Les régulateurs adoptent un ton différent en matière de cybersécurité

Une directive émise par la Federal Trade Commission (FTC) qui exige que GoDaddy améliore la sécurité de ses services d'hébergement suggère que le gouvernement fédéral devient de plus en plus prescriptif quant aux orientations fournies au secteur privé.

Après une série de violations remontant à 2018, la FTC a accusé GoDaddy au début de cette année d'avoir enfreint la section 5 de la loi de la FTC pour ne pas avoir mis en œuvre les pratiques de sécurité standard sur les sites web de ses clients, malgré la promotion d'une « sécurité primée ».

Dans le cadre d'un règlement, la FTC a émis une ordonnance qui oblige spécifiquement GoDaddy à désigner une personne responsable d'un programme de sécurité de l'information, à adopter un système de gestion des informations et des événements de sécurité (SIEM) ou un autre outil fournissant une analyse en temps quasi réel des événements de sécurité, à créer un système de journaux d'audit, à résoudre les problèmes d'authentification liés aux certificats, aux paires de clés privées-publiques ou à des technologies similaires, et à mettre en œuvre une authentification multifactorielle pour les employés, les sous-traitants et les affiliés tiers.

GoDaddy doit également se soumettre à un premier examen, puis à des évaluations de ses opérations de sécurité tous les deux ans par des évaluateurs tiers.

Bien que la plupart des professionnels de la cybersécurité conviennent que ces mesures reviennent à obliger GoDaddy à adopter un ensemble de meilleures pratiques généralement reconnues, la FTC adopte un ton résolument différent de celui d'autres agences gouvernementales dans le passé. La plupart des critiques adressées aux organisations du secteur privé ont pris la forme de conseils plutôt que de directives.

En outre, la FTC se livre à une certaine humiliation publique dans l'espoir que d'autres organisations qui font preuve de laxisme en matière de cybersécurité soient plus motivées à résoudre ces problèmes avant que la FTC ou une autre agence ne détermine qu'il est nécessaire de passer un appel.

En général, les gouvernements du monde entier accordent beaucoup plus d'attention au niveau réel de cybersécurité mis en œuvre dans le secteur privé. Les implications en matière de sécurité nationale des plateformes largement utilisées sont désormais mieux comprises dans le monde entier. Par exemple, le président de Microsoft, Brad Smith s'est excusé l'année dernière pour les pratiques laxistes des entreprises en matière de cybersécurité découvertes par le Cyber Security Review Board (CSRB), une branche de l'Agence de cybersécurité et de sécurité des infrastructures (CISA).

Les agences fédérales peuvent ne pas avoir les ressources nécessaires pour examiner en profondeur les pratiques de cybersécurité dans l'ensemble du secteur de la sécurité privée, mais la teneur et le ton des engagements avec les agences fédérales évoluent. Les organisations qui ne parviennent pas à mettre en œuvre des niveaux appropriés de cybersécurité suscitent manifestement moins de sympathie. L'époque où il était injuste de blâmer la victime d'une attaque de cybersécurité touche à sa fin. Désormais, on s'attend à ce que les organisations soient non seulement bien conscientes des risques auxquels elles font face, mais qu'elles prennent également des mesures actives pour les réduire.

Chaque organisation doit donc faire le point sur son niveau actuel d'engagement en matière de cybersécurité. Il est peu probable qu'un représentant d'une agence fédérale se présente demain pour poser des questions difficiles, mais en cas d'incident, les équipes informatiques et de cybersécurité doivent s'attendre à ce qu'on leur pose des questions beaucoup plus pointues sur les mesures qu'elles ont prises pour éviter qu'ils ne se produisent.