veille de la conférence RSA cette année, Solarwinds et Brown ont demandé au tribunal un jugement sommaire afin de rejeter les autres accusations.
Le procès de la SEC, fondé sur les déclarations faites par Solarwinds et Brown, sert de leçon d’objet aux CISO que ce qu’ils disent ou écrivent au cours de leur travail pourraient être du fourrage pour les litiges.
« La plainte de la Commission des Securities et de l’échange aux États-Unis contre Solarwinds et l’un de ses cyber-professionnels, Timothy G. Brown, est un exemple de haut niveau des choses que nous voulons éviter », a déclaré Mike Serra, conseiller principal de Cisco, lors du lancement d’un panel, « Garding Your Words: les risques juridiques pour les cyber-professionnels », lors de la conférence RSA de cette année à San Francisco.
Alors que les communications formelles peuvent exposer les CISO à la responsabilité légale, les communications informelles et non officielles représentent un danger encore plus grand.
Choisissez soigneusement vos mots
Les accusations contre Brown ont secoué la communauté du CISO et ont servi de rappel extrême que les mots comptent. L’épreuve légale que Brown a traversé «est évidemment horrible et heureusement rare», a déclaré Matt Jones, associé à Wilmerhale, lors du panel RSA. Mais cela illustre comment «l’exposition juridique s’élève de la façon dont vous parlez de choses».
Jones a souligné comment les étrangers, y compris les régulateurs, jugeront l’efficacité du programme de cybersécurité d’une organisation en fonction de ce que les CISO disent et comment ils le disent. « Il est essentiel de se concentrer sur la façon dont vous parlez de ces choses, car il existe de nombreuses lois et de nombreuses personnes qui peuvent appliquer ces lois sur la base du delta entre ce que vous dites de votre programme et où il se trouve. »
« Les mots comptent incroyablement dans toute procédure judiciaire », a convenu Brown. «La première chose qui se produira sera la découverte. Et en découverte, ils collecteront tous les e-mails, toutes les équipes, tous les pantalons, tous les mécanismes de communication, puis exécuteront des requêtes contre ces informations.»
Selon Scott Jones, conseiller juridique et réglementaire, s’exprimer avec le professionnalisme n’est pas seulement une bonne pratique pour construire un programme de cybersécurité efficace, mais il peut contribuer à éloigner les répercussions juridiques et réglementaires. « La gravité et l’impact de vos paroles et tous les autres aspects de la façon dont vous vous conduisez en tant que professionnel de la sécurité peuvent avoir des impacts non seulement sur la cybersécurité substantielle, mais aussi ce que les dommages pourraient arriver à votre entreprise, soit par une action ou un litige chargé », a-t-il déclaré.
Jones met également en garde contre l’utilisation de superlatifs inutiles qui peuvent verrouiller les CISO dans des positions qu’ils pourraient ne pas être en mesure de défendre pendant le litige. «Ce n’est jamais« c’est le pire »ou« ce qui vient de se passer était criminel ». Ce n’est pas ainsi que vous devez décrire quoi que ce soit dans ce domaine », a-t-il déclaré.
L’inverse est également vrai: vanter à quel point vous êtes bon peut également causer des problèmes.
Brown a dit que quelque chose d’aussi simple que de dire: «J’ai un très bon programme», peut être problématique. Il est préférable de dire: « » Mon programme gère mille vulnérabilités chaque semaine « , ou quoi que ce soit », a déclaré Brown. «Utilisez des nombres, des faits pris en charge et des adjectifs appropriés pour la description.»
Un écueil pour tout professionnel est l’humour, qui, dépouillé de son contexte et de son environnement, peut prendre de nouvelles significations et être utilisé contre les CISO dans les litiges. Même à l’aide de mèmes de bac à ordures, par exemple, ou de taper lol dans un message peut être utilisé comme admissions de culpabilité ou pour représenter les attitudes cavalier envers la sécurité, exposant les cyber-équipes à encore plus de responsabilité.
« Quand nous disons LOL, 90% du temps, vous ne riiez pas réellement à haute voix, mais nous utilisons ces façons très informelles de communiquer entre elles », a déclaré Jones de Wilmerhale. « Et ce genre de choses apparaît avec régularité dans les cas où vous avez un cyber-incident important. LOL ou Fire de benne à ordures n’est pas le meilleur moyen d’en parler en interne parce que c’est ce qui va apparaître » dans les litiges.
Faites attention au médium
Les CISO doivent également faire attention à ce qu’ils disent en fonction du support dans lequel ils communiquent. Faites attention à «Comment nous communiquons, avec qui nous communiquons, sur les plateformes que nous communiquons et que ce soit par voie orale ou écrite», a déclaré Angela Mauceri, directrice générale et avocate générale adjointe de Cyber and Privacy à Northrop Grumman, à RSA. «Il y a un effet durable aux communications écrites.»
Elle a ajouté: «À ce point, vous devez comprendre la gouvernance des données et, plus important encore, la politique de rétention des données de ces plateformes de communication électronique, qu’il existe pendant 60 jours, 90 jours ou six mois.»
Une façon de contourner les mines terrestres des communications est de communiquer autant que possible en personne. « L’autre chose que je recommanderais est d’établir une culture de communications en personne ou simplement en face à face au lieu d’écrire dans des chats, des immeubles IM ou des équipes », a déclaré Mauceri. «C’est important car cela peut vous permettre de souligner le ton lors de la communication en face à face avec l’équipe.»
Définissez votre rôle et établissez des politiques
« Ce ton doit être réglé dès le début: voici ce que je fais; voici ce que je ne fais pas », a-t-il déclaré. « Par exemple, les divulgations légales. Je peux faire partie d’une équipe qui discute des divulgations, mais je ne suis pas moi qui prenne une décision finale. »
Brown a réitéré: « Il est important de décrire que vous faites partie d’une équipe d’approbation. Vous n’êtes pas l’approbateur. Vous faites partie d’une équipe qui fait des choses. Vous faites partie d’une équipe qui fournit des commentaires à quelque chose. En fin de compte, ce qui est publié sur le site Web passe par la revue marketing, passe par une revue juridique, sur le site CISO. »
De même, les CISO devraient envisager d’écrire des politiques, des procédures et des processus sur la façon dont leurs cyber-équipes devraient gérer et communiquer les risques. « Établir par écrit quelle est votre attente pour les équipes de identifier et de faire les rapports internes et d’escalader la chaîne en termes de politique d’escalade des risques », a déclaré Mauceri de Northrop Grumman. «C’est une fois que vous avez identifié le risque, l’évaluez et l’identifiez comme une faiblesse ou une vulnérabilité. Le langage que vous utilisez devrait être très, très spécifique.»
Elle a ajouté: « Supposons toujours que ces informations sont découvrables dans les litiges et les audits. Il est bon d’avoir quelque chose que vous documentez lorsque vous identifiez les risques et que vous résolvez ces changements de système critiques, ces décisions critiques et les vulnérabilités très attentivement. Soyez factuel et neutre. »
Comprendre la loi et demander conseil
Comprendre certains des points les plus fins des lois et des réglementations aidera également à empêcher les communications du CISO de virer dans des directions dommageables.
« Ne soyez pas bâclé et appelez un cyber événementiel un incident s’il n’a pas été déclaré incident réel », a déclaré Mauceri. «Le« cyber-incident »est un terme juridique en fonction du type d’entreprise que vous êtes. Il existe une définition légale du cyber-incident dans les règles de la SEC, ainsi que si vous êtes un entrepreneur de défense ou traitant des contrats gouvernementaux en vertu du règlement sur l’acquisition fédérale ou de la défense.»
À cette fin, les CISO devraient établir de bonnes relations de travail avec leur conseiller juridique interne ou externe. « Écoutez vos conseils », a déclaré Brown. «Si vous avez affaire à une entité comme la SEC, vous avez déjà des conseils, soit le conseil de l’entreprise ou vos propres conseils. Écoutez-les. Ils sont toujours ou généralement très expérimentés. Ils ont souvent été dans ces postes auparavant. Ils aideront et élaboreront des messages pour pouvoir communiquer de manière appropriée.»
Les CISO qui manquent de conseils devraient contacter des conseils expérimentés ou des organisations bénévoles qui pourraient aider. « Mon équipe juridique a probablement reçu un appel avec environ 10 cisos depuis que (mon litige) a commencé. Beaucoup le feront essentiellement juste pro bono comme une conversation initiale », a déclaré Brown.
Brown a souligné que tout CISO devrait avoir quelqu’un à appeler pour des conseils s’il commence à se sentir mal à l’aise. «Ils devraient avoir quelques personnes qu’ils pourraient appeler soit par le biais de certaines des organisations sur lesquelles ils sont sur ou par des relations personnelles.»
Bien que les CISO puissent désormais se sentir confus quant aux risques de s’exposer aux responsabilités légales, les règles pourraient devenir plus claires au fil du temps.
« Nous sommes jeunes en tant qu’industrie », a déclaré Brown. «Le premier CISO était quelque part il y a environ 30 ans. Nous traversons une courbe de maturité. Les gens doivent réaliser que mon cas et d’autres choses qui l’entourent sont un blip de maturité. Nous allons le traverser. Nous allons devenir plus forts à cause de cela et continuer à avancer. Mais nous avons un peu de patience.»
