Le président Biden a promulgué le “Consolidated Appropriations Act, 2022, HR 2471” le 15 mars 2022. La division Y de ce projet de loi de crédits omnibus, le “Cyber Incident Reporting for Critical Infrastructure Act” de 2022, créera de nouvelles règles importantes obligeant les entités américaines d’infrastructure critique à signaler les incidents de cybersécurité et les paiements de rançon au gouvernement américain. Cette législation vise à élargir considérablement les exigences légales en matière de signalement des cyberincidents et de paiement de rançons.
Les entités d’infrastructures essentielles seraient avisées de déterminer si les nouvelles exigences en matière de déclaration s’appliquent à leurs opérations, si des modifications de leurs cyber programmes sont nécessaires pour répondre à ces exigences et si elles devraient participer au processus d’élaboration des règles à venir directement ou par l’intermédiaire de groupes industriels.
Cette loi oblige tous les sous-traitants gouvernementaux, agences et opérateurs d’infrastructures critiques à signaler tout les cyberincidents ou attaque de ransomware à la Cybersecurity and Infrastructure Security Agency (CISA) dans les 24 heures suivant la prise de connaissance d’une violation ou d’une intrusion. Le non-respect entraînera des amendes pouvant aller jusqu’à 0,5 % des revenus bruts de l’année précédente de l’entreprise – par jour où la violation persiste.
Par exemple, si le revenu brut annuel d’une entreprise est de 1 milliard de dollars, elle pourrait être passible d’amendes allant jusqu’à 5 millions de dollars par jour pour avoir omis de signaler l’incident. Les entrepreneurs qui enfreignent les exigences de divulgation peuvent faire face à des sanctions supplémentaires, telles que le retrait de l’annexe fédérale.
Cela dit, le projet de loi accorde aux entreprises une immunité limitée si elles signalent une infraction. De plus, les agences fédérales aideront à l’enquête sur les causes premières et feront des recommandations pour atténuer la violation ou l’intrusion.
Quel est le problème avec la notification de cyberincidents ?
Les cyberincidents sont connues pour avoir des répercussions sur des centaines ou des milliers d’entreprises. Si les victimes signalent les violations en temps opportun et qu’une action rapide est entreprise, la menace est plus susceptible d’être neutralisée ou contenue avant qu’elle ne cause des dommages catastrophiques.
À l’heure actuelle, aucune exigence fédérale n’oblige les entreprises à signaler les infractions. Alors que certaines lois d’État exigent la divulgation des violations. Le projet de loi exige également que la CISA contacte les victimes dans les deux jours ouvrables suivant la réception de la notification de la violation, afin que le gouvernement puisse mobiliser toutes ses ressources dans un effort pour réduire la portée de l’attaque.
Il y a une nouvelle politique législative pour la cybersécurité
Le Sénat envisage jusqu’à 18 nouveaux projets de loi sur la cybersécurité, dont beaucoup bénéficient d’un soutien bipartisan. Plusieurs nouveaux projets de loi sont à l’horizon à la suite de l’attaque du rançongiciel Colonial Pipeline, qui est considérée comme une urgence nationale. Ces projets de loi vont de l’amélioration de l’infrastructure de sécurité à l’amélioration des connaissances en matière de sécurité, de la communication et de la coordination entre les entités gouvernementales.
La commission interne a récemment approuvé une augmentation historique du budget de la cybersécurité de la CISA. Un nouveau décret obligeant les éditeurs de logiciels à divulguer les failles de sécurité aux clients fédéraux est également en préparation. À cette fin, nous avons mis en évidence ci-dessous quelques-unes des principales dispositions de la nouvelle loi.
-
Exigences de déclaration pour les cyberincidents /ransomwares : La législation impose de nouvelles exigences de déclaration aux entités d’infrastructures critiques, qui seront identifiées par l’élaboration de règles par le directeur de la Cybersecurity & Infrastructure Security Agency (CISA), qui fait partie du Department of Homeland Security (DHS) des États-Unis. Cela est vrai pour tous les paiements, tels que ceux effectués dans des circonstances où l’exigence de déclaration d’incident ne s’appliquerait pas autrement. De même, les entités déclarantes doivent conserver les données pertinentes pour leurs divulgations. Ces exigences de déclaration ne s’appliquent pas aux entités qui sont déjà tenues de déclarer “des informations substantiellement similaires à une autre agence fédérale dans un délai substantiellement similaire” en vertu de “la loi, de la réglementation ou du contrat”. Le processus d’élaboration des règles prévu par la loi déterminera la portée de ces exigences en matière de déclaration.
-
Fournisseurs tiers: La législation précise comment les entités couvertes peuvent faire appel à des fournisseurs tiers pour répondre à ces nouvelles obligations.Pour soumettre des rapports d’incident ou de paiement de rançon, une entité couverte peut s’appuyer sur “une société de réponse aux incidents, un fournisseur d’assurance, un fournisseur de services, une organisation de partage et d’analyse d’informations ou un cabinet d’avocats”. Les entités qui effectuent ou facilitent un paiement de rançon au nom d’une entité couverte sont spécifiquement exemptées de l’obligation de soumettre des rapports de paiement de rançon. Tout tiers qui “effectue sciemment un paiement de rançon au nom d’une entité couverte touchée par une attaque de rançongiciel doit informer l’entité couverte touchée des responsabilités de l’entité couverte touchée concernant les paiements de rançon”. En conséquence, les entités qui facilitent le paiement des rançons pour les entités couvertes ont désormais le “devoir d’informer” leurs clients de leurs nouvelles obligations légales.
-
Mise en vigueur : La législation comprend des mécanismes pour s’assurer que les nouvelles exigences en matière de rapports sont respectées. La CISA, en particulier, peut émettre des citations à comparaître pour obliger à la divulgation après avoir d’abord demandé la divulgation à une entité couverte qui, selon elle, a été victime de cyberincidents à signaler ou a effectué le paiement d’une rançon à signaler. Le non-respect de l’assignation peut entraîner une poursuite civile pour l’exécution de l’assignation, ainsi qu’un éventuel outrage au tribunal. Cette procédure ne s’applique pas aux gouvernements étatiques, locaux, tribaux ou territoriaux. La législation prive également les entités couvertes de certaines protections si elles ne fournissent pas les informations requises. Ce risque ne s’applique pas aux informations fournies volontairement ou en réponse à une demande initiale conformément à la loi.
-
Utilisation des données : Selon la législation, la CISA est chargée d’examiner et de diffuser les rapports d’incident et de paiement de rançon aux agences fédérales. À l’exception mentionnée ci-dessus, cependant, il existe des restrictions sur la façon dont ces informations peuvent être utilisées. Outre ces utilisations spécifiques, le gouvernement fédéral est limité dans sa capacité à utiliser les données déclarées.Par exemple, les gouvernements fédéraux et étatiques, locaux, tribaux ou territoriaux, à l’exception des agences gouvernementales, utilisent les informations rapportées pour « réglementer les activités des entités concernées ou rémunérées par le biais de mesures d’exécution. À moins que les agences gouvernementales n’autorisent explicitement l’envoi du rapport à la CISA afin de se conformer aux exigences de déclaration réglementaires de l’entité, l’entité enverra le rapport à la CISA pour la déclaration réglementaire de l’entité. Suite aux instructions supplémentaires du président, le DHS doit conserver les rapports et les paiements de cyberincidents, ainsi que d’autres informations pertinentes telles que : les réponses aux assignations à comparaître, auprès des agences de gestion des risques sectoriels concernées et des “autres agences fédérales appropriées” dans les 24 heures suivant leur réception.
-
Protection : La législation établit également des protections pour les informations signalées qui sont largement similaires à celles qui ont été mises en œuvre pour la première fois dans la loi de 2015 sur le partage d’informations sur la cybersécurité pour certaines informations divulguées volontairement. Dans le cadre des nouvelles exigences en matière de déclaration, la législation comprend également une disposition relative au rejet des poursuites. “Aucune personne ou entité ne doit avoir une cause d’action ou maintenir une telle action devant un tribunal, et une telle action doit être rapidement rejetée pour la soumission” d’un rapport obligatoire d’incident ou de paiement de rançon. Cette disposition de rejet de poursuite ne s’applique pas à une action du gouvernement fédéral visant à obliger le respect d’une citation à comparaître délivrée à une entité visée. Enfin, aucun rapport soumis à la CISA en vertu de cette législation, ni « aucune communication, document, matériel,ou tout autre document créé uniquement dans le but de préparer, de rédiger ou de soumettre un tel rapport, ”peut être reçu en preuve, sous réserve de découverte, ou utilisé dans tout procès, audience ou autre procédure devant un tribunal, un organisme de réglementation ou une autre autorité des États-Unis, d’un état ou d’une subdivision politique.
-
Autres provisions : La législation appelle à la création d’un conseil de signalement de cyberincidents pour « coordonner, résoudre les conflits et harmoniser les exigences fédérales en matière de signalement des incidents ». D’autres agences fédérales qui reçoivent des rapports d’incidents sont tenues par la législation de soumettre ces rapports à la CISA.