Si un choc avait traversé les hautes sphères de la guilde de la sécurité le 6 octobre, cela aurait été approprié. La condamnation de Joe Sullivan, autrefois co-créateur de la cyber-application de la loi au ministère américain de la Justice et plus tard puissant responsable de la sécurité chez Facebook et Cloudflare, est tout à fait susceptible de porter atteinte à la sécurité juridique personnelle au poste de C(I)SO (Directeur de la sécurité (de l’information)) pour définir le test.
Il a un faible pour les risques et la cyber-écriture : dans son travail principal de chercheur en sécurité chez HiSolutions AG, David Fuhr fait rage et se défoule dans cette chronique sur les incidents actuels et les vérités universelles de la sécurité de l’information.
L’allégation vient de son temps en tant que chef de la sécurité chez le fournisseur de conduite en tant que service Uber. En 2016, il avait persuadé des pirates informatiques de balayer une attaque sous la table moyennant des frais de 100 000 dollars américains en définissant ensuite la violation dans le cadre du programme de primes de bogues. Étant donné que l’autorité de protection des consommateurs Federal Trade Commission (FTC) avait déjà eu Uber sur le Kieker en raison de précédentes violations de la protection des données, cette dissimulation a été qualifiée d’entrave à la justice et de complicité dans le sens de dissimuler une infraction pénale.
exemplaire
D’un autre côté, il est maintenant (malheureusement) assez courant de payer des rançons pour empêcher la publication, et les primes de bogue sont également connues pour être abusées encore et encore pour mal interpréter les incidents. Alors pourquoi cet exemple que la justice américaine veut faire de l’un des siens ? Et encore plus fondamentalement, la question : quelle est la responsabilité inaliénable d’un RSSI ou d’un IT-SiBe (responsable de la sécurité informatique) ?
Une chose est claire : la sécurité à 100 % n’existe pas. Par conséquent, cela n’a aucun sens de mesurer les responsables en fonction du fait que des incidents se produisent ou non. Au contraire, deux catégories sont traditionnellement utilisées pour évaluer l’adéquation de l’exécution des tâches : l’état de l’art et la diligence raisonnable.
Nous aimons la technologie
L’état de l’art décrit CE qu’il faut mettre en œuvre le plus vaguement et le plus concrètement possible. Certes, personne ne peut facilement m’en vouloir d’avoir préféré un fournisseur d’authentification unique à un autre ou ce produit de sauvegarde à celui-là. Cependant, si je pense pouvoir me passer d’antivirus ou de connexion en 2022, je devrais au moins avoir de très bons arguments en cas de problème.
Ce bingo qui sauve mon cul va parfois si loin que les grandes organisations utilisent d’innombrables technologies de sécurité juste pour ne pas montrer de faiblesse dans le joyeux « Si seulement tu avais fait XY ». Aucun CISO n’a encore été licencié pour avoir commandé IBM / FireEye / Big 3 / Big 4 / Big 4711, autrefois un bon mot dans notre industrie. Aujourd’hui, c’est plus vrai : vous et votre travail n’êtes du bon côté qu’une fois que vous avez acheté le Gartner Hype Cycle up and down.
Vous et votre diligence
Mais chaque QUOI, aussi louable soit-il, peut être mal mis en œuvre. La diligence raisonnable décrit COMMENT les décideurs doivent procéder. Et en clair, cela signifie : faites un effort ! L’équipe de sécurité doit exercer une diligence raisonnable raisonnable, comme on peut s’y attendre des êtres sensibles en général. Cela ressemble à de la médiocrité et n’est en fait initialement qu’une protection contre le fond. Mais surtout, il est important de pouvoir prouver ma diligence en cas d’urgence. Celui qui écrit reste.
De nombreuses décisions doivent être prises au sein de ces garde-corps – dans des zones grises dynamiques, avec des informations incomplètes et souvent sous pression. Alors, qu’est-ce qui peut servir d’étoile polaire pour guider éthiquement nos actions ? Il vaut effectivement la peine d’écouter le FDP et surtout le ministre des Finances Lindner, même s’ils parlent de sujets complètement différents : si l’objectif principal des responsables de la sécurité était la réduction de la dette, tout irait dans la bonne direction. Personne ne peut prédire quelle vulnérabilité nous brisera le cou l’année prochaine. Mais si nous continuons à accumuler des héritages techniques au fil des ans, les chances que cela se produise bientôt augmentent. Et si les responsables de la protection des données se trompent déjà (généralement à juste titre), en tant que CISO, je dois tout faire pour restaurer la confiance perdue.
Attention aux indulgences !
Il ne s’agit donc de rien de moins que de la conformité personnelle, qui est plus qu’une liste de contrôle du porno et du théâtre de sécurité. S’il faut quelques condamnations spectaculaires de l’autre côté de l’étang pour que le mot passe (y compris nous), c’est triste, mais probablement nécessaire. Ce qui est plus important, cependant, c’est un changement culturel vers l’ouverture et la durabilité, qui peut déjà être largement observé aujourd’hui, mais qui doit encore atteindre lentement les échelons supérieurs.
(lutin)