A businessman, visibly stressed, holds his head in a busy industrial environment, reflecting work tension and pressure.

Pression sur les CISO pour rester silencieux sur les incidents de sécurité

Lucas Morel

Une récente enquête a révélé que 69% des CISO ont été invités à se taire sur les violations de leurs employeurs, contre 42% il y a seulement deux ans.

Les CISO subissent des pressions accrues pour se taire sur les incidents de sécurité, car les préoccupations concernant la réputation des entreprises l’emportent souvent sur l’adhésion à la conformité réglementaire.

Selon une récente enquête de Bitdefender, plus des deux tiers (69%) des CISO ont été invités à garder les violations confidentielles. Ces chiffres sont considérablement en hausse par rapport aux 42% enregistrés dans une étude équivalente il y a deux ans.

« Les attaques traditionnelles des ransomwares qui cryptent les données et la divulgation publique forcée diminuent », a déclaré Zugec. «Au lieu de cela, les attaquants se concentrent de plus en plus sur le vol de données sans perturbation, rendant les violations moins visibles pour les clients ou le public.»

Même lorsque le cryptage est utilisé, il est souvent confiné à l’infrastructure arrière. Par exemple, une attaque récente du groupe Redcurl a spécifiquement ciblé les hyperviseurs tout en évitant les systèmes qui auraient un impact sur les utilisateurs finaux.

« Cette approche minimise les retombées publiques et permet des négociations privées, ajoutant à la pression que les CISO sont confrontées à la divulgation », a déclaré Zugec.

Pression réglementaire

Les CISO sont sous pression pour minimiser ou éviter de signaler les problèmes de conformité malgré le risque de responsabilité en matière de responsabilité personnelle auxquelles les chefs de la sécurité sont confrontés dans les cas où ils ne signalent pas les incidents de sécurité.

Marlatt a ajouté: « Le CIO s’est mis un an avant de prendre sa retraite et ne voulait pas » basculer le bateau « comme ils le prétendaient. »

« L’intégrité signifie plus pour moi que n’importe quelle somme d’argent, donc quand on m’a demandé de ne pas partager les détails d’un compromis et d’embellir des capacités de sécurité à mon ancien employeur, je suis parti », a-t-il déclaré.

«  Pression intense  » pour se taire sur les incidents de sécurité

«En travaillant à l’intérieur d’une entreprise mondiale de Fortune 500 en Europe, j’ai été témoin de cela à plusieurs reprises», a expliqué l’un des anciens CISOS. «La pression a été particulièrement intense avant les réunions des actionnaires ou les rapports financiers trimestriels.»

La même source a déclaré: «Chaque incident a dû être acheminé par le CIO en premier, qui l’a ramené à son équipe de direction ou au conseil d’administration – principalement le directeur financier (directeur financier) – indépendamment de l’urgence ou des délais réglementaires.»

«La justification a toujours été la même:« Ce n’est pas nécessairement un incident de cybersécurité ». Des décisions de divulgation finales ont été régulièrement prises sans l’implication de la CISO », a rapporté la source.

L’ancien CISO a offert des exemples anonymisés qu’ils avaient personnellement rencontrés:

  • Vol de données de développement automobile: Environ 500 Go d’ingénierie sensible et de données personnelles ont été volées par un initié et vendues plus tard sur le Web Dark. Cause profonde: mauvaise configuration de la gestion de l’identité et de l’accès (IAM). Non divulgué, car il s’agissait de «des données volées, pas d’un piratage».
  • Abus des droits des super administrateurs par un leader de la sécurité: Un employé principal de la sécurité a abusé de l’accès administratif aux subordonnés intimider et pour avoir accès aux comptes des membres du conseil d’administration et à d’autres profils de grande entreprise. Le centre d’opération de sécurité l’a détecté. Étiqueté une «erreur de configuration» et non une cyberattaque.
  • Piratage de subdivision financière à l’étranger: Les pirates ont relâché environ 50 millions d’euros en paiements de fournisseurs SAP via une violation tierce et une authentification multi-facteurs manquante. Non divulgué, car il ne «relevait pas des lois locales de l’UE».
  • Contaliens d’administrateur volés: CrowdStrike a signalé un compte Super Admin encore actif. Les journaux manquaient. Les équipes rouges / bleues ont recommandé la réinitialisation IAM. Ignoré, car «aucun préjudice direct n’a été détecté».
  • Scandale de la corruption Ciso: Un fournisseur Big Five a soudoyé le groupe mondial CISO et deux rapports directs avec des vacances et d’autres avantages coûteux pour obtenir des contrats mondiaux. Les preuves ont été ignorées. Le CISO a été tranquillement remplacé par une poignée de main dorée, et l’équipe a été invitée à ne pas en discuter.

Un deuxième ancien CISO nous a parlé d’un incident dans lequel son employeur a été informé d’une violation de données présumée impliquant des informations privées – des e-mails et des noms plutôt que des détails de carte de crédit.

Après avoir déterminé que la source du problème n’était pas leur organisation, mais le développeur de logiciels d’un site Web tiers, le CISO a été invité à ne pas signaler le problème même si les données des clients étaient impliquées parce qu’elle n’était «pas leur problème» et l’entreprise voulait préserver sa relation commerciale avec le site Web tiers.

Pris dans un piège

« Il n’y a pas de véritable protection contre les dénonciateurs, financière ou de réputation, pour un CISO ou toute autre personne de sécurité qui se présente », a déclaré la source.

S’exprimer mettra fin à une carrière.

« Dans mon cas, je suis sûr que j’ai été signalé », a expliqué la source. «Dans une revue de performance, on m’a dit que si je voulais monter au sommet, je devais me conformer davantage à« l’entreprise »et moins avec« mes normes et mon équipe ». Cette conversation a été l’une des principales raisons pour lesquelles j’ai finalement laissé. »

Cyxcel’s Marlatt a ajouté que les dirigeants d’entreprise essaient généralement de cacher qu’un incident s’est produit, même s’il est susceptible d’avoir un impact sur leurs clients ou partenaires commerciaux.

« En tant que consultant, j’ai entendu parler de nombreux cisos en train d’être invité à ne pas partager les détails d’un incident, ou à ne pas partager qu’un incident s’était produit », a déclaré Marlatt. «Avec l’augmentation des événements de ransomwares et la nécessité de faire appel à des parties externes pour la criminalistique numérique et la réponse aux incidents ou pour soumettre des réclamations d’assurance, il devient beaucoup plus difficile de cacher ces incidents percutants.»

Le silence n’est pas doré

Caroline Morgan, associée chez CM Law, a reconnu que «la pression interne de l’entreprise pour garder le silence est réelle», tout en avertissant que les régulateurs s’attendent non seulement à ce que la divulgation des incidents de sécurité.

« Légalement, en restant silencieux, une entreprise ne fait probablement qu’aggraver ses problèmes, ne pas leur échapper », a déclaré Morgan. « Le prix à payer peut être dévastateur car maintenant ce n’est pas seulement la violation, c’est aussi la dissimulation. »

« Les régulateurs peuvent utiliser le silence pour montrer un schéma de non-conformité pour imposer des sanctions importantes », a averti Morgan. «Les dommages à la marque, la perte de confiance des clients, et pire, les poursuites, peuvent également faire partie des retombées.»

Morgan a poursuivi: «Si un directeur de la sécurité de l’information ou des tentatives similaires tente la dissimulation de la dissimulation et est découvert, il s’agit souvent d’une carrière et d’une invitation à être personnellement poursuivi, condamnée à une amende par des régulateurs, ou pire, des accusations criminelles.»

C’est loin d’un risque théorique. L’ancien directeur de la sécurité de l’Uber, Joe Sullivan, a été reconnu coupable d’avoir couvert une violation de sécurité de 2016 et condamné à la probation.

Réponse aux incidents

Les rapports en temps opportun sont le fondement des lois sur la protection des données.

«Les entreprises peuvent réduire considérablement leur exposition en reconnaissant que la pression interne pour ne pas signaler est une menace et en mettant des solutions en place pour la minimiser avant une violation», a conseillé Morgan.

«Les entreprises peuvent minimiser la pression interne en veillant à ce qu’elles aient un plan de réponse aux incidents solide dont le cadre favorise la transparence, y compris la formation sur la gestion éthique des incidents et l’autorité décisionnelle qui est classée par des rôles commerciaux», a-t-elle déclaré.

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

A young man in a white hat and a white and blue striped shirt juggles balls on a white background
La cybersécurité n’est pas sous-financée, elle est sous-gérée
Qui livre le Darknet | Chouette noire
Qui livre le Darknet | Chouette noire
Comment justifier vos investissements en sécurité
Comment justifier vos investissements en sécurité