A quoi bon rapporter des cyberincidents (puisqu’on n’en fait rien)?
OPINION. Si on estimait mieux le risque systémique des cyberincidents, on saurait mieux définir ce qu’il faut comme information et comment la partager. Par Jean-Jacques Quisquater, Université de Louvain, Ecole Polytechnique de Louvain et MIT, et Charles Cuvelliez, Université de Bruxelles, Ecole Polytechnique de Bruxelles.
Les entreprises qui ont connu un incident de sécurité le savent : le notifier aux autorités compétentes (un régulateur, l’autorité de protection des données, etc.), c’est suivre des procédures différentes sur le contenu à rapporter, les délais pour le faire, les seuils à atteindre pour être obligé de le faire. Le Financial Stability Board (FSB), une émanation du G20, qui le conseille sur les questions de stabilité financière, de développement durable et de changement climatique s’est amusé (quoique ce n’est pas très drôle) à comparer la manière dont les Etats demandent à leurs institutions financières et autres banques de leur rapporter les cyberattaques, que ce soit sous forme d’incidents ou d’attaques avérées et comment cette information est exploitée pour un mieux auprès du secteur. La sûreté nucléaire érige ce partage d’information sur les incidents qui ont lieu dans une centrale en pilier de la sécurité : elle est harmonisée, commune et permet lorsqu’une faiblesse est détectée par l’un d’en faire bénéficier toutes les centrales et tous les opérateurs à travers le monde.
On est en très loin dans le risque cyber en finance ou ailleurs. Le seul élément commun à toutes les juridictions, c’est la date et l’heure de l’incident, son impact financier, son impact sur les clients, sur la réputation, comment l’incident a été identifié et la cause. Celle-ci mise à part, ce n’est pas très utile pour aider une autre institution financière à se protéger d’un même modus operandi. Les différences entre Etats sont importantes lorsqu’il s’agit de définir ce qu’est un cyber-incident, les seuils à partir desquels il faut les rapporter, comment l’information est ensuite utilisée et le délai pour les rapporter. Le casse-tête est majeur pour une banque qui serait établie dans plusieurs pays
A quoi bon rapporter des cyber-incidents (puisqu’on n’en fait rien)?
avec, à chaque fois, une procédure qui varie du tout au tout. Franchement, qui est capable d’évaluer la menace avec une telle fragmentation dans la manière de la communiquer ?
Qu’est-ce qu’un cyberincident?
Les autorités dans certains Etats ne font pas de distinction entre incidents opérationnels et les cyberincidents. L’un n’est pourtant pas l’autre. Un cyberincident peut affecter d’autres banques, pas un incident opérationnel qui résulte de la manière dont la banque qui en est victime gère son IT. C’est rarement transposable. Et bien évidemment, si chaque incident opérationnel doit être rapporté, cela crée une masse de travail administratif. Certaines autorités demandent aux institutions financières de leur rapporter des incidents qui se passent dans une filiale en-dehors de leur juridiction mais parfois (une minorité), les autorités dans l’Etat principal de la banque souhaitent que l’information soit rapportée dans le pays hôte. Quelle est la logique ? Ces mêmes autorités demandent que leur soient rapportés les incidents des fournisseurs dans le pays principal même si ce fournisseur n’est pas établi dans ce pays (on pense aux fournisseurs de cloud).
Quant à la définition et la taxonomie de cyberincidents, on dirait que chaque autorité se crée son propre lexique, ce qui fait qu’un incident chez l’un sera classé dans une catégorie et dans une autre chez le voisin.
Les canaux pour communiquer les incidents sont très variables : mails, plateforme sécurisée. Les canaux sont parfois parallèles : il y a un point téléphonique, un rapport écrit, une réunion qui sont exigés. Dans certaines juridictions, seules des personnes autorisées peuvent rapporter l’incident comme un CISO ou le CIO/CTO.
Seuils et délais
Les seuils pour rapporter ou non un cyberincident varient trop : le FSB estime qu’il manque une méthodologie pour mesurer l’impact et la sévérité d’un incident qui, parfois, est très basse. L’impact peut aussi changer au fur et à mesure de l’évolution de l’incident, selon qu’il est contenu ou pas. Les seuils qu’on voit le plus se mesurent en % de clients ou nombre de clients affectés, aux pertes financières, à la perte de réputation (comment la mesure-t-on d’ailleurs ?). Certaines autorités s’en remettent surtout au jugement des institutions financières pour définir leurs propres seuils.
Le délai pour rapporter des incidents est aussi très variable, entre le plus vite possible et dans les 48 heures. Rapporter l’incident tout de suite n’est pas indiqué, observe le FSB : à ce moment, on ne comprend pas encore bien l’ampleur et la nature de la cyberattaque et ce sont autant de ressources mobilisées à plancher sur un rapport plutôt qu’à traiter le problème. Si l’attaque a visé un fournisseur de la banque, cela devient difficile de rapporter cet incident instantanément. On dépend du fournisseur et de son bon vouloir pour en savoir plus
L’information partagée avec les autorités ne sert pas à grand-chose se plaint le FSB : juste à évaluer le niveau de risque de l’institution attaquée et à lui imposer des mesures et un suivi. Elle ne sert pas pour estimer le risque sur l’ensemble du système financier. Or les premières manifestations d’une menace sont cruciales pour contrer son expansion à temps.
Des mandats divergents
La fragmentation du rapportage des incidents tient aux différences dans les mandats des autorités même au sein d’un même pays. C’est souvent le cas entre les autorités prudentielles qui surveillent les banques et les autres (par exemple, les autorités de protection des données). Si les autorités pouvaient plus se partager les données et promouvaient une compréhension commune du risque sur les institutions financières, une harmonisation par la pratique arriverait très vite.
Parfois, les autorités peuvent plus et mieux se partager l’information entre pairs en-dehors de leur juridiction qu’entre autorités dans leur propre juridiction. Si on estimait mieux le risque systémique des cyberincidents, on saurait mieux définir ce qu’il faut comme information et comment la partager. L’idéal serait la création de plateformes communes de rapportage d’incidents et surtout pas par email.
Des bonnes pratiques, à savoir quelles sont les informations nécessaires pour quel but recherché, quels seuils, quels délais utiliser pour rapporter sont à développer. Le contenu de cette information doit être harmonisé pour que d’un bout à l’autre de la planète, l’information soit utile et une terminologie commune, un langage unique sont essentiels si on veut que le rapportage améliore la stabilité financière. Un objectif commun et une langue commune pour plus de cybersécurité qui mettra certainement beaucoup de temps à se dégager faute d’autorités mondiales.
______
Pour en savoir plus : Cyber Incident Reporting: Existing Approaches and Next Steps for Broader Convergence, Financial Stability Board, 21 Octobre