Vous êtes victime d'une attaque ?
Lorsqu'un cyberincident survient, la première question que se posent les organisations est souvent "qui est responsable ? Cependant, la question la plus importante est "qui est responsable".
Les équipes de sécurité peuvent diriger la réponse technique, et des fournisseurs externes peuvent être appelés pour aider à enquêter et à contenir la menace. Mais lorsque les autorités de réglementation appellent, que les clients exigent des réponses ou que le conseil d'administration examine ce qui a mal tourné, la responsabilité incombe fermement à la direction de l'entreprise.
La réglementation moderne, l'évolution des tactiques de lutte contre les menaces et la dépendance croissante des entreprises à l'égard des systèmes numériques ont rendu cette situation inévitable. Les cyberincidents ne sont plus de simples défaillances techniques. Ce sont des crises commerciales qui exigent une prise de décision sous pression de la part des dirigeants.
L'obligation de rendre compte ou la responsabilité en cas d'incident
La responsabilité et l'obligation de rendre compte sont souvent utilisées de manière interchangeable, mais lors d'un cyberincident, elles sont très différentes.
Les équipes opérationnelles sont chargées de détecter les menaces, d'analyser les activités, de contenir les attaquants et de restaurer les systèmes. Elles exécutent la réponse.
La direction, en revanche, est responsable des résultats. Cela comprend les décisions prises, les risques acceptés et la manière dont l'organisation remplit ses obligations légales et réglementaires.
En pratique, la responsabilité signifie que les dirigeants doivent être en mesure de répondre à des questions telles que :
- Quelles fonctions de l'entreprise ont été touchées et pourquoi ?
- Pourquoi certains systèmes ont-ils été isolés ou maintenus en fonctionnement ?
- Quand l'organisation a-t-elle été informée de l'incident ?
- Les régulateurs et les clients ont-ils été informés correctement et à temps ?
- Quelles mesures ont été prises pour éviter que l'incident ne se reproduise ?
Ce ne sont pas des questions qui peuvent être déléguées, même lorsque l'activité de réponse est externalisée.
La réglementation a rendu explicite la responsabilité des dirigeants
En Europe et au Royaume-Uni, la réglementation a levé toute ambiguïté sur la responsabilité des dirigeants.
La NIS2 confère aux organes de direction la responsabilité directe d'approuver les mesures de gestion des risques liés à la cybersécurité, de superviser leur mise en œuvre et de s'assurer qu'elles sont efficaces. Elle introduit également des conséquences personnelles potentielles lorsque les organisations ne respectent pas leurs obligations.
Le DORA renforce ce point pour les entités financières, en indiquant clairement que l'organe de direction conserve la responsabilité finale de la gestion des risques liés aux TIC. L'externalisation des services ne supprime pas cette responsabilité.
Au Royaume-Uni, le code de pratique sur la cyber-gouvernance et les orientations du NCSC s'adressent tous deux directement aux conseils d'administration et aux cadres supérieurs, en soulignant que le cyber-risque est une question de gouvernance, et pas seulement une question d'informatique.
Le message qui ressort de tout cela est cohérent. Vous pouvez externaliser les opérations. Vous ne pouvez pas externaliser la responsabilité.
Quelles sont les responsabilités des dirigeants lors d'un cyberincident ?
Lors d'un incident, la responsabilité des dirigeants se concentre généralement sur quatre domaines.
Prise de décision stratégique
Les dirigeants doivent prendre rapidement des décisions à fort impact avec des informations incomplètes. Il s'agit notamment de trouver un équilibre entre le confinement et l'interruption des opérations, de donner la priorité aux services essentiels et de décider du niveau de risque que l'organisation est prête à accepter à court terme.
Position réglementaire et juridique
Les dirigeants doivent s'assurer que les obligations de déclaration sont respectées, que les preuves sont préservées et que le secret professionnel est pris en compte. Le retard ou l'inexactitude des rapports est l'un des manquements les plus fréquemment relevés par les autorités de réglementation après un incident.
Communication et confiance
La communication avec les clients, les partenaires, les employés et les médias relève de la responsabilité des dirigeants. Les messages contradictoires ou le silence peuvent causer autant de dégâts que l'incident lui-même.
Mobilisation des ressources
L'autorisation d'une assistance externe, le recours à la reprise après sinistre, l'approbation des dépenses d'urgence et la réaffectation des équipes internes sont autant d'éléments qui doivent être pris en charge par la direction.
Les équipes de sécurité apportent leur contribution, mais c'est la direction qui prend les décisions.
Comment la MDR soutient la responsabilité de la direction
C'est là que la gestion de la détection et de la réponse joue un rôle essentiel, non seulement en tant que service de sécurité, mais aussi en tant que catalyseur d'une gouvernance efficace.
Réduire le temps de latence des décisions
La MDR transforme les alertes brutes en incidents validés et contextualisés. Au lieu d'être inondés de bruits techniques, les dirigeants reçoivent des explications claires sur ce qui se passe, sur les éléments affectés et sur le degré de confiance de l'évaluation. Cela permet de prendre des décisions plus rapides et mieux informées.
Fournir des preuves défendables
Les régulateurs attendent des organisations qu'elles démontrent ce qu'elles savaient, quand elles le savaient et quelles mesures ont été prises. Les services MDR maintiennent des calendriers détaillés, des journaux et des enregistrements de réponse qui soutiennent les rapports réglementaires et les examens post-incidents.
Appliquer la discipline d'escalade
Un programme MDR mature définit à l'avance les seuils de gravité et les voies d'escalade. La direction est informée lorsqu'elle en a besoin, pas trop tard et pas indéfiniment en cas d'alerte de bas niveau. Cela permet de prendre des décisions calmes et contrôlées sous pression.
Soutenir la communication avec les dirigeants
Les équipes MDR expérimentées dans la réponse aux incidents peuvent aider à traduire les conclusions techniques en briefings rédigés en langage clair pour les dirigeants, les conseils d'administration et les équipes de crise. Cela permet de réduire les erreurs de communication et de s'assurer que tout le monde travaille à partir de la même compréhension du risque.
Améliorer la préparation avant qu'un incident ne se produise
Le plus important est peut-être que les rapports de gestion soutiennent la responsabilité des dirigeants bien avant qu'un incident ne se produise. Les exercices sur table, les mesures de reporting alignées sur les risques de l'entreprise et le réglage continu des détections aident les dirigeants à comprendre à l'avance leur exposition et leurs responsabilités en matière de prise de décision.
La responsabilisation ne s'improvise pas
Lorsqu'un incident se produit, il est trop tard pour décider qui prend telle ou telle décision, qui s'adresse aux autorités de réglementation ou comment fonctionne l'escalade. La responsabilité des dirigeants est jugée sur la préparation autant que sur la réponse.
Le MDR ne remplace pas la responsabilité de l'exécutif. Il donne aux dirigeants la visibilité, les preuves et le soutien dont ils ont besoin pour exercer cette responsabilité de manière efficace, sous une forte pression temporelle et avec des conséquences concrètes.
Pour les organisations confrontées à une surveillance réglementaire croissante et à des attaques plus sophistiquées, la MDR n'est plus seulement un contrôle technique. Il s'agit d'un élément essentiel de la cyber-gouvernance moderne.
Si vous voulez comprendre comment le MDR peut soutenir votre équipe de direction avant, pendant et après un cyberincident, parlez à Integrity360 de la mise en place d'une capacité de MDR alignée sur la gouvernance, la réglementation et le risque d'entreprise.
