J'ai beaucoup réfléchi au signalement des incidents, à la transparence et à la vulnérabilité en matière de cybersécurité. Plus tôt cette année, J'ai écrit un article pour Forbes sur le besoin critique d'une plus grande vulnérabilité (lire : moins de machisme) dans l'industrie. L'article abordait le langage qui entoure la cybersécurité (défenseurs, forces, etc.) et le problème lié au nombre de cyberorganisations qui se commercialisent, ainsi que ce que les organisations doivent faire pour se forger un avenir meilleur. Mais qu'en est-il de la prise en compte de la vulnérabilité lorsque vous êtes victime d'une violation ?
Leçons apprises : la cyberattaque de la British Library
Lorsque j'ai assisté à CyberUK à l'ICC de Birmingham (du 13 au 15 mai), j'ai vu Sir Roly Keating, PDG de la British Library, faire une conférence sur l'intelligence émotionnelle et le signalement des incidents. Bien qu'elle ait été largement couverte, à titre de référence, la British Library a été attaquée en octobre 2023 par Rhysida, un groupe APT, et a été rançonnée pour 20 bitcoins (environ 596 000£). Le gang a volé 600 Go de fichiers, y compris les données personnelles des utilisateurs et du personnel de la bibliothèque. En mars 2024, l'organisation a publié un rapport, Tirer les leçons de la cyberattaque : examen des cyberincidents de la British Library, décrivant tout ce qui a trait à l'incident : les os et tout. Ce rapport a été largement salué pour sa transparence et sa perspicacité.
Souvent, la vérité met mal à l'aise : être vulnérable demande du courage, mais pas sans risques. Risque de vous faire réprimander par vos pairs, de savoir que l'on parlera de ce que vous avez fait ou n'avez pas fait, de savoir que votre personnel, vos employés et vos clients sont également en danger, émotionnellement et parfois physiquement (selon les données volées).
Le rapport sur l'attaque de la British Library n'est que cela : d'une transparence inconfortable. Le rapport indique que « leurs conseillers spécialisés en cybersécurité ont conclu qu'il n'était pas possible de déterminer avec certitude le point d'entrée exact du réseau de la bibliothèque, en raison à la fois des graves dommages causés au parc de serveurs et de la gamme de projets informatiques entrepris avec le soutien de tiers ». Cependant, ils énumèrent ensuite les raisons qui ont pu contribuer à l'attaque, notamment l'absence de MFA, le recours croissant à des fournisseurs tiers au sein du réseau, la migration vers une utilisation à distance pendant la pandémie (informatique traditionnelle) et la fourniture de différents niveaux d'accès à « de nombreux partenaires de confiance pour le développement de logiciels, la maintenance informatique et d'autres formes de conseil ». Des erreurs de débutant qui rendent la lecture inconfortable, mais avec le recul, c'est une chose merveilleuse.
Un avertissement pédagogique adressé à d'autres institutions.
Bien qu'il puisse être facile d'examiner la posture de sécurité (ou l'absence de sécurité) de l'organisation, ce qui m'intéresse vraiment, c'est la réponse à l'attaque. Le rapport est brutalement honnête et constitue une lecture qui vous laisse parfois perplEXE, surtout en tant que professionnel de la sécurité. Mais la British Library est avant tout une institution du savoir, un pôle culturel. Ils savent que le savoir est synonyme de pouvoir. Il est important de noter que le rapport constitue un avertissement pédagogique à l'intention des autres institutions.
Un modèle pour des communications efficaces
Dans de nombreux cas, ces incidents sont souvent des scènes de crime actives et continues, en particulier lorsqu'ils ont été signalés initialement. La réponse de la British Library a mis l'accent sur l'intelligence émotionnelle et l'empathie dans son approche. Le rapport indique : « Notre processus de communication a permis au personnel de toujours consulter les communications externes mises à jour (par exemple, les déclarations externes, les articles de blog du PDG) avant le public, ce qui lui a donné l'occasion de digérer les derniers développements avant de répondre aux questions des utilisateurs. » En outre, l'institution a collaboré avec les syndicats pour répondre aux préoccupations du personnel. Mettant l'accent sur la résilience collective, la réponse a été un mélange de politiques et d'actions, avec une ligne complète de communication cohérente et constante.
Il est clair que l'organisation a maintenu des lignes de communication ouvertes avec toutes les personnes touchées tout au long du processus et qu'elles se sont montrées aussi transparentes - et vulnérables - que possible, malgré l'incident et la reprise en cours. Il est important de noter que le savoir est important en temps de crise. La priorité accordée à la santé mentale dans la réponse aux incidents est terriblement sous-estimée.
Comme toujours, il est impératif que les organisations se considèrent comme de bonnes cibles, quelles que soient les données qu'elles détiennent ou non. Toutes les organisations sont à gagner lorsqu'il s'agit de cybercriminels impitoyables et opportunistes. Mais nous devons apprendre des autres. La cybersécurité a toujours été un lieu de communauté et de partage (voir efforts en matière d'open source). Ensemble, nous sommes plus forts.
Responsabilité et transparence
Enfin, ce que vous faites ou ne faites pas sera remarqué et noté. Prenez la faille 23andMe, où ils ont blâmé les utilisateurs finaux pour leur violation. Cela a ébouriffé la presse, les clients actuels et les clients potentiels et a valu à l'entreprise un recours collectif. Parfois, la meilleure solution consiste à prendre ses responsabilités et à faire preuve de transparence. Comme toujours, il est temps d'être un peu plus vulnérable.