L'attaque SolarWinds met en évidence la nécessité d'une décision en matière de cybersécurité au niveau du conseil d'administration

Le piratage de SolarWinds révélé en décembre 2020 souligne la facilité avec laquelle les chaînes d'approvisionnement de logiciels et de systèmes peuvent être des cibles faciles s'il n'y a pas une bonne politique de cybersécurité intégrée dans une organisation.

Dans le communiqué officiel, la Cybersecurity &Infrastructure Security Agency (CISA) a déclaré que les compromissions d'agences gouvernementales américaines, d'entités d'infrastructures critiques et d'organisations du secteur privé par un acteur de menace persistante avancée (APT) ont commencé au moins en mars 2020. Et que l'APT L'acteur a fait preuve de patience, de sécurité opérationnelle et d'un savoir-faire complexe dans ces intrusions. « CISA s'attend à ce que la suppression de cet acteur menaçant des environnements compromis soit très complexe et difficile pour les organisations. » Les vecteurs d'infection détaillés et les mesures d'atténuation des compromis sont répertoriés dans la déclaration ici.

La lecture de ses détails confirme une grande partie de ce que l'on nous dit dans les briefings sur Embedded.com et EE Times sur les sujets de la sécurité et de la cybersécurité de l'Internet des objets (IoT) par des experts en sécurité de l'industrie des semi-conducteurs et des entreprises offrant des éléments, des appareils, un provisionnement et une sécurité sécurisés. gestion du cycle de vie.

Cela me surprend vraiment que de telles violations puissent se produire lorsque les ministères du monde entier sont si paranoïaques à propos de la sécurité, mais se rendent pourtant complètement vulnérables via des systèmes tiers, des logiciels et des fournisseurs d'appareils qui semblent ignorer les mécanismes et politiques de sécurité appropriés. Je me souviens, même en travaillant comme sous-traitant pour le gouvernement britannique il y a quelques années, de la quantité de formation en sécurité, de conscience dont nous devions toujours être conscients. Un seul petit exemple est à quel point je suis devenu paranoïaque de ne jamais laisser mon ordinateur portable dans une voiture verrouillée ou dans tout autre endroit lorsque je voyage pour affaires. Il devait toujours être sur ma personne ou près de moi où je pouvais le voir. Il y avait bien sûr beaucoup d'autres choses que nous devions observer avec diligence.

Mais la violation de SolarWinds est plus une question de politique fondamentale sur la question de savoir si la sécurité doit être uniquement du ressort des concepteurs de systèmes matériels et logiciels ou être prise plus au sérieux à un niveau supérieur de l'organisation.

Par conséquent, il est temps que le conseiller en financement d'entreprise Woodside Capital Partners produise un rapport décrivant "sept leçons pour les PDG, les administrateurs, les membres du conseil d'administration et les sociétés de capital-investissement". Rédigé par son directeur général Nishant Jadhav, le rapport indique que l'attaque de la chaîne d'approvisionnement de SolarWinds a souligné la nécessité d'une compréhension plus approfondie de la cybersécurité au niveau de la direction et du conseil d'administration. Dans un monde de menaces persistantes avancées qui se cachent potentiellement dans la plupart des environnements commerciaux invisibles pour les outils de surveillance, il est de plus en plus important de protéger la réputation et la valeur de l'entreprise face à l'inconnu.

La question clé que les dirigeants, les conseillers et les investisseurs doivent se demander, dit-il, est de savoir si l'entreprise peut répondre au niveau du conseil d'administration si elle dispose d'une cyberassurance. Voici ses sept leçons.

Leçon 1 :adopter un état d'esprit axé sur la sécurité plutôt que sur la conformité – de haut en bas

Un état d'esprit axé sur la sécurité implique que l'équipe de direction et le conseil d'administration comprennent les risques présentés à cette entreprise spécifique. Cela implique également que l'entreprise comprenne les risques qu'elle crée pour ses clients et partenaires. D'un autre côté, un état d'esprit axé sur la conformité est une course pour faire le strict minimum pour recevoir une note de passage. Un état d'esprit axé sur la conformité est régressif dans la mesure où il mesure votre base de référence le jour de l'attaque et vous offre une assurance pour une durée fixe dans le futur. Malheureusement, il s'agit d'une stratégie défaillante pour la protection de la cybersécurité, car les menaces évoluent constamment et deviennent de plus en plus sophistiquées avec des adversaires étatiques en jeu. L'équipe de direction et le conseil d'administration doivent approuver tous les trimestres la position de menace d'une entreprise.

Leçon 2 : les responsables de la sécurité de l'information (CISO) doivent faire partie de l'équipe de direction, et pas seulement rendre compte au responsable des technologies de l'information

Les bons RSSI sont formés pour réfléchir aux vecteurs de menaces en cours et aux surfaces d'attaque en évolution pour votre entreprise dans son ensemble. Cela inclut les fuites de données par inadvertance des rangs de vos clients, les risques pour les clients d'utiliser vos produits et les risques pour votre entreprise de déployer des technologies pour son propre usage. En conséquence, le RSSI doit toucher toutes les facettes de l'entreprise et avoir la marge d'influence en tant que chef de file pour nécessiter des changements à un niveau atomique. Le RSSI doit être tenu responsable de s'assurer que ses recommandations ont filtré dans les rangs et que la protection continue et l'exposition aux risques sont mesurables à tout moment. Cela semble onéreux et peut être politique, mais les responsabilités résultant d'une attaque qui prend l'entreprise au dépourvu et ne peuvent la contenir pourraient être dévastatrices - temporairement sur les marchés des capitaux et de manière permanente du point de vue de la réputation.

Leçon 3 :Les KPI pour les RSSI doivent inclure une protection et une correction continues

Il semble être une pratique courante de licencier un RSSI dès qu'une nouvelle brèche est découverte sur un réseau, mais cette ligne de pensée est inefficace et archaïque. Au lieu de cela, c'est la conversation autour des responsabilités du RSSI à la suite d'une menace qui doit changer. Donner au RSSI un budget sécurité en ligne avec les failles de sécurité de l'entreprise. Mesurez également leur succès non seulement en fonction de la disponibilité de l'entreprise au cours d'un trimestre donné, mais également en fonction de la notoriété générée au sein de chaque faction de l'entreprise au fil du temps. Ajoutez à ce mélange des KPI sur la façon dont l'entreprise réagira à une menace qui provient de l'extérieur du domaine de votre propre organisation, comme le cas SolarWinds. Modélisez ce comportement et son impact sur vos clients, et votre réputation et par la suite votre évaluation/cours de l'action.

Leçon quatre :un fournisseur/partenaire de solutions de confiance n'implique pas un partenaire sécurisé

L'attaque de la chaîne d'approvisionnement de SolarWinds a prouvé que les menaces peuvent échapper au contrôle de vos propres meilleures pratiques de sécurité. En substance, aucun partenaire n'est un partenaire sûr, quelle que soit la taille de l'entreprise et la réputation de ses pratiques de sécurité. La création d'un réseau « espace libre » sur lequel les nouveaux produits sont incubés peut atténuer l'infiltration des menaces grâce à des solutions partenaires de confiance.

Leçon cinq :compromettre la sécurité n'est pas le bon levier pour augmenter la rentabilité

Woodside Capital (WCP) prévoit qu'une mesure d'évaluation clé pour une entreprise est la valeur d'évaluation de sa posture de sécurité - une « cyber note ». La note cyber étant mesurée sur les investissements technologiques et de formation pour les politiques de protection continue des propres actifs de l'entreprise ainsi que les risques pour les clients et les partenaires de l'entreprise. Un facteur clé de cette note cyber sera également les efforts de remédiation que l'entreprise a déjà mis en place face aux menaces antérieures et le temps nécessaire pour répondre (pondéré par la gravité de la menace). Plus la note cyber est élevée, plus la valorisation de cette entreprise est élevée. Les sociétés de capital-investissement (PE) spécialisées dans les sociétés de cybersécurité devraient accorder une plus grande attention aux notes cybernétiques de leurs sociétés en portefeuille et ne pas les abandonner pour des raisons de rentabilité à court terme. La recommandation de WCP aux quelque 5 000 sociétés de cybersécurité privées est de créer une version de leur cyber-niveau qui résume leur engagement continu envers la cybersécurité et l'engagement au niveau de leur équipe de direction pour atteindre ces résultats. En l'absence d'une norme à l'échelle de l'industrie, il est plus facile de définir un ensemble de lignes directrices de base que l'équipe de direction et le conseil d'administration peuvent présenter, ce qui les différencie en tant qu'entreprise axée sur la sécurité.

Leçon six :la cyber-assurance doit être examinée de plus près au niveau du conseil d'administration

La plupart des polices d'assurance cyber couvrent les pertes financières résultant d'une violation de données ou d'un accès ou d'une divulgation non autorisés d'informations personnelles ou protégées. Certaines compagnies d'assurance offrent des avenants supplémentaires ou des dispositions de police spécifiques et une couverture pour les pertes causées par divers autres moyens tels que l'ingénierie sociale (c. ransomware, et plus encore. Mais une attaque de la chaîne d'approvisionnement comme celle-ci change les règles du jeu. Cela ne peut pas être considéré comme un acte de Dieu, car il existe de véritables auteurs causant des dommages à une entreprise en dehors du contrôle d'outils gérables qu'une personne prudente pourrait utiliser. Le RSSI doit engager le conseil d'administration pour imposer de nouvelles polices d'assurance cyber qui incluent l'exposition aux acteurs étatiques malveillants et aux attaques de la chaîne d'approvisionnement. Ces politiques doivent s'étendre sur une période plus large, car les dommages étendus ultérieurs causés par ces menaces peuvent s'étendre sur plusieurs mois et années après une attaque.

Leçon sept :protection continue de la réputation

Malgré tous les efforts, une violation peut toucher une entreprise à tout moment et avoir un impact tangible sur l'entreprise. Les questions évidentes ici sont :

• Est-ce que SolarWinds prend le coup dans ce cas ?
• Microsoft souffre-t-il parce que son code source a été exposé parce qu'il utilisait le logiciel SolarWinds Orion ?
• SolarWinds peut-il regagner sa réputation perdue ?
• Microsoft sera-t-il un bon acquéreur pour les sociétés de sécurité ?

La réponse réside dans les actions continues que l'équipe de direction et le conseil d'administration ont prises pour montrer que la cybersécurité est un élément différenciateur essentiel pour leur entreprise - la sécurité d'abord, les cyber-niveaux. Qu'ils ont appris de leurs propres erreurs et des erreurs des autres pour améliorer en permanence la position de menace de l'entreprise et réduire les surfaces d'attaque pour elle-même et ses clients. Cela comprend une meilleure couverture de cyber-assurance et de meilleures politiques de remédiation de l'entreprise à ses clients. Il est important de souligner que l'entreprise continue d'investir et d'éduquer son personnel sur la cybersécurité. Essentiellement, si l'entreprise s'est créée une cyber assurance et peut la transmettre à ses clients et partenaires, elle sera mieux placée pour protéger sa réputation à long terme.

Le rapport WCP énumère ensuite un certain nombre d'entreprises en phase de croissance qui offrent les éléments constitutifs d'une stratégie holistique de cyberassurance, de la gestion des risques et de la correction des menaces à la cyberassurance. Le rapport est disponible ici.